Pseudonymisierte Drittübermittlung: EuGH-Urteil verschärft Datenschutzpflichten
Pseudonymisierte Drittübermittlung bleibt personenbezogen – EuGH setzt klare Grenzen
Der EuGH bestätigt: Pseudonymisierte Daten gelten als personenbezogen, wenn eine Re-Identifikation möglich ist. Im konkreten Fall übermittelte der Einheitliche Abwicklungsausschuss (SRB) Gläubiger-Stellungnahmen pseudonymisiert an Deloitte. Trotz der technischen Schutzmaßnahmen sieht der EuGH die Daten weiterhin als personenbezogen an. Entscheidend ist die Sicht des Verantwortlichen, also des SRB, zum Zeitpunkt der Datenverarbeitung. Die Verantwortung endet nicht mit der pseudonymisierten Drittübermittlung.
Informationspflicht bei pseudonymisierter Drittübermittlung: Vor der Weitergabe informieren
Der EuGH stellt klar, dass die Informationspflicht bereits vor der pseudonymisierten Drittübermittlung gilt. Der SRB hätte die betroffenen Personen vorab über die Datenweitergabe informieren müssen. Dabei spielt es keine Rolle, ob der Empfänger Deloitte die Daten als personenbezogen einstuft. Die Pflicht zur Transparenz gilt immer. Das Urteil stärkt nicht nur die Rechte der Betroffenen. Es unterstützt auch die Arbeit der Datenschutzaufsichtsbehörden, etwa des Europäischen Datenschutzbeauftragten (EDSB).
Fazit:
Pseudonymisierte Drittübermittlung ist kein Freibrief für Datenschutzlücken. Das EuGH-Urteil zeigt: Pseudonymisierung schützt zwar Daten, ersetzt aber nicht die Transparenzpflicht. Unternehmen und Behörden müssen die Informationspflicht ernst nehmen. Die betroffenen Personen müssen vor der Weitergabe pseudonymisierter Daten informiert werden. So bleibt der Datenschutz auch bei pseudonymisierter Drittübermittlung gewährleistet.
Links und Hinweise:
InfoCuria| Link zu Urteilen, Beschlüssen und Schlussanträgen des Europäischen Gerichtshofs
procado: Unser Angebot im Datenschutz| Mehr Informationen zu unseren Leistungen im Bereich Datenschutz
