linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
25.Januar 2024 | Team Datenschutz | Thema: Datenschutz

Anonymisierte oder pseudonymisierte Daten – Risiko?

Schlagwörter: Datenschutzverstoss | EuGH-Urteil | Rechtsprechung

Am 26. April 2023 erging ein Urteil des Gerichts der Europäischen Union (EuGH) bezüglich der Unterscheidung zwischen pseudonymisierten und anonymisierten Daten. Aus aktuellem Anlass greifen wir diese Thematik auf.

Das EuGH-Urteil und der Hintergrund

Die Entscheidung resultierte aus einem Abwicklungsverfahren einer spanischen Bank, das vom „SRB“ (Single Resolution Board) durchgeführt wurde. Die spanische Bank hatte Fragebögen an Gläubiger und Anteilseigner verschickt. Die beantworteten Fragebögen wurden anschließend an ein Beratungsunternehmen weitergeleitet. Die Namen der Befragten waren durch einen „alphanumerischen Code“ ersetzt, also pseudonymisiert worden. Um die Fragebögen einer Person zuzuordnen, war sowohl der alphanumerische Code als auch der Zugriff auf die entsprechende Klarnamen-Datenbank erforderlich. Das Beratungsunternehmen hatte nur Zugriff auf den alphanumerischen Code, während SRB Zugang zur Datenbank hatte.

Da den Befragten nicht mitgeteilt wurde, dass ihre Daten mittels Fragebogens an Dritte weitergegeben wurden, stellte sich die Frage, ob dies einen Verstoß gegen Art. 15 Abs. 1 lit. d) der Verordnung (EU) 2018/1725 darstellt, welcher dem Art. 13 Abs. 1 lit e) DSGVO entspricht.

Der Europäische Datenschutzbeauftragte bejahte diesen Verstoß, da die Daten in pseudonymisierter Form übermittelt wurden und somit als personenbezogene Daten gelten. Das SRB argumentierte hingegen, dass es sich für sie um anonymisierte Daten handelt, da das SRB keinen Personenbezug herstellen konnte.

Das Gericht entschied, dass die Unterscheidung zwischen anonymisierten und pseudonymisierten Daten davon abhängt, ob der Empfänger die Möglichkeit hat, die Personen zu reidentifizieren. Der Fokus liegt somit auf dem Standpunkt und den Mitteln des Empfängers. Sofern der Empfänger nicht über zusätzliche Mittel verfügt, die betroffenen Personen zu reidentifizieren und er nicht die Möglichkeit hat, auf solche Informationen zuzugreifen, handelt es sich gemäß EuG bei übermittelten Daten aus Sicht des Empfängers um anonyme Daten.
Dabei ist unerheblich, ob der Datenübermittler die Mittel zur Reidentifizierung besitzt.

Wer findet die Hintertür?

Diese empfängerbasierte Klassifizierung birgt allerdings auch Risiken, wie das nachfolgende Beispiel (Quelle: Datenschutz Praxis Januar 2024) zeigt: In den USA ist es einer cleveren Informatikerin gelungen, einem gekauften anonymisierten Datensatz mit Gesundheitsdaten durch Abgleich mit Zeitungsartikeln zu Krankenhauseinlieferungen eindeutig Personen zuzuordnen, denn bei 81 Zeitungsartikeln wurden die Namen der Betroffenen genannt. Die gekauften anonymisierten Daten hatten das Alter in Jahren und Monaten, die Ethnie, das Geschlecht, medizinische Daten und Verwaltungsdaten enthalten. Bei 35 Zeitungsartikeln (immerhin 43%) schaffte die Informatikerin eine eindeutige Zuordnung zu den anonymisierten Gesundheitsdaten, konnte also die Anonymisierung aufheben und die vermeintlich anonymisierten Gesundheitsdaten konkreten Personen zuordnen.

Fazit

Diese Beispiele zeigen, dass stets relevant ist und bedacht werden sollte, ob und falls ja in welcher Form anonymisierte Daten weiterverwendet werden.
Denn wie im zweiten Beispiel gezeigt, kann durch Verknüpfung mit anderen Daten eine Anonymisierung auch aufgehoben werden. Hingegen können, wie im ersten Beispiel bei einer Weitergabe im Auftragsverarbeitungskontext andere Parameter gelten.

Wie so oft im Datenschutz ist auch bei der Klassifizierung von Daten als anonym oder als personenbezogenen stets eine sorgfältige Einzelfallbetrachtung notwendig.

Quellen:

Das Urteil vom 26.3. 2023: Curia.europa.eu

WEKA Datenschutz Praxis Ausgabe Januar 2024, S. 8 (nicht kosten-, resp. abofrei einsehbar)

zurück
Themen
Schlagwörter
Girls-DayDSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarkleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
IHK-Online-Zertifikatslehrgang Modul 1 Betriebliche*r Datenschutzbeauftragte*r:...Postit - Online SchulungKleine Reihe DS 1Social Media im Unternehmen – Facebook (1)