Schlagwort: anonymisierte Daten

EU-Gericht: Wann gelten pseudonymisierte Daten als personenbezogene Daten?

3. Mai 2023

Am 26. April 2023 erließ das Gericht der Europäischen Union sein Urteil in der Rechtssache T-557/20, SRB gegen EDSB. Das Gericht stellte dabei fest, dass pseudonymisierte Daten, die an einen Datenempfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Datenempfänger nicht über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt. Das Gericht stellte auch klar, dass die Meinungen einer Person nicht als personenbezogene Daten angesehen werden können; vielmehr ist eine Einzelfallprüfung erforderlich.

Hintergrund

Der einheitliche Abwicklungsausschuss (Single Resolution Board – SRB) verwendete ein elektronisches Formular, mit dem interessierte Parteien ihre Meinung äußern konnten, und gab die eingegangenen Antworten an ein Beratungsunternehmen weiter. Bevor die Antworten weitergegeben wurden, ersetzte der SRB den Namen jedes Befragten durch einen Code. Nach einer Reihe von Beschwerden entschied der Europäische Datenschutzbeauftragte (EDSB), dass der SRB pseudonymisierte personenbezogene Daten an das Beratungsunternehmen weitergegeben hatte, ohne die betroffenen Personen über diese Weitergabe zu informieren. Der SRB vertrat die Auffassung, dass diese Information nicht notwendig war, da die übermittelten Daten anonymisiert waren und folglich nicht als personenbezogene Daten für den Datenempfänger angesehen werden konnten.

Pseudonyme oder anonyme Daten?

Das Gericht betonte, dass im Einklang mit der Entscheidung des Gerichtshofs in der Rechtssache Breyer bei der Feststellung, ob pseudonymisierte Informationen, die an einen Datenempfänger übermittelt werden, personenbezogene Daten darstellen, die Perspektive des Datenempfängers zu berücksichtigen ist. Verfügt der Datenempfänger über keine zusätzlichen Informationen, die es ihm ermöglichen, die betroffenen Personen zu reidentifizieren, und hat er keine rechtlichen Möglichkeiten, auf solche Informationen zuzugreifen, können die übermittelten Daten als anonymisiert und somit nicht als personenbezogene Daten betrachtet werden. Die Tatsache, dass der Datenübermittler über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt, ist irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind.

Stellungnahme des Gerichts

Das Gericht stellte ferner fest, dass persönliche Ansichten oder Meinungen zwar personenbezogene Daten darstellen können, dies aber nicht vorausgesetzt werden kann. Stattdessen ist eine Einzelfallbewertung erforderlich, “die auf der Prüfung der Frage beruht, ob eine Ansicht aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person verbunden ist”.

 

Weiterleitungen von Gerichtsentscheidung dürfen nur anonymisiert erfolgen

1. Oktober 2021

Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.

Sachverhalt

Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.

In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.

Die Entscheidung

Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.

Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.

Ergebnisse des Konsultationsverfahrens zur Anonymisierung

1. Juli 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat die Ergebnisse des ersten öffentlichen Konsultationsverfahrens veröffentlicht. Thema ist die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche.

Zusammengefasst ist die Anonymisierung personenbezogener Daten auch im Telekommunikationssektor grundsätzlich möglich. Besonderes Augenmerk verdient dabei die Validität des eingesetzten Anonymisierungsverfahrens. Eine Verpflichtung zur unverzüglichen Löschung ist durch eine Anonymisierung erfüllbar, hier ist allerdings ein strengerer Maßstab anzulegen.

Dazu führte der BfDI aus: “Wir haben viele Stellungnahmen aus Wirtschaft und Wissenschaft, von Behörden und der Zivilgesellschaft erhalten. Die verschiedenen Ansichten spiegeln dabei die Komplexität des Themas wider. Nach Auswertung aller Beiträge veröffentlichen wir jetzt unser Positionspapier, um für mehr Rechtssicherheit bei den von mir beaufsichtigten Stellen zu sorgen. Ich bedanke mich bei allen, die sich an unserem ersten Konsultationsverfahren beteiligt haben.”

Im Februar diesen Jahres hat der BfDI das erste öffentliche Konsultationsverfahren eröffnet, bei dem Vertreter aus Politik, Wissenschaft, Wirtschaft, Gesellschaft und Verwaltung Stellung zu dem Thema beziehen konnten. Kernfragen waren u.a. ob die Anonymisierung personenbezogener Daten rechtfertigungsbedürftig ist und auf welche Rechtsgrundlage sie sich stützen lässt. Das Positionspapier und die eingegangenen Stellungnahmen sind auf der Website des BfDI abrufbar.

