Wo liegt die Grenze zwischen Anonymisierung und Pseudonymisierung?
Als Anwalt wird man oft mit folgender Fallkonstellation konfrontiert: Ein Verantwortlicher verfügt über einen Datensatz mit pseudonymisierten Daten. Er kann den Personenbezug durch zusätzliche Informationen herstellen, die Daten sind somit eindeutig personenbezogene Daten. Nun wird der Datensatz an einen Empfänger weitergegeben. Der Empfänger verfügt nicht über die zusätzlichen Informationen und kann den Personenbezug damit nicht herstellen. Wo liegt nun die Grenze zwischen Anonymisierung und Pseudonymisierung?
Unser Aufsatz in der Zeitschrift Datenschutz Konkret
In der obigen Fallkonstellation war umstritten, ob nun beim Empfänger personenbezogene Daten vorliegen. Dieses Thema haben wir bereits in einem Aufsatz 2018 in der Dako besprochen (Dako 2018/33, https://lnkd.in/g2mt-NDW) und für einen relativen Ansatz plädiert, also dass es auf den Empfängerhorizont ankommt. Heißt also: Ein Datensatz kann für den einen pseudonymisiert, also personenbezogen sein, für den anderen ist der Datensatz jedoch anonymisiert. Außerdem haben Ermano Geuer und sein damaliger Kollege Alexander Wollmann das Thema mit besonderem Fokus auf Art 26 und Art 28 DSGVO in der jusIT besprochen (jusIT 2020/6).
Aktuelle Entscheidung des Europäischen Gerichts
Erfreulicherweise hat sich das EuG in der Entscheidung T‑557/20 für eine ähnliche Argumentation entschieden. Es kommt laut EuG darauf an, ob der Empfänger über die zusätzlichen Informationen verfügt bzw sich diese beschaffen kann. Hierzu nimmt das EuG auch auf die Rechtssache Breyer (EuGH, C‑582/14) Bezug, welche immer wieder pauschal für einen angeblichen Personenbezug von IP-Adressen herangezogen wird. Dabei hat der EuGH damals auf die spezifische Rechtslage in Deutschland im Zusammenhang mit Urheberrechtsverletzungen abgestellt.
Aus unserer Sicht handelt es sich um eine erfreuliche Entwicklung, die Akteuren beim Umgang mit Daten gewisse Spielräume einräumt. Sofern ein Datenset mit für den Verantwortlichen pseudonymen Daten einem Empfänger übermittelt wird, der den Personenbezug nicht herstellen kann, dürften auch Analysen großer Datenmengen möglich sein, ohne dass die strengen Vorgaben der DSGVO beachtet werden müssen.
Quellen:
Unser Aufsatz aus 2018 (RDB-Zugang erforderlich)