DSGVO Pseudonymisierung: EuG Urteil | IT-Medienrecht

Erfahren Sie, wie das überraschende EuG-Urteil zur DSGVO und Pseudonymisierung die Datenpraxis revolutioniert. Jetzt informieren über Auswirkungen auf…

Das Wichtigste in Kürze

  • Das EuG hat entschieden, dass die DSGVO unter bestimmten Umständen nicht auf pseudonymisierte Daten anwendbar ist, insbesondere wenn der Datenempfänger keine Mittel zur Rückidentifizierung besitzt.
  • Pseudonymisierung ist ein Prozess, bei dem personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen keiner spezifischen Person zugeordnet werden können.
  • Im konkreten Fall (SRB/Deloitte) wurde eine Verletzung der Informationspflicht festgestellt, da Deloitte nicht als potenzieller Datenempfänger in der Datenschutzerklärung genannt wurde.
  • Trotz des Verstoßes verzichtete der EDSB auf Abhilfemaßnahmen, da der SRB technische und organisatorische Risikominderungsmaßnahmen ergriffen hatte.
  • Unternehmen müssen ihre Datenschutzerklärungen transparent gestalten und alle potenziellen Datenempfänger nennen, um die Informationspflichten gemäß DSGVO zu erfüllen.

Einleitung: DSGVO und pseudonymisierte Daten – Ein EuG-Urteil mit weitreichenden Folgen

Die Anwendung der Datenschutz-Grundverordnung (DSGVO) auf pseudonymisierte Daten ist ein kontroverses Thema. Es sorgt in der Rechts- und Datenschutzgemeinschaft für viel Diskussion. Pseudonymisierte Daten sind solche, bei denen Identifizierungsmerkmale entfernt oder ersetzt wurden. Dies soll die Identifizierung betroffener Personen verhindern oder erheblich erschweren. Die Frage, ob diese Daten als personenbezogene Daten im Sinne der DSGVO gelten, ist jedoch umstritten.

Kürzlich hat das Gericht der Europäischen Union (EuG) ein überraschendes Urteil gefällt. Dieses stellt die bisherige Rechtspraxis in Frage und sorgt für Aufsehen. In einer für viele unerwarteten Entscheidung hat das Gericht geurteilt, dass die DSGVO nicht anwendbar ist, wenn es sich um pseudonymisierte Daten mit relativem Personenbezug handelt.

Dies bedeutet, dass Daten so verarbeitet wurden, dass sie ohne zusätzliche Informationen nicht mehr direkt einer bestimmten Person zugeordnet werden können. Das Gericht ging noch weiter. Es stellte fest, dass die DSGVO auch dann nicht anwendbar ist, wenn der Datenempfänger keine Mittel zur Rückidentifizierung hat.

Mit anderen Worten: Kann der Empfänger die pseudonymisierten Daten keiner bestimmten Person zuordnen, fallen diese Daten nicht unter die DSGVO. Dieses Urteil stellt einen bedeutenden Wandel in der Interpretation und Anwendung der DSGVO dar. Es könnte weitreichende Auswirkungen auf die Datenschutzpraktiken von Unternehmen und Organisationen haben.

Was ist Pseudonymisierung?

Pseudonymisierung ist ein Prozess. Dabei werden personenbezogene Daten so verarbeitet, dass sie ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Dies wird oft durch die Ersetzung identifizierender Elemente in den Daten durch künstliche Identifikatoren oder Pseudonyme erreicht.

Diese zusätzlichen Informationen, die zur Identifizierung benötigt werden, müssen gesondert aufbewahrt werden. Sie unterliegen zudem technischen und organisatorischen Maßnahmen. Diese gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Beispiel: Gekürzte IP-Adressen in Google Analytics

Ein gutes Beispiel für eine solche Praxis ist die Verwendung von gekürzten IP-Adressen in Tools wie Google Analytics. Hierbei wird die IP-Adresse, die eine direkte Verbindung zu einem bestimmten Nutzer herstellen könnte, gekürzt oder „maskiert“. Dies soll die Identifizierung des Nutzers verhindern. Während dies die Privatsphäre des Nutzers schützt, stellt es auch eine Herausforderung für die Anwendung der DSGVO dar.

Die Frage ist, ob solche pseudonymisierten Daten, wie die gekürzten IP-Adressen, als personenbezogene Daten im Sinne der DSGVO betrachtet werden sollten. Das kürzlich ergangene Urteil des EuG deutet darauf hin, dass dies nicht der Fall ist. Voraussetzung ist, dass der Empfänger der Daten keine Möglichkeit zur Rückidentifizierung hat. Dies könnte bedeuten, dass Unternehmen, die Techniken wie die IP-Maskierung verwenden, möglicherweise nicht die vollständigen Anforderungen der DSGVO erfüllen müssen.

Es ist jedoch wichtig zu betonen, dass dies ein komplexes und sich schnell entwickelndes Rechtsgebiet ist. Unternehmen sollten daher sicherstellen, dass sie sich regelmäßig über die neuesten Entwicklungen und Urteile informieren und ihre Datenschutzpraktiken entsprechend anpassen.

