EuGH-Urteil klärt Behandlung pseudonymisierter Daten

Der Europäische Gerichtshof (EuGH) hat eine wichtige Entscheidung zur Behandlung pseudonymisierter Daten getroffen und klargestellt, wann diese unter die Datenschutz-Grundverordnung (DSGVO) als personenbezogene Daten einzustufen sind. Der Gerichtshof betonte, dass der Personenbezug relativ und kontextabhängig zu beurteilen ist.

Im zugrundeliegenden Fall hatte eine EU-Behörde Kommentare pseudonymisiert, bevor sie an einen externen Dienstleister übermittelt wurden. Der EuGH entschied, dass die übermittelten Daten für den Dienstleister keine personenbezogenen Daten darstellten. Dies, weil ihm die zusätzlichen Kenntnisse und Mittel fehlten, um eine Identifizierung vorzunehmen, und realistischerweise nicht davon auszugehen war, dass er diese erlangen könnte. Die Behörde habe durch technische und organisatorische Maßnahmen eine Zuordnung wirksam verhindert.

Das Urteil verdeutlicht, dass Pseudonymisierung nicht automatisch Anonymisierung bedeutet. Pseudonymisierte Daten können für einen Empfänger aber wie anonym wirken, wenn dieser objektiv keine Möglichkeit hat, die Identität aufzudecken. Dieselben Daten können jedoch für einen anderen Empfänger weiterhin personenbezogen sein, wenn etwa zusätzliche Informationen vorliegen oder eine Verknüpfung realistisch möglich ist.

Die dhpg Unternehmensberatung hebt hervor, dass das Urteil Klarheit schafft und Erleichterungen für Bereiche wie KI-Entwicklung und Forschungsprojekte mit sich bringt. Gleichzeitig wirft es neue Fragen auf, insbesondere im Bereich der Auftragsverarbeitung. Wenn pseudonymisierte Daten an einen Auftragsverarbeiter übermittelt werden, der die Pseudonymisierung nicht aufheben kann, entstehen Unsicherheiten bezüglich der Notwendigkeit von Auftragsverarbeitungsverträgen. Die Verantwortlichkeit für den Datenschutz verbleibt beim ursprünglichen Datenverantwortlichen.