EDSA konkretisiert Anonymisierung, Web-Scraping bei KI und Blockchain

Teilen
EDSA konkretisiert Anonymisierung, Web-Scraping bei KI und Blockchain

Der Europäische Datenschutzausschuss (EDSA) hat in seiner Plenarsitzung am 8. Juli 2026 gleich drei Leitlinien beschlossen, die für die Praxis erhebliches Gewicht haben: Entwürfe zu Anonymisierung und zu Web-Scraping im Kontext generativer KI sowie die finale Fassung der Blockchain-Leitlinien. Die beiden Entwürfe stehen bis 30. Oktober 2026 zur öffentlichen Konsultation. Wer personenbezogene Daten für KI-Training nutzt, mit Anonymisierung arbeitet oder Blockchain-Architekturen betreibt, sollte die Kernaussagen jetzt kennen.

Anonymisierung: Drei Kriterien statt pauschaler Einschätzung

Die Anonymisierungs-Leitlinien (Guidelines 02/2026) lösen den alten Prüfansatz der Artikel-29-Datenschutzgruppe aus 2014 ab und berücksichtigen die jüngere Rechtsprechung des EuGH, insbesondere das Urteil in der Rechtssache C-413/23 P (EDSB gegen SRB) vom 4. September 2025.

Der Ausgangspunkt bleibt Erwägungsgrund 26 DSGVO: Daten sind anonym, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Neu ist die Betonung, dass diese Bewertung relativ ist und von Akteur zu Akteur unterschiedlich ausfallen kann. Ein Personenbezug kann sich aus Inhalt, Zweck oder Wirkung der Information ergeben. Identifizierbarkeit liegt vor, wenn eine Person mit nach allgemeinem Ermessen wahrscheinlich genutzten Mitteln in einem konkreten Kontext von anderen unterschieden werden kann.

Für die praktische Prüfung nennt der EDSA drei Kriterien:

  • Keine Isolierung einzelner Datensätze (no record isolation): Ein einzelner Datensatz lässt sich nicht auf eine Person herunterbrechen.
  • Keine Verknüpfbarkeit (no linkage): Datensätze lassen sich nicht miteinander oder mit externen Quellen verbinden.
  • Keine Rückschlüsse (no inference): Aus den Daten lassen sich keine Merkmale einer Person ableiten.

Sind alle drei Kriterien erfüllt, gelten die Daten als anonym. Ist auch nur eines nicht erfüllt, braucht es eine vertiefte Einzelfallanalyse. Der EDSA bietet dafür zwei Wege an: den kontextbezogenen Ansatz, der die unterschiedlichen Fähigkeiten möglicher Akteure zur Re-Identifikation berücksichtigt und den vollen rechtlichen Maßstab abbildet, sowie einen vereinfachten Ansatz, der diese Unterschiede ausblendet. Der vereinfachte Ansatz kann über den gesetzlichen Standard hinausgehen und Daten vorsorglich als nicht anonym behandeln, bietet dafür aber mehr Rechtssicherheit und weniger Aufwand.

Für die Praxis heißt das: Wer Anonymisierung als Rechtfertigung für eine Verarbeitung außerhalb der DSGVO heranzieht, muss künftig strukturiert entlang dieser drei Kriterien argumentieren und dokumentieren. Ein pauschaler Verweis auf entfernte Direktidentifikatoren reicht nicht.

Web-Scraping für generative KI: Rechtsgrundlage im Fokus

Die zweite Leitlinie behandelt Web-Scraping im Kontext generativer KI, also die automatisierte Massenextraktion von Daten, die häufig ohne Wissen der Betroffenen abläuft. Der EDSA stellt klar: Sobald dabei personenbezogene Daten erhoben, gespeichert, organisiert oder abgerufen werden, greift die DSGVO in vollem Umfang.

