
Hat die Anonymisierung persönlicher Daten eine Zukunft?
Beratung der Europäischen Daten-Governance
Dr. S-W – 04/2021
Am 25. November hatte die EU-Kommission den Vorschlag
eines Daten-Governance Gesetzes vorgelegt, COM(2020)767. Hierzu hat die
Deutsche Sozialversicherung mit konkreten Änderungsvorschlägen Position bezogen.
Nun sind der Rat und das Europäische Parlament
an der Reihe. Dabei hat das Parlament bereits in seiner Stellungnahme vom 25. März zur Europäischen Datenstrategie einen europäischen
Daten-Governance Rahmen befürwortet und in diesem Zusammenhang auch Fragen der
Daten-Governance angesprochen. Bemerkenswert ist vor allem der Grundsatz, dass
sich der freie Datenaustausch (nur) auf nicht-personenbezogene Daten beschränken
soll. Ähnliches gilt für die Entwicklung künstlicher Intelligenz: Diese soll
mit nicht-personenbezogenen Datensätzen trainiert werden. Dabei hat das
Parlament eine klare Vorstellung davon, wann persönliche Daten den geschützten
Bereich verlassen: erst dann, wenn sie „sicher, effektiv und irreversibel“
anonymisiert wurden – im Wissen, dass dies angesichts des technischen
Fortschritts nicht immer gelingen wird. Mehr Forschung sei nötig, um die
Risiken einer Re-Identifizierung aufzudecken.
In diesen Grundsatz bettet sich die Erwartung
ein, dass Gesundheitsdaten nicht ohne volle und aufgeklärte Einwilligung
weitergeleitet werden sollten; damit geht das Parlament über die Standards der
europäischen Datenschutzgrundverordnung hinaus. Gleichzeitig unterstützt das
Parlament die Position der EU-Kommission, dass die künftig zu schaffenden neun
„gemeinsamen europäischen Datenräume“, einschließlich dem Raum für den
öffentlichen Sektor, auch kommerziellen Markteilnehmern zugänglich gemacht
werden sollen – aber wie schon erwähnt mit der Beschränkung auf nicht
personenbezogene Daten. Insbesondere sollen im Rahmen von „Daten-Altruismus“
Dritten zur Verfügung gestellte Daten Zwecken des Allgemeinwohls zugutekommen,
nicht aber rein kommerziellen Interessen. Dessen ungeachtet solle aber die
Schaffung eines Rechtsrahmens und eine klare Definition von horizontalen und
bereichsübergreifenden Räumen für personenbezogene Daten neben anderen
Datenräumen in Erwägung gezogen werden.
Startschuss für die Beratungen im Europäischen
Parlament speziell zum „Daten-Governance-Gesetz“ war am 25. März eine
Expertenanhörung im federführenden ITRE-Ausschuss (Ausschuss für Industrie, Forschung und Energie) des Europäischen
Parlaments. Hier wurde von Abgeordneten die Frage aufgeworfen, ob sich persönliche
Daten tatsächlich unumkehrbar anonymisieren ließen. Die Antwort seitens
„Findata“, der finnischen Genehmigungsbehörde für den Einsatz von Gesundheits-
und Sozialdaten, war eindeutig: dies sei praktisch unmöglich. Die einzige
Alternative sei die Verarbeitung solcher Daten in einer „sicheren Umgebung.“
In Finnland sei das kein Problem, da die
Bürger traditionell darauf vertrauen, dass die Behörden „das Richtige“ tun.
Unter anderem aus Finnland kam schließlich auch die Frage, ob tatsächlich alle
Bürger bereit seien, ihre persönlichen Daten mit Dritten zu teilen, oder ob es
zusätzlicher Instrumente und Anreize bedürfe. Berichterstatterin Niebler griff
die Frage auf und stellte in den Raum, dass man der Bereitwilligkeit der
Bürger, im Rahmen von „Daten-Altruismus“ ihre Daten zur Verfügung zu stellen,
mehr Aufmerksamkeit schenken und durchaus auch Alternativen untersuchen müsse.
Mit Interesse nahm sie von den Experten/innen weitgehend geteilte Auffassung
zur Kenntnis, dass jüngere Menschen weniger Probleme hätten, ihre Daten zu
teilen.
Am folgenden Tag veröffentlichte dann die
EVP-Abgeordnete Angelika Niebler ihren Berichtsentwurf.
Die Abgeordnete Niebler versteht ihren Bericht u.a. als einen Versuch, die
Verordnung „KMU-freundlich“ zu gestalten, die Voraussetzungen für das
Tätigwerden der Daten-Händler („Data-Intermediäre) zu erleichtern und ihr
Tätigkeitsfeld zu erweitern, und „Exklusivvereinbarungen“ für die Nutzung öffentlicher
Daten auf ein Jahr zu begrenzen.
In der späteren Diskussion des
Niebler-Berichts im ITRE-Ausschuss am 13. April wurde vor allem von den
„Linken“ nicht nur das Thema des „Allgemeininteresses“ angesprochen, sondern
auch ein Ausschluss persönlicher Daten im Besitz öffentlicher Einrichtungen vom
Anwendungsbereich der Verordnung gefordert. Von Seite der GRÜNEN wurde
angemerkt, die Rolle der „Daten-Händler“ solle sich vor allem auf industrielle
und nicht so sehr auf persönliche Daten konzentrieren.