Der Europäische Gerichtshof (EuGH) hat entschieden, dass pseudonymisierte Daten unter bestimmten Umständen weiterhin als personenbezogene Informationen gelten. Anlass war ein Streit zwischen dem Einheitlichen Abwicklungsausschuss (SRB) und dem EU-Datenschutzbeauftragten (EDSB) über die Weitergabe von Stellungnahmen nach der Abwicklung der Banco Popular Español. Der SRB hatte diese Daten pseudonymisiert an Deloitte übermittelt, ohne die Betroffenen zu informieren. Mehrere Beteiligte beschwerten sich daraufhin beim EDSB.
Der EDSB sah darin eine Verletzung der Informationspflicht und stufte die Daten weiterhin als personenbezogen ein. Während das Gericht der Europäischen Union (EuG) zunächst dem SRB rechtgab, entschied der EuGH in der Berufung zugunsten des EDSB. Er stellte klar, dass persönliche Meinungen und Ansichten eng mit den jeweiligen Personen verbunden bleiben und die Beurteilung der Identifizierbarkeit aus Sicht des ursprünglichen Datenverantwortlichen erfolgen muss.
Damit betont das Urteil, dass Unternehmen und Behörden ihre Informationspflicht nicht mit dem Hinweis auf eine Pseudonymisierung umgehen dürfen. Entscheidend ist, dass Betroffene vor einer Weitergabe über die Verarbeitung informiert werden. Pseudonymisierung bleibt zwar eine wichtige Maßnahme, stellt aber keine Anonymisierung dar. Der EuGH bekräftigte damit frühere Urteile, wonach Daten wie dynamische IP-Adressen personenbezogen bleiben, wenn eine Re-Identifizierung durch zusätzliche Informationen möglich ist. Das Urteil stärkt die Transparenzpflicht und die Verantwortung des Datenverantwortlichen im Datenschutz.
Dieses Urteil verdeutlicht einmal mehr, wie komplex und dynamisch die Anforderungen an Datenschutz und IT-Sicherheit geworden sind. Gerade die Unterscheidung zwischen pseudonymisierten und anonymisierten Daten sowie die Pflicht zur Information der Betroffenen zeigen, dass Unternehmen und Behörden sorgfältig prüfen müssen, wie sie Daten verarbeiten und weitergeben.
👉 Hier setzt unser Beratungsangebot an: Wir unterstützen Sie dabei, datenschutzkonforme Prozesse zu implementieren, Risiken zu minimieren und IT-Sicherheitsmaßnahmen zu optimieren, damit Sie sowohl rechtlichen Vorgaben gerecht werden als auch das Vertrauen Ihrer Kunden stärken.
Unser Angebot für Sie:
- Kostenloses und unverbindliches Erstgespräch
- Praxisnahe Datenschutz-Beratung für datengetriebene Plattformen
- Entwicklung individueller Datenschutzkonzepte (DSGVO)
- Beratung zur Umsetzung von IT-Sicherheitsstandards (ISO 27001)
- Mitarbeiterschulungen zu Analyse-Software und Datenschutz
- Prüfung Ihrer Datenschutzerklärung bei Cloud-Nutzung
- Beratung zur Nutzung von Cloud-Systemen und digitalen Plattformen
- Unterstützung bei Prüfungen durch Aufsichtsbehörden
Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Unternehmen zur
rechtskonformen und sicheren Datenverarbeitung
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit
Quellen und Links:
EuGH stärkt Datenschutz: Pseudonymisierung allein reicht nicht immer
https://www.heise.de/news/EuGH-staerkt-Datenschutz-Pseudonymisierung-allein-reicht-nicht-immer-10632783.html
Orientierungshilfe Nutzung von E-Mail und Internetdiensten am Arbeitsplatz
https://www.datenschutzkonferenz-online.de/media/oh/201601_oh_email_und_internetdienste.pdf
Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten(NI-ICS)
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Digitales/OnlineKom/NICS/Hinweispapier_NIICS.pdf?__blob=publicationFile&v=3
Datenschutzbehörde NRW: Fernmeldegeheimnis entfällt bei privater Nutzung von Email und Internet im Betrieb
https://www.delegedata.de/2024/07/endlich-keine-anwendbarkeit-des-fernmeldegeheimnisses-fuer-arbeitgeber-bei-erlaubter-geduldeter-privater-nutzung-von-betrieblichen-e-mail-oder-internetdiensten-datenschutzbehoerde-nrw/
Datenschutzberatung | tec4net GmbH München
https://www.tec4net.com/web/datenschutz/
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com