Bei dem beliebten Kinder- und Partyspiel „Wer bin ich?“ wird jedem/r SpielerIn eine prominente Person zugewiesen. Durch Fragen, die mit „ja“ oder „nein“ beantwortet werden können, muss man anschließend herausfinden, um wen es sich handelt. Oft geht das recht schnell: Komme ich aus Österreich? Bin ich Schauspielerin? Relativ wenige Fragen lassen bereits eine vergleichsweise wahrscheinliche Antwort zu.
Was das mit Datenschutz zu tun hat?
In der Diskussion um die Datenschutzreform der Europäischen Union und auch in den Änderungsanträgen findet sich immer wieder der Vorschlag, Daten einfach zu anonymisieren oder zu pseudonymisieren und anschließend weniger streng zu schützen oder sogar vom Schutz durch die Datenschutzverordnung auszunehmen. Das Problem dabei ist, dass eine nachträgliche Zuordnung zu einer identifizierbaren Person mit absoluter oder relativ hoher Wahrscheinlichkeit in sehr vielen Fällen möglich bleibt. Werden beispielsweise die Namen aus einem Datensatz entfernt, in dem allerdings weiterhin die Merkmale Geschlecht, Postleitzahl und Geburtsdatum enthalten sind, sind viele Personen nach wie vor eindeutig, einige weitere mit fünzigprozentiger Wahrscheinlichkeit identifizierbar. Die Grundregel dabei lautet: Je mehr Informationen zu einem Pseudonym vorhanden sind, desto bestimmbarer ist die Person – genau wie beim eingangs erwähnten Spiel die Wahrscheinlichkeit des Erratens mit der Zahl der Fragen steigt.
Was bedeutet das?
Für die Änderungsanträge zur Datenschutzverordnung bedeutet das: Es ist richtig, für die Anonymisierung oder Pseudonymisierung von Daten zu plädieren, wo dies möglich ist. Es ist immer besser, die Zuordnung zu einer bestimmten Person zu erschweren, als die Identität direkt frei Haus zu liefern. Allerdings muss auch für solche Daten ein hohes Schutzniveau gelten. Zudem sollte in Artikel 4″Begriffsbestimmungen“ der Verordnung der Begriff „singling out“ mitaufgenommen werden.