DSGVO und Pseudonymisierung: Ein überraschendes Urteil des EuG

Kernpunkte des Urteils

Das Gericht stellte fest, dass die vom SRB mit Deloitte geteilten Daten als pseudonymisierte Daten angesehen werden können, da die Stellungnahmen der Konsultationsphase personenbezogene Daten waren und der SRB den alphanumerischen Code geteilt hat, anhand dessen die während der Registrierungsphase eingegangenen Antworten mit denen der Konsultationsphase verknüpft werden konnten.

Es wurde auch festgestellt, dass Deloitte im Sinne von Art. 3 Nr. 13 der Verordnung 2018/1725 Empfängerin personenbezogener Daten der Beschwerdeführer war. Die Tatsache, dass Deloitte in der Datenschutzerklärung des SRB nicht als potenzielle Adressatin der im Rahmen des Anhörungsverfahrens vom SRB als Verantwortlichem erhobenen und verarbeiteten personenbezogenen Daten genannt wird, stellt einen Verstoß gegen die in Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 vorgesehenen Informationspflicht dar.

Auswirkungen und Empfehlungen

Trotz des festgestellten Verstoßes beschloss der EDSB, keinen Gebrauch von seinen Abhilfebefugnissen nach Art. 58 Abs. 2 der Verordnung 2018/1725 zu machen, da der SRB technische und organisatorische Maßnahmen zur Risikominderung für das Recht der Personen auf Schutz ihrer Daten im Rahmen des den Anspruch auf Anhörung betreffenden Verfahrens ergriffen hatte.

Der EDSB empfahl jedoch dem SRB, in künftigen den Anspruch auf Anhörung betreffenden Verfahren sicherzustellen, dass seine Datenschutzerklärungen die Verarbeitung personenbezogener Daten sowohl während der Registrierungs- als auch während der Konsultationsphase abdecken und dass sie alle potenziellen Empfänger der erhobenen Daten einschließen, um der gemäß Art. 15 der Verordnung 2018/1725 gegenüber den betroffenen Personenbestehenden Informationspflicht nachzukommen.

Fazit und Ausblick: Datenschutz und Pseudonymisierung in der Praxis

Dieses Urteil des EuG unterstreicht die Bedeutung des Datenschutzes in allen Aspekten der Datenverarbeitung, einschließlich sensibler Bereiche wie der Bankabwicklung. Es betont die Notwendigkeit, dass alle beteiligten Parteien, einschließlich externer Berater, die Datenschutzbestimmungen einhalten und die Transparenz gegenüber den betroffenen Personen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten und der Identität der Empfänger dieser Daten gewährleisten.

Das Urteil zeigt auch, dass der EDSB bereit ist, pragmatische Entscheidungen zu treffen, wenn Organisationen Maßnahmen zur Risikominderung ergreifen, auch wenn sie gegen Datenschutzbestimmungen verstoßen haben. Es ist jedoch klar, dass solche Verstöße ernst genommen und vermieden werden sollten, um das Vertrauen der Öffentlichkeit in die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Es bleibt abzuwarten, wie sich dieses Urteil auf die zukünftige Anwendung der DSGVO auswirken wird. Es unterstreicht jedoch die Notwendigkeit, die Datenschutzbestimmungen in allen Aspekten der Datenverarbeitung einzuhalten und die Rechte der betroffenen Personen zu respektieren.

Insgesamt zeigt dieser Fall, dass das Thema Datenschutz und insbesondere die Anwendung der DSGVO auf pseudonymisierte Daten weiterhin ein dynamisches und komplexes Feld ist, das ständige Aufmerksamkeit und Anpassung erfordert. Es ist ein wichtiger Hinweis für alle Organisationen, die personenbezogene Daten verarbeiten, und unterstreicht die Notwendigkeit, die Datenschutzbestimmungen in allen Aspekten der Datenverarbeitung einzuhalten und die Rechte der betroffenen Personen zu respektieren.