Die DSGVO trat bekanntlich am 25. Mai 2018 in Kraft. Sie hat tiefgreifende Änderungen im Umgang mit dem Datenschutz gebracht. Von einem zu wenig beachteten Orchideenfach ist das Gebiet zu einem zentralen, wirtschaftsrelevanten Faktor geworden. Durch die Digitalisierung, Social Media aber auch die COVID Pandemie mit der damit einhergehenden stärkeren Nutzung von Onlinetools ist der Datenschutz in der Mitte der Gesellschaft angekommen. Das viele Wehklagen über die enormen Aufwände von DSGVO Implementierungsprojekten, die große Sorge über drohende Millionenstrafen und der anfängliche Hype rund um die Ausübung von Betroffenenrechten ist mittlerweile einem gelasseneren Umgang mit der Materie gewichen. Es gibt dessen ungeachtet weiter viele Baustellen der zum Teil überbordenden Regulierung – nicht zuletzt im internationalen Datentransfer bzw dem zugrundeliegend aufgrund der fehlenden globalen Harmonisierung. Wir, die DORDA Datenschutzexperten, bemühen uns weiterhin, Ihnen einen Weg durch den Dschungel der DSGVO zu weisen und mit pragmatischen Ansätzen sinnvolle Lösungen aufzuzeigen. In diesem Sinne bedanken wir uns bei Ihnen für die Treue und liefern Ihnen zum 5-Jahres-Jubiläum der DSGVO ein Update zu den aktuellen Entwicklungen:
Die Europäische Kommission kündigte an, auf Anregung des EDSA die erste Novelle der DSGVO zur Verbesserung der Zusammenarbeit der nationalen Behörden bei internationalen Sachverhalten zu initiieren. Außerdem hat das EuG jüngst den risikobasierten Ansatz bei der Beurteilung des Personenbezugs von pseudonymisierten Daten bestätigt. Im Detail:
Erste DSGVO Novelle angekündigt
Nach fünf Jahren strebt die Europäische Union mit der ersten Novelle der DSGVO eine Verbesserung des Verfahrens der Kooperation und Streitbeilