kennt von Euch jemand das o.g. Urteil bzw. hat es schon durchgearbeitet?
Kurz gesagt: wenn pseudonymisierte personenbezogene Daten an einen Dritten übermittelt werden und dieser Dritte keine Möglichkeit (nach Breyer/EuGH) hat den Personenbezug herzustellen, dann handelt es sich nicht um personenbezogene Daten.
Damit ist meiner Meinung nach der Anwendungsbereich der DSGVO nicht eröffnet.
Relevant ist das u.a. bei der Frage: braucht man einen AVV mit dem Dritten oder nicht?
Ich freue mich über jegliche Gedanken zu dem Thema.
Ja, so sieht es aus. Wenn der Dritte den Personenbezug nicht herstellen kann, sind die Daten für ihn quasi anonym. Man sollte dabei aber gut aufpassen und sich immer fragen: Wie einfach wäre es, das Pseudonym aufzulösen? Gäbe es einen Weg? Wie schwer/teuer wäre der? Nicht zu leichtfertig meinen, das ginge nicht!
Das Urteil kannte ich bislang nicht. Vielen Dank daher für den Hinweis.
Für mich sieht es nach einem ersten Überfliegen des Textes der Entscheidung tatsächlich davon aus, als wenn der EuGH die faktische (relative) Anonymisierung für ausreichend erachtet, um den Personenbezug als nicht mehr gegeben ansehen zu können. Dies gäbe in meinen Augen zumindest einmal eine Rechtsklarheit. Zumal verschiedene Kommentierungen bislang immer von der Notwendigkeit einer absoluten Anonymisierung ausgegangen sind, um die Anwendbarkeit der DSGVO zu negieren.
Das erleichtert in vielen Fällen sicherlich die Arbeit mit den Daten, aber wie auch @bdsb schon in seinem Beitrag geschrieben hat - allzu leichtfertig darf man damit nicht umgehen.
Ich glaube, dass hier das Augen einem einen Streich spielen kann! Von der Existenz des EuG wusste ich bis zu diesem Urteil gar nichts.
Ich denke hier sollte man in der Tat nicht zu voreilig handeln, denn der EuGH kann dieses Urteil meines Wissens immer noch kippen!
ich sehe da keine wirkliche Rechtsklarheit. Sicherlich wird mit dem Urteil die faktische Anonymisierung wieder eingeführt und vielen erst mal das Leben erleichtert.
Aber diese Entscheidung fordert folgenden Disput heraus:
Anonyme Daten fallen nicht unter die DSGVO, das heißt, ich kann sie behandeln wie Kochrezepte und sie auf meiner Webseite veröffentlichen. Wenn diese Daten aber nun von einem Dritten (der meine Webseite liest) re-identifiziert werden können, habe ich ihm faktisch personenbezogene Daten bereitgestellt.
Muss ich fortan als DSB hinter allen Daten im Betrieb her sein, nicht nur den personenbezogenen Daten?
Wenn die Daten (relativ leicht) von irgendjemandem reidentifiziert werden können, dann sind sie ja gerade NICHT anonym. Wie gesagt: nicht zu schnell das Schild “anonym” anheften. Da muss man genau prüfen, wer ggf. wie leicht eine Re-Identifizierung machen könnte.
Dieses Gericht hat nicht entschieden, dass pseudonyme Daten evtl. keine p.b. Daten sind.
Es hat zu einem (Verwaltungs-) Streit zwischen EU-Institutionen geurteilt und eine Entscheidung der Datenschutzaufsicht “kassiert”.
Es hat dafür - vereinfacht gesagt - betrachtet, ob pseudonyme Daten für den Empfänger p.b. Daten sind. Und sich dazu mit Analogie-Betrachtungen auf das “Breyer Urteil” des EuGH bezogen.
Mit der Argumentation des Gerichts habe ich ein Problem:
Das Muster ist in etwa “EuGH sagt wenn A dann B = p.b. Daten”. Es argumentiert, dass A nicht (nachweislich) erfüllt ist. Also B = p.b. Daten nicht erfüllt ist. Anders formuliert: nur wenn A erfüllt ist, dann auch B.
Aber gerade das hat der EuGH im Breyer-Urteil nicht getan.
Im übrigen wäre der praktische Nutzen des falschen Verständnisses gering: Aufsichtsbehörden können sich immer bequem auf die Rechenschaftspflicht von Unternehmen/Behörden berufen. Und einen Nachweis zu führen, dass es keinerlei legitimen Mittel gibt die Pseudonymität aufzulösen, ist weitgehend aussichtslos. Siehe eben das Breyer-Urteil zu IP-Adressen.