Das Gericht der Europäischen Union (EuG) hat entschieden, dass die Datenschutzgrundverordnung (DSGVO) nicht auf pseudonymisierte Daten anwendbar ist, wenn der Datenempfänger keine Mittel zur Rückidentifizierung hat. Dieses Urteil bricht mit der bisherigen Rechtspraxis und hat Auswirkungen auf die Anwendbarkeit der DSGVO.
Gemäß der DSGVO ist die Pseudonymisierung die Umwandlung von personenbezogenen Klartextdaten in Pseudonyme, bei der die betroffene Person mit zusätzlichen Informationen wieder identifiziert werden kann. Im Gegensatz dazu sind anonymisierte Daten nicht mehr identifizierbar und unterliegen nicht der DSGVO. Das EUG argumentiert, dass ein Personenbezug nur dann besteht, wenn der Datenempfänger über Mittel verfügt, mit welchen die betroffene Person wieder identifiziert werden kann. Im vorliegenden Fall ging es um pseudonymisierte Stellungnahmen von Betroffenen, die einem externen Wirtschaftsprüfer übermittelt wurden. Der Prüfer hatte keinen Zugang zu den Identifizierungsdaten und konnte die Personen somit nicht identifizieren. Daher entschied das Gericht, dass in diesem speziellen Fall die DSGVO nicht anwendbar ist.
Das Urteil könnte Auswirkungen auf die Praxis haben und den Anwendungsbereich der DSGVO einschränken. Es zeigt auch, dass es auf die spezifischen Umstände des Einzelfalls ankommt und weitere Diskussionen über die Definition von personenbezogenen Daten zu erwarten sind.
Source: Überraschungs-Urteil: DSGVO doch nicht anwendbar bei Pseudonymisierung?
Neueste Kommentare