Ausgangspunkt der Entscheidung des EuG war die Klage des Einheitlichen Abwicklungsausschusses (SRB) gegen die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB), der in den übermittelten Stellungnahmen betroffener Personen einer insolvenzbedrohten Bank an einen externen Wirtschaftsprüfer trotz Pseudonymisierung durch einen alphanummerischen Code eine Anwendung der Vorschriften der DSGVO forderte, da es sich bei den Daten trotz Pseudonymisierung um personenbezogene Daten handele.
Pseudonymisierung ist laut Art. 4 Nr. 5 DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
In eine seiner jüngsten Entscheidungen hat das EuG daher entschieden, dass die DSGVO nicht anwendbar ist, wenn pseudonymisierte Daten mit einem relativen Personenbezug verarbeitet werden und der Datenempfänger keine Mittel zur Rückidentifizierung hat.
Solange der Empfänger also wie im vorliegenden Fall durch den alphanummerischen Code die Verfasser der Stellungnahmen nicht identifizieren kann und keinen Zugang zu den Identifikationsdaten hat, die während der Registrierungsphase erhoben wurden, ist die DSGVO nicht anwendbar.
Allerdings zeigt die Entscheidung auch, dass es gerade bei der Anwendung der DSGVO auf Nuancen ankommt und eine datenschutzrechtliche Prüfung hinsichtlich der Weitergabe auch pseudonymisierter Daten empfohlen wird.
Als Datenschutzbeauftragter stehe ich Ihnen dabei gerne zur Seite und berate Sie datenschutzrechtlich.
