Anonymisierung bei KI und Open Data

August 8, 2025

Anonymisierung & Pseudonymisierung / Datenschutz / Datenschutzgrundverordnung (DSGVO) / Datenverarbeitung / KI-News / KI-Verordnung / Künstliche Intelligenz / Privacy by Design

Die Digitalisierung schreitet unaufhaltsam voran und mit ihr die Menge der generierten Daten. Doch der Austausch und die Nutzung dieser Daten, insbesondere für die Entwicklung von Künstlicher Intelligenz (KI) und im Rahmen von Open Data-Initiativen, stellen Organisationen und Unternehmen vor erhebliche datenschutzrechtliche Herausforderungen. Das Forschungsprojekt EAsyAnon widmet sich genau diesem Problem, indem es ein Empfehlungs- und Prüfsystem zur effektiven Anonymisierung personenbezogener Daten entwickelt.

Das Projekt EAsyAnon

Das Forschungsprojekt EAsyAnon der Technischen Hochschule Deggendorf ist gefördert vom Bundesministerium für Bildung und Forschung (BMBF). Es wurde ins Leben gerufen, um Dateneigentümern einen klaren Wegweiser für die effektive Auswahl, Implementierung und Evaluierung bestehender Anonymisierungskonzepte zu bieten. Es zielt darauf ab, eine praktikable Lösung für das Problem der Datenfreigabe unter Wahrung der Privatsphäre zu schaffen. Obwohl ursprünglich auf Gesundheitsdaten fokussiert, ist es das Ziel, das System auf verschiedene weitere Domänen anwendbar zu machen.

Herausforderungen der Datenanonymisierung

Die Veröffentlichung von Daten als Open Data ist aufgrund rechtlicher Beschränkungen und fehlender technischer Lösungen oft stark eingeschränkt. Viele Datensätze, die wertvolle Erkenntnisse enthalten könnten, bleiben der Allgemeinheit vorenthalten, wodurch ein gesellschaftlicher Mehrwert verhindert wird.

Eine aktuelle qualitative Studie im Rahmen des EAsyAnon-Projekts, die Expertenerfahrungen in Deutschland untersuchte, hat dies eindrücklich bestätigt. Die Befragung von Forschungseinrichtungen, Behörden und Unternehmen zeigte, dass in Deutschland kaum Erfahrungen mit Anonymisierungstechniken und der Nutzung von Open Data vorliegen. Obwohl ein hohes Interesse an OD und die Bereitschaft zur Datenbereitstellung besteht, gibt es große Unsicherheiten und ein mangelndes spezifisches Verständnis für deren Nutzen.

Pseudonymisierung vs. Anonymisierung

Die rechtliche Notwendigkeit der Anonymisierung ergibt sich vorrangig aus Erwägungsgrund 26 der Datenschutz-Grundverordnung (DSGVO). Danach gelten korrekt anonymisierte Daten nicht mehr als personenbezogen und unterliegen damit nicht mehr den Beschränkungen der DSGVO. Die Anonymisierung verhindert Rückschlüsse selbst bei Zusatzwissen, Pseudonymisierung nicht. Das ermöglicht ihre freie Nutzung etwa für Forschung oder Open Data. Der EDSA hat dazu Leitlinien zur Pseudonymisierung veröffentlicht; die DSK plant ergänzend praxisnahe Hilfestellungen.

Personenbezug in LLMs & KI-Systemen

Die Relevanz von Anonymisierung wird besonders deutlich im Kontext von KI und Large Language Models (LLMs). Der Datenschutzbeauftragte Schleswig-Holstein (ULD) betont, dass ein Personenbezug in LLMs, die mit personenbezogenen Daten trainiert wurden, nicht ausgeschlossen werden kann. Die Inhalte bleiben im Modell und seien potenziell abrufbar. Filter- oder Alignment-Methoden würden keinen ausreichenden Schutz bieten. Der EDSA unterstreicht dies in seiner „Opinion 28/2024“. Ohne nachweisbare Anonymisierung können bereits die Trainingsdaten eine Rechtswidrigkeit begründen. Schließlich erschwere der Rechtsrahmen mit teils widersprüchlichen Regelungen, etwa zwischen dem Recht auf Datenlöschung und der Pflicht zur Datenbereitstellung, eine einheitliche Umsetzung und schafft Rechtsunsicherheit, etwa bei Haftungsfragen im Fall von Re-Identifikation. Die EU KI-Verordnung als zukünftigen Rahmen zur Risikoprävention wird hierbei nur bedingt Abhilfe schaffen können.

Der Anonymisierungsprozess von EAsy Anon

Die Schlüsselinnovationen von EAsyAnon konzentrieren sich auf Vertraulichkeit („Vertraulich by Design“), Rechtssicherheit („Rechtssicher durch Technik und Expertise“) und Anschlussfähigkeit („Adaptierbar über Domaingrenzen“). Das System setzt sich aus drei Modulen zusammen.

Das Empfehlungssystem hilft Datenhaltern bei der Auswahl passender Anonymisierungsstrategien für konkrete Datensätze. Dabei werden sowohl rechtliche Anforderungen als auch die spätere Nutzbarkeit der Daten berücksichtigt.
Das Audit-System analysiert die Re-Identifizierbarkeit von Daten in zwei Schritten. Erstens in einer automatisierten Identifikation sensibler Datenbestandteile und zweitens in einem daran anschließenden Peer-Review-Verfahren durch Fachleute aus der Praxis.
Der Trust-Service wiederum schafft eine Brücke zur Veröffentlichung von Datensätzen, die zunächst aufgrund befristeter oder technischer Einschränkungen nicht publiziert werden können, indem er eine gezielte Pseudonymisierung im Einklang mit den EU-Datenschutzvorgaben ermöglicht.

Fazit

Die geplanten Leitlinien der DSK und des EDSA zur Anonymisierung und Pseudonymisierung sowie Projekte wie EAsyAnon sind ein wichtiger Schritt, um die notwendige Rechtssicherheit für Unternehmen und öffentliche Stellen zu schaffen. Der Erfolg von Open Data und der verantwortungsvolle Einsatz von KI hängen maßgeblich davon ab, wie gut es gelingt, die genannten Barrieren zu überwinden und einheitliche Standards und praktikable Lösungen zur Anonymisierung zu etablieren.

Sie haben Fragen zur Datenfreigabe oder Anonymisierung?
Sprechen Sie uns an – wir beraten Sie individuell und praxisnah zu Anonymisierungstechniken, datenschutzrechtlichen Rahmenbedingungen und der praktischen Umsetzung in Ihrem Anwendungsbereich.