Der Europ\u00e4ische Gerichtshof (EuGH) hat mit dem \u201eSRB\u201c-Urteil eine wichtige Entscheidung zum datenschutzkonformen Umgang mit pseudonymisierten Daten getroffen, die insbesondere f\u00fcr Unternehmen in der AdTech-Branche von Bedeutung ist, aber auch f\u00fcr die digitale Medizin relevant ist. Im Mittelpunkt steht dabei die Frage, wann Daten als personenbezogen gelten und wann nicht. Der Ausgangspunkt ist dabei altbekannt: W\u00e4hrend personenbezogene Daten Informationen sind, die sich direkt oder indirekt einer nat\u00fcrlichen Person zuordnen lassen, fallen anonyme Daten nicht unter die Datenschutz-Grundverordnung. Pseudonymisierte Daten nehmen hier eine Zwischenstellung ein: Sie k\u00f6nnen zwar nicht ohne Weiteres einer Person zugeordnet werden, sind jedoch theoretisch wieder identifizierbar, insbesondere f\u00fcr denjenigen, der die Pseudonymisierung vorgenommen hat.
\u00a0
Bisher wurde in der Praxis \u00fcberwiegend der so genannte absolute Ansatz verfolgt, wonach Daten als personenbezogen gelten, sobald\u00a0irgendeine\u00a0Stelle sie mit vertretbarem Aufwand einer Person zuordnen kann. Der EuGH stellt im SRB-Urteil jedoch klar, dass es auf die Perspektive des\u00a0jeweils Verantwortlichen\u00a0ankommt. Im konkreten Fall betraf dies die Weitergabe pseudonymisierter Daten: F\u00fcr den Empf\u00e4nger waren diese Daten anonym, da er die Pseudonymisierung f\u00fcr sich nicht aufl\u00f6sen konnte. F\u00fcr den Absender dagegen blieben die Daten personenbezogen, sodass er gegen\u00fcber den betroffenen Personen zur Information verpflichtet war. Damit hebt das Gericht hervor, dass pseudonymisierte Daten je nach Blickwinkel unterschiedlich eingestuft werden k\u00f6nnen, die Compliance-Pflichten jeweils aus Sicht des konkret Handelnden zu pr\u00fcfen sind.
\u00a0
F\u00fcr die AdTech-Branche bedeutet dies zun\u00e4chst, dass Tracking-Daten wohl weiterhin in aller Regel als personenbezogen zu behandeln sind \u2013 obwohl sie nur Pseudonyme enthalten. Zwar sind Ausnahmekonstellationen denkbar, etwa bei der T\u00e4tigkeit von rein technischen Dienstleistern oder bei der Nutzung von Data Clean Rooms. Letztere k\u00f6nnen eine datenschutzfreundliche L\u00f6sung darstellen, da die pseudonymen Tracking-Daten f\u00fcr den Betreiber des Clean Rooms zumindest nach einer Maskierung der Identifier als anonym gelten k\u00f6nnen. F\u00fcr die an einem solchen Datenaustausch teilnehmenden Unternehmen bleiben sie jedoch personenbezogen, sodass die Anforderungen an eine ausreichende Rechtsgrundlage, die Transparenz und die Wahrung der Betroffenenrechte fortbestehen. Der praktische Nutzen solcher Konstruktionen ist daher begrenzt.
\u00a0
Insgesamt bringt das SRB-Urteil deshalb keine grundlegende \u00c4nderung des anwendbaren Ma\u00dfstabs, wohl aber eine wichtige Klarstellung: Unternehmen m\u00fcssen den Personenbezug von Daten stets aus ihrer eigenen Perspektive pr\u00fcfen und ihre Compliance-Pflichten entsprechend bewerten. Wer sich tats\u00e4chlich auf die Anonymit\u00e4t von Daten st\u00fctzen m\u00f6chte, sollte dies sorgf\u00e4ltig dokumentieren und argumentativ absichern.<\/p>\n\n\n\n
(Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Europ\u00e4ische Gerichtshof (EuGH) hat mit dem \u201eSRB\u201c-Urteil eine wichtige Entscheidung zum datenschutzkonformen Umgang mit pseudonymisierten Daten getroffen, die insbesondere f\u00fcr Unternehmen<\/p>\n