Das neue Jahr ist noch recht jung und dennoch sind bereits wichtige Dokumente der Aufsichtsbehörden erschienen. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor wenigen Tagen die Leitlinien 01/2025 zur Pseudonymisierung und gibt mit dem rund 45 Seiten umfassenden Dokument gute Hilfestellungen für die Praxis.

Allen voran stellt der ESDA fest, dass die Pseudonymisierung eine in der DSGVO geregelte Maßnahme sei, die unter anderem das Ziel verfolge, die Risiken für die betroffene Person zu verringern. Dieser Schritt könne eine wirksame Maßnahme für den Datenschutz durch Technik und Voreinstellung darstellen, um die Datenschutzgrundsätze nach Art. 25 Abs. 1 DSGVO umzusetzen, insbesondere der Datenminimierung und der Vertraulichkeit, und auch zur Wahrung der Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Zweckbindung und der Richtigkeit beitragen (EDSA, Leitlinien 01/2025, Rn. 45).

Rechtsgrundlage der Pseudonymisierung

Für den technischen Prozess der Pseudonymisierung bedarf es einer Rechtsgrundlage, welche in der Regel die Wahrung des berechtigten Interesses nach Art. 6. Abs.1 S. 1 lit. f DSGVO sein dürfte. Leider geht der EDSA auf die Diskussion der fraglichen Rechtsgrundlage und der sich daraus ergebenen Folgen, wie beispielsweise die vorherige Information über diesen Zweck im Rahmen der Datenschutzhinweise nach Art. 13 DSGVO sowie das Widerspruchsrecht der betroffenen Person quasi nicht ein. Doch gerade diese Themen dürfen nicht missachtet werden, da andernfalls bei einer neuen Verarbeitung eine rechtswidrige Datenverarbeitung vorliegen könnte. Ebenso stellt sich die Frage, inwiefern ein etwaiger Widerspruch einer einzelnen Person gegen diese Verarbeitung überhaupt umsetzbar ist.

Dafür wird in dem Dokument skizziert, dass diese Technik der Pseudonymisierung auch weitere Zwecke verfolgen könne, wie z. B. für die Analyse von Daten oder die Verknüpfung verschiedener Datensätze. Auch könne die Pseudonymisierung eine „ergänzende Maßnahme“ bei der Drittlandübermittlung im Sinne von Art. 44 und Art. 46 Abs. 1 DSGVO darstellen.

Recht interessant sind die Ausführungen des EDSA zur unbefugten Aufhebung der Pseudonymisierung: Jede Sicherheitsverletzung, die zu einer unbefugten Aufhebung der Pseudonymisierung führe, stelle eine Verletzung des Schutzes personenbezogener Daten dar und könne den Verantwortlichen folglich dazu verpflichten, die Aufsichtsbehörde zu benachrichtigen, es sei denn, es sei unwahrscheinlich, dass dies zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führe (EDSA, Leitlinien 01/2025, Rn. 80). Es wird also angedeutet, dass in diesem Fall eine meldepflichte Datenschutzverletzung gem. Art. 33 Abs. 1 DSGVO und gar eine Benachrichtigung der betroffenen Person gem. Art. 34 Abs. 1 DSGVO im Raum steht.

Sodann beschreibt der EDSA in den Leitlinien auch die technische Ausgestaltung der Pseudonymisierung und nennt ferner Beispiele für die Anwendung der Pseudonymisierung. Das Papier enthält zehn sehr verständlich dargestellte Beispielsfälle für die Umsetzung der Pseudonymisierung von personenbezogenen Daten, stellt also klassische Anwendungsfälle aus der Praxis vor, ohne hier allerdings eine präzise Rechtsgrundlage der einzelnen Konzepte zu benennen.

Fazit:

Die EDSA Leitlinien 01/2025 zur Pseudonymisierung bieten allgemeine, primär technische Hilfestellungen mit konkreten Anwendungsszenarien aus der Praxis. Es werden die Vorteile und Methoden dieser Maßnahme besprochen. Eine verbindliche Pflicht zur Pseudonymisierung besteht jedoch nicht.

Die konkrete rechtliche Diskussion, insbesondere zur rechtmäßigen Umsetzung der Pseudonymisierung, die eigentlich eine eigenständige (neue) Verarbeitung mit einer eigenen Rechtsgrundlage darstellt, kommt in dem Dokument leider zu kurz. Die Leitlinien lassen sich nur derart interpretieren, dass die Aufsichtsbehörden einer „Weiterverarbeitung“ der personenbezogenen Daten durch/nach Pseudonymisierung offen gegenüberstehen. Und in vielen Fällen sind diese technischen Schutzvorkehrungen auch positiv.

Dennoch bleiben in rechtlicher Hinsicht weiterhin gewisse Risiken, die Verantwortliche zu prüfen bzw. zu bewerten haben, wenn sie beispielsweise Daten von Kund*innen oder Patient*innen durch die Pseudonymisierung für andere Zwecke (weiter)-verarbeiten wollen. Insbesondere bei einer Analyse der Daten zu gewissen „werblichen Zwecken“ müsste eine dokumentierte Interessenabwägung (im Einzelfall) vorgenommen werden. Auch wäre bei Erhebung der Daten bzw. der Datenverarbeitung vorab und transparent auf diese Zwecke der Verarbeitung hinzuweisen. Ein eventuelles Widerspruchsrecht ist ausdrücklich darzustellen und im Zweifel umzusetzen.