Kernpunkte des Urteils

Das Gericht stellte fest, dass die vom SRB (Single Resolution Board) mit Deloitte geteilten Daten als pseudonymisiert angesehen werden können. Die Stellungnahmen der Konsultationsphase waren personenbezogene Daten. Der SRB hatte zudem den alphanumerischen Code geteilt. Dieser ermöglichte es, die während der Registrierungsphase eingegangenen Antworten mit denen der Konsultationsphase zu verknüpfen.

Es wurde weiterhin festgestellt, dass Deloitte im Sinne von Art. 3 Nr. 13 der Verordnung (EU) 2018/1725 Empfängerin personenbezogener Daten der Beschwerdeführer war. Die Datenschutzerklärung des SRB hatte Deloitte jedoch nicht als potenziellen Adressaten genannt. Dies stellt einen Verstoß gegen die in Art. 15 Abs. 1 Buchst. d der Verordnung (EU) 2018/1725 vorgesehenen Informationspflicht dar.

Auswirkungen und Empfehlungen

Trotz des festgestellten Verstoßes beschloss der EDSB (Europäischer Datenschutzbeauftragter), keinen Gebrauch von seinen Abhilfebefugnissen nach Art. 58 Abs. 2 der Verordnung (EU) 2018/1725 zu machen. Der SRB hatte nämlich technische und organisatorische Maßnahmen zur Risikominderung ergriffen. Dies geschah zum Schutz der Rechte der Personen auf Schutz ihrer Daten im Rahmen des Anhörungsverfahrens.

Der EDSB empfahl dem SRB jedoch, Folgendes sicherzustellen:

Dies dient der Einhaltung der Informationspflicht gegenüber den betroffenen Personen gemäß Art. 15 der Verordnung (EU) 2018/1725.

Fazit und Ausblick

Dieses Urteil des EuG unterstreicht die Bedeutung des Datenschutzes in allen Aspekten der Datenverarbeitung. Dies schließt auch sensible Bereiche wie die Bankabwicklung ein. Es betont die Notwendigkeit, dass alle beteiligten Parteien, einschließlich externer Berater, die Datenschutzbestimmungen einhalten.

Zudem muss die Transparenz gegenüber den betroffenen Personen gewährleistet sein. Dies betrifft die Verarbeitung ihrer personenbezogenen Daten und die Identität der Empfänger dieser Daten. Das Urteil zeigt auch, dass der EDSB bereit ist, pragmatische Entscheidungen zu treffen. Dies gilt, wenn Organisationen Maßnahmen zur Risikominderung ergreifen, auch bei Verstößen gegen Datenschutzbestimmungen.

Es ist jedoch klar, dass solche Verstöße ernst genommen und vermieden werden sollten. Nur so kann das Vertrauen der Öffentlichkeit in die Einhaltung der Datenschutzbestimmungen gewährleistet werden.

Es bleibt abzuwarten, wie sich dieses Urteil auf die zukünftige Anwendung der DSGVO auswirken wird. Es unterstreicht jedoch die Notwendigkeit, die Datenschutzbestimmungen in allen Aspekten der Datenverarbeitung einzuhalten und die Rechte der betroffenen Personen zu respektieren.

Fazit

Dieser Fall zeigt insgesamt, dass Datenschutz und die Anwendung der DSGVO auf pseudonymisierte Daten ein dynamisches und komplexes Feld bleiben. Es erfordert ständige Aufmerksamkeit und Anpassung. Es ist ein wichtiger Hinweis für alle Organisationen, die personenbezogene Daten verarbeiten. Sie müssen die Datenschutzbestimmungen konsequent einhalten und die Rechte der betroffenen Personen respektieren.

Häufig gestellte Fragen

Was ist Pseudonymisierung?
Pseudonymisierung ist ein Prozess, bei dem personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Dies geschieht oft durch das Ersetzen identifizierender Elemente durch künstliche Identifikatoren.
Wann gilt die DSGVO laut EuG-Urteil nicht für pseudonymisierte Daten?
Das EuG hat geurteilt, dass die DSGVO nicht anwendbar ist, wenn es sich um pseudonymisierte Daten mit relativem Personenbezug handelt und der Datenempfänger keine Mittel zur Rückidentifizierung hat.
Welches Beispiel wird für Pseudonymisierung im Artikel genannt?
Ein gutes Beispiel ist die Verwendung von gekürzten IP-Adressen in Tools wie Google Analytics, bei der die IP-Adresse maskiert wird, um die Identifizierung des Nutzers zu verhindern.
Welchen Verstoß stellte das EuG im Fall SRB und Deloitte fest?
Das EuG stellte fest, dass die Datenschutzerklärung des SRB Deloitte nicht als potenziellen Adressaten genannt hatte, was einen Verstoß gegen die Informationspflicht gemäß Art. 15 Abs. 1 Buchst. d der Verordnung (EU) 2018/1725 darstellt.
Welche Empfehlungen gab der EDSB dem SRB nach dem Urteil?
Der EDSB empfahl dem SRB, in künftigen Anhörungsverfahren die Datenschutzerklärungen umfassend zu gestalten und alle potenziellen Empfänger der erhobenen Daten zu nennen, um die Informationspflichten zu erfüllen.