Nr. 2.8 – Anonymisierung
(Art. 5 Abs. 1 lit. c DSGVO)

Kriterium

Schutzklasse 1
(1) Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, anonyme Daten zu verarbeiten.
Schutzklasse 2 und 3
(2) Soweit mit dem Cloud-Nutzer vereinbart (Nr. 1.7), stellt der Cloud-Anbieter sicher, dass die Daten anonymisiert verarbeitet werden. Entsprechend der rechtsverbindlichen Vereinbarung anonymisiert der Cloud-Nutzer die personenbezogenen Daten selbst oder der Cloud-Anbieter auf Weisung.
(3) Wird die Anonymisierung vom Cloud-Anbieter durchgeführt, so gewährleistet er, dass er die technische Entwicklung im Bereich der Anonymisierungsverfahren laufend verfolgt und seine Verfahren den aktuellen technischen Empfehlungen (best practices) entsprechen. Die Anonymisierung muss nach dem Stand der Technik eine Re-Identifizierung der betroffenen Person ausschließen.

Erläuterung

In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers verarbeitet, selbst keinen Anonymisierungsdienst anbieten, wohl aber anonyme Daten unter Wahrung der Anonymität verarbeiten.
Die Anonymisierung ist neben dem Verzicht der Datenerhebung die wirksamste Maßnahme zur Datenvermeidung und Datenminimierung. Sie trägt dazu bei, das Gewährleistungsziel der Datenminimierung (SDM C1.1) zu fördern.

Umsetzungshinweis

Schutzklasse 1
Der Cloud-Anbieter sollte durch TOM sicherstellen, dass eine Anonymisierung der personenbezogenen Daten nicht aufgehoben werden kann.
Schutzklasse 2 und 3
Der Cloud-Anbieter sollte öffentlich bekannt geben, welche technischen Standards sein Anonymisierungsverfahren erfüllt.
Der Cloud-Anbieter sollte anerkannte Verfahren zur Anonymisierung passend zu dem jeweiligen Datenverarbeitungszweck verwenden.

Nachweis

Für Schutzklasse 1 legt ein Cloud-Anbieter Dokumentationen über den Prozess der Datenverarbeitung vor, insbesondere im Hinblick auf anonyme Daten. Im Rahmen einer testweisen Dienstnutzung mit anonymen Daten kann nachgewiesen werden, dass Verarbeitungen unter Wahrung der Anonymität durchgeführt werden.
Für Schutzklasse 2 und 3 legt ein Cloud-Anbieter Dokumentationen vor, welche darlegen, wie der Cloud-Anbieter Anonymisierungen durchführt und anonymisierte Daten verarbeitet sowie welche Anonymisierungsverfahren eingesetzt bzw. angeboten werden (z.B. Dokumentation der TOM, Verfahrensanweisungen, Richtlinien, Protokoll- und Logdaten, Ergebnisprotokolle interner/externer Audits und Risikoanalyse).
Die Implementierung und Angemessenheit der Anonymisierungsverfahren wird für Schutzklasse 2 und 3 im Rahmen einer Prüfung durch repräsentative Stichproben festgestellt. Dazu sollten die Art der eingesetzten Programme, die Programmierungen zur Anonymisierung und ihre Konfiguration im Rahmen einer Assetprüfung überprüft und eine stichprobenartige Prüfung von Datensätzen durchgeführt werden. Eine Befragung von Mitarbeitern kann zusätzlich als Nachweis dienen, indem die in der Dokumentation spezifizierten Maßnahmen mit den tatsächlich durchgeführten Maßnahmen für Schutzklasse 2 und 3 abgeglichen werden (bspw. Befragung hinsichtlich der Richtlinien und Regelungen zur Anonymisierung).
Durch die Vorlage von Dokumentationen (bspw. Protokolle, Versionierungshistorie) weist ein Cloud-Anbieter für Schutzklasse 2 und 3 nach, dass der Cloud-Anbieter die technische Entwicklung im Bereich der Anonymisierung laufend verfolgt. Dies kann auch im Rahmen einer Assetprüfung bei einer Prüfung (bspw. Nachweis über Änderungen am Programmcode zur Anonymisierung, Aktualisierung von Bibliotheken etc.) nachgewiesen werden.