Besonderes Augenmerk legt der Ausschuss auf die Grundsätze der Zweckbindung und der Transparenz (Art. 5 Abs. 1 lit. b und Art. 13, 14 DSGVO). Eine individuelle Information der Betroffenen kann entfallen, wenn sie unmöglich ist oder unverhältnismäßigen Aufwand erfordert (Art. 14 Abs. 5 lit. b DSGVO). Für die Richtigkeit (Art. 5 Abs. 1 lit. d) empfiehlt der EDSA, nur aus verlässlichen Quellen zu scrapen, Zeitstempel zu erfassen und Daten vor dem Training zu validieren. Zur Datenminimierung (Art. 5 Abs. 1 lit. c) nennt er konkrete technische und organisatorische Maßnahmen.

Bei der Rechtsgrundlage baut die Leitlinie auf der EDSA-Stellungnahme 28/2024 zu KI-Modellen auf und konkretisiert das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) für den Scraping-Kontext mit weiteren Beispielen und Abwägungskriterien.

Deutlich wird der EDSA bei besonderen Kategorien personenbezogener Daten: Deren Verarbeitung ist nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Wird beim Scraping solche Daten erfasst, braucht es sowohl eine Rechtsgrundlage nach Art. 6 als auch einen Ausnahmetatbestand nach Art. 9 Abs. 2. Für inzidentell oder residual miterfasste sensible Daten kann laut EDSA die EuGH-Rechtsprechung in GC u. a. (C-136/17) relevant sein, sofern der Verantwortliche innerhalb seiner Verantwortlichkeiten, Befugnisse und Möglichkeiten handelt und geeignete technische und organisatorische Maßnahmen ergreift, um Erfassung und Weiterverbreitung zu verhindern. Eine generelle Ausnahme von Art. 9 gibt es nicht, jeder Fall ist einzeln zu beurteilen.

Blockchain: Finale Fassung nach Konsultation

Die Blockchain-Leitlinien (Guidelines 02/2025) liegen nun in finaler Fassung vor. Sie erklären die Funktionsweise verschiedener Blockchain-Architekturen und deren Auswirkungen auf die Verarbeitung personenbezogener Daten. Kernthemen bleiben die schwierige Verortung von Verantwortlichkeit in verteilten Systemen, die Spannung zwischen Unveränderlichkeit der Kette und dem Recht auf Löschung (Art. 17 DSGVO) sowie die Frage, ob On-Chain gespeicherte Hashes oder verschlüsselte Daten Personenbezug haben.

Zusätzlich hat der EDSA einen Bericht zum Konsultationsverfahren sowie eine Fassung mit nachverfolgten Änderungen veröffentlicht. Wer die inhaltliche Entwicklung gegenüber dem Entwurf nachvollziehen will, findet dort die konkreten Anpassungen.

Handlungsempfehlung

Für die beiden Entwürfe lohnt sich die Konsultationsphase bis 30. Oktober 2026. Fachverbände und betroffene Unternehmen können Stellungnahmen einbringen, gerade beim berechtigten Interesse und bei den Anforderungen an die Anonymisierung sind praxistaugliche Präzisierungen wünschenswert.

Unabhängig davon empfiehlt sich schon jetzt eine Bestandsaufnahme: Wo stützt sich eine Organisation auf Anonymität, und hält diese Einschätzung dem Drei-Kriterien-Test stand? Auf welcher Rechtsgrundlage werden Daten für KI-Training beschafft, und ist die Abwägung zum berechtigten Interesse dokumentiert? Wer diese Fragen vor Abschluss der Konsultation beantwortet, ist auf die finalen Fassungen gut vorbereitet.


Quellen: EDSA-Pressemitteilung vom 8. Juli 2026Leitlinien 02/2026 zur AnonymisierungLeitlinien zum Web-Scraping bei generativer KIfinale Blockchain-Leitlinien 02/2025.


Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Vibe, Mistral) erstellt.

Weiterlesen