Österreichische Datenschutzbehörde: Löschung nicht gleich Vernichtung

13. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.

Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.

Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.

Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

GFF zieht wegen Testlauf zur Volkszählung 2021 vor das BVerfG

4. Februar 2019

Das Thema der Volkszählungen beunruhigt die Gesellschaft in Deutschland immer wieder. Ein knappes Jahr nach dem Inkrafttreten der DSGVO kritisieren die Datenschützer den für Mitte Januar bis Mitte Februar 2019 geplanten Zensus-Probelauf wegen fehlender Anonymisierung. Die Gesellschaft für Freiheitsrechte ruft das BVerfG an.

Aufgrund der für das Jahr 2021 geplanten Volkszählung hat der Bundestag das Zensusvorbereitungsgesetz (ZensVorbG 2021) am 03.03.2017 verabschiedet. Nach § 1 ZensVorbG wird der Zensus 2021 als eine Kombination aus Bevölkerungszählung und Erfassung des Bestandes an Gebäuden mit Wohnraum und Wohnungen durchgeführt.

Der Grund für die Einschaltung des BVerfG ist der eingeführte § 9a ZensVorbG, wonach zur Vorbereitung des registergestützten Zensus ein Testlauf zur Prüfung der Übermittlungswege und der Qualität der übermittelten Daten aus den Melderegistern ermöglicht wurde.

Die Gesellschaft für Freiheitsrechte (GFF) sieht in der Übermittlung und Speicherung einer großen Zahl echter Daten wie Name, Geschlecht, Familienstand, Religionszugehörigkeit ohne Anonymisierung einen Verstoß gegen das Grundrecht auf informationelle Selbstbestimmung und will den Testlauf stoppen.

Die GFF ist der Meinung, die vorgegebene zweijährige Speicherdauer stellt ein großes Risiko dar und sie befürchtet, dass durch die Speicherung von echten Daten von bis zu 82 Millionen Menschen diese Daten zum Magnet für Missbrauch und unbefugte Beschaffung werden.

Auf der anderen Seite verweist der Staat auf die EU-weite Verpflichtung aus der EU VO Nr. 712/2017, wonach der Zensus 2021 für alle EU-Staaten verbindlich ist. Die gewonnenen Daten sollen die Grundlage für die Berechnung der Verteilung von EU-Fördermitteln und von Steuermitteln sein. Um diese Ziele zu erreichen, ist der Testlauf unverzichtbar.

Das BVerfG soll im Rahmen eines einstweiligen Rechtsschutzverfahrens darüber entscheiden, ob die Erhebung echter, nicht anonymisierter Daten im Rahmen eines Testlaufs das Grundrecht auf informationelle Selbstbestimmung verletzt.


Adresshandel mit Post-Daten im Bundestagswahlkampf?

4. April 2018

Die Datenschutzbehörde überprüft derzeit, ob die Post-Tochter “Post Direkt” im Bundestagswahlkampf 2017 mit Adressen gehandelt hat. Der zuständige Datenschutzbeauftragte hat nun zu prüfen, ob der Adresshandel im Einklang mit dem Bundesdatenschutzgesetz steht. Zuständig für die Überprüfung ist die Landesdatenschutzbehörde, da der Sitz des Unternehmens in NRW liegt und es sich nicht um klassische Postdienste handelt, für die der Bundesdatenschutzbeauftrage zuständig wäre.

CDU und FDP hatten bereits versichert, nur anonymisierte Daten genutzt zu haben. SPD, Grüne, Linke und AfD haben der Bild am Sonntag erklärt, während des Wahlkampfes nicht mit Post-Daten gearbeitet zu haben.

Der Handel mit anonymisierten Daten und Adressen ist nicht generell illegal. Möglich ist jedoch ein Bußgeld in Höhe von bis zu 300.000 Euro, wenn mit personalisierten Daten gehandelt wird. Die Staatsanwaltschaft muss sich dann mit dem Fall beschäftigen, wenn eine Absicht nachweisbar ist, sich damit zu bereichern oder andere zu schädigen. Laut Medienberichten hatte die Deutsche Post beteuert, ihre Tochter speichere und verarbeite “personenbezogene Daten bei strikter Einhaltung des Bundesdatenschutzgesetzes”. Es käme dabei lediglich zu einer Darstellung statistischer Wahrscheinlichkeitswerte und nicht der von personenbezogenen Daten. Es bestünde kein Bezug der Daten auf einzelne Haushalte.

Die Datenschutzbehörde empfiehlt allen Verbrauchern, die wissen möchten, was über sie gespeichert wurde, sich bei Post Direkt in Troisdorf zu erkundigen.