Mittel zur Entfernung identifizierender Merkmale

Allgemein gilt, dass personenbezogene Forschungsdaten nach der Erhebung, sobald es der Forschungszweck zulässt aber spätestens mit Abschluss des Forschungsvorhabens, anonymisiert werden müssen.

Anonymisierung
Eine derartige Veränderung der Daten, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr (sog. absolute Anonymisierung) oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft (sog. faktische Anonymisierung) einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Der erste Schritt ist dabei die Entfernung direkter Identifikationsmerkmale (Name, Adresse, Telefonnummer usw.). Oftmals reicht dies jedoch nicht aus um einen Personenbezug auszuschließen. In diesem Fall kann die Reduzierung der Informationsgenauigkeit (Aggregation) ein wirksames Mittel sein, das zudem erlaubt, gewisse Informationsteile trotzdem zu behalten.

Aggregation
Zusammenfassung mehrerer gleichartiger Einzelwerte zur Verringerung der Granularität von Informationen. Aus der zusammengefassten Information ist ein Rückschluss auf die Einzelinformationen nicht mehr möglich.

Hierbei werden also detaillierte Einzelinformationen (z.B. Gehalt im letzten Monat) in Klassen gruppiert (z.B. Unter-, Mittel-, Oberschicht). Der Grad der Aggregation, der nötig ist, um einen Personenbezug auszuschließen, kann dabei variieren. Er hängt im Wesentlichen davon ab, welche weiteren potenziellen Identifikationsmerkmale in den Daten vorhanden sind oder aus externen Quellen zugespielt werden können.

Beispiel für eine graduelle Aggregierung:
       
        Adresse → Ort → Bundesland → Ost/West → Land → Kontinent

Es ist in jedem Fall sorgfältig zu prüfen, welche der zur Verfügung stehenden Mittel am geeignetsten und verhältnismäßigsten erscheinen, die identifizierenden Merkmale so zu entfernen, dass auch mit etwaigem Zusatzwissen sowie umfangreichen Kapazitäten zur Datenrecherche und ‐aggregation keine oder nur eine sehr eingeschränkte De‐Anonymisierung möglich ist.

Ein Aufschub der Anonymisierung ist nur dann möglich, wenn jene Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, zum Erreichen des Forschungszweckes oder einzelner Forschungsschritte benötigt werden. Dies ist beispielsweise während eines noch laufenden Forschungsprojektes, welches auf biometrische Daten zurückgreift, der Fall.

In diesem Fall müssen die personenbezogenen Merkmale jedoch unmittelbar nach der Erhebung getrennt und sicher gespeichert werden. Dies kann bspw. durch eine Pseudonymisierung der personenbezogenen Forschungsdaten erfolgen.

Pseudonymisierung
Die Trennung der personenbezogenen Merkmale unmittelbar nach der Erhebung von den restlichen Daten, so dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.

Ein Beispiel ist die Verwendung einer Schlüsseltabelle, die den Klarnamen von Personen entsprechende ID-Codes zuweist. So kann der Personenbezug nur hergestellt werden, wenn man im Besitz der Schlüsseltabelle ist. Diese kann ggf. auch von einem unabhängigen Treuhänder verwahrt werden.

Die auf diese Weise verarbeiteten Daten weisen aber bis zur Löschung der separat zu speichernden personenbezogenen Merkmale weiterhin einen Personenbezug auf und unterliegen damit den datenschutzrechtlichen Vorgaben.