{"id":1647,"date":"2023-05-31T11:05:23","date_gmt":"2023-05-31T09:05:23","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1647"},"modified":"2023-05-31T11:05:23","modified_gmt":"2023-05-31T09:05:23","slug":"wirksame-anonymisierung-oder-doch-nur-pseudonymisierung","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1647&lang=de","title":{"rendered":"Wirksame Anonymisierung \u2013 oder doch nur Pseudonymisierung?"},"content":{"rendered":"\n<p><strong>EU-Gericht urteilt zum Personenbezug bei verschl\u00fcsselten Daten<\/strong><\/p>\n\n\n\n<p>Personenbezogene Daten werden h\u00e4ufig pseudonymisiert verarbeitet, indem unmittelbar identifizierende Klardaten (zum Beispiel Namen) mit Kennungen oder Codes ersetzt werden. Die Stelle, die eine Pseudonymisierung vornimmt, beh\u00e4lt aber in der Regel Mittel in der Hand, um die hinter den pseudonymen Kennungen stehenden Personen weiterhin zu identifizieren, sodass das Datenschutzrecht und die DSGVO auf diese Daten weiterhin unmittelbar anwendbar bleiben.<\/p>\n\n\n\n<p>Wie ist jedoch der Fall zu bewerten, wenn diese verschl\u00fcsselten Daten an ein anderes Unternehmen weitergegeben werden? Genau diese Frage musste das Europ\u00e4ische Gericht (\u201eEuG\u201c) k\u00fcrzlich beantworten (Urteil vom 26.&nbsp;April 2023, Az. T-557\/20). (Hinweis: Das EuG ist eine Vorinstanz zum Europ\u00e4ischen Gerichtshof (\u201eEuGH\u201c) und mit diesem daher nicht zu verwechseln!)<\/p>\n\n\n\n<p><strong>Der Sachverhalt<\/strong><\/p>\n\n\n\n<p>Das Single Resolution Board (\u201eSRB\u201c), das als EU-Institution die Abwicklung von Insolvenz im Finanzsektor begleitet, erfasste \u00fcber ein Online-Formular pers\u00f6nliche Stellungnahmen und gab diese Daten an eine Beratungsfirma weiter, ohne die Betroffenen dar\u00fcber zu informieren. Vor der Weitergabe ersetzte das SRB die Namen jedoch jeweils mit einem Code.<\/p>\n\n\n\n<p>Der nach einer Beschwerde eingeschaltete Europ\u00e4ische Datenschutzbeauftragte (\u201eEDSB\u201c) sah hierin eine Weitergabe von pseudonymisierten \u2013 und damit personenbezogenen \u2013 Daten der Betroffenen an einen Dritten. Entsprechend h\u00e4tte das SRB die Betroffenen \u00fcber die Datenweitergabe informieren m\u00fcssen.<\/p>\n\n\n\n<p>Der SRB f\u00fchrte hiergegen an, dass es sich bei den weitergegebenen Daten um&nbsp;<em>anonymisierte<\/em>&nbsp;Daten handeln w\u00fcrde. So habe der SRB die f\u00fcr die Reidentifizierung der Interessenten erforderlichen Daten nicht mit der Beratungsfirma geteilt. Au\u00dferdem st\u00fcnde letzterer kein Recht zu, auf die beim SRB liegenden Informationen zuzugreifen, um die Interessenten hinter den Codes zu ermitteln.<\/p>\n\n\n\n<p><strong>Urteil: Die Perspektive des Datenempf\u00e4ngers muss ber\u00fccksichtigt werden<\/strong><\/p>\n\n\n\n<p>Das EuG f\u00fchrte in seiner Entscheidung aus, dass es f\u00fcr die Frage, ob pseudonymisierte Daten, die an ein anderes Unternehmen \u00fcbermittelt werden, als personenbezogene Daten nach der DSGVO einzustufen sind, auf die Sicht des&nbsp;<em>Datenempf\u00e4ngers<\/em>&nbsp;ankommt. Es muss insoweit gepr\u00fcft werden, ob der Datenempf\u00e4nger (zul\u00e4ssige) Mittel besitzt, die er vern\u00fcnftigerweise einsetzen kann, um die betroffenen Personen zu identifizieren. Diese Pr\u00fcfung hatte der EDSB in dem vorliegenden Verfahren jedoch unterlassen und es f\u00fcr ausreichend befunden, dass jedenfalls das SRB eine Identifizierung vornehmen konnte.<\/p>\n\n\n\n<p><strong>Einordnung f\u00fcr die Praxis<\/strong><\/p>\n\n\n\n<p>Das EuG setzt mit seinem Urteil die bekannte \u201eBreyer\u201c-Rechtsprechung des EuGH aus dem Jahr 2016 konsequent fort. Es deutet hiermit an: Wenn ein Datenempf\u00e4nger tats\u00e4chlich&nbsp;<em>nicht&nbsp;<\/em>\u00fcber zus\u00e4tzliche Informationen verf\u00fcgt, die ihm eine erneute Identifizierung der betroffenen Personen erm\u00f6glichen, und wenn ihm&nbsp;<em>keine<\/em>&nbsp;rechtlichen Mittel zur Verf\u00fcgung stehen, um auf diese Informationen zuzugreifen, stellen die ihm \u00fcbermittelten (pseudonymisierten) Daten&nbsp;<em>keine<\/em>&nbsp;personenbezogenen Daten dar. Die DSGVO ist f\u00fcr die Verarbeitung dieser Daten in der Konsequenz auch&nbsp;<em>nicht<\/em>&nbsp;anwendbar.<\/p>\n\n\n\n<p>Auf den ersten Blick sind dies gute Nachrichten insbesondere f\u00fcr Unternehmen in der Werbebranche, die pseudonymisierte Daten f\u00fcr das Anzeigen von Werbung speichern und verwenden, wie zum Beispiel Data Management Plattformen.<\/p>\n\n\n\n<p>Die Feststellungen im Urteil gelten jedoch nur unter dem Vorbehalt, dass Identifier in diesen Datens\u00e4tzen nicht doch noch andere Identifikatoren vorhanden sind. In der Praxis sind solche&nbsp;<em>voll<\/em>verschl\u00fcsselten und damit anonymisierten Datens\u00e4tze allerdings nur selten anzutreffen, da die Kombination der unterschiedlichen Datenkategorien in der Regel doch einen R\u00fcckschluss zu den betroffenen Personen erlauben. Die praktischen Auswirkungen des Urteils werden daher gering sein.<\/p>\n\n\n\n<p>In \u00dcbrigen ist eine Berufung zum EuGH m\u00f6glich und auch nicht unwahrscheinlich. Es bleibt daher abzuwarten, ob das Urteil des EuG vor dem Gerichtshof bestehen wird.<\/p>\n\n\n\n<p>(Dr. Frank Eickmeier, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>EU-Gericht urteilt zum Personenbezug bei verschl\u00fcsselten Daten Personenbezogene Daten werden h\u00e4ufig pseudonymisiert verarbeitet, indem unmittelbar identifizierende Klardaten (zum Beispiel Namen) mit Kennungen<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1647&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1647"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1647"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1647\/revisions"}],"predecessor-version":[{"id":1648,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1647\/revisions\/1648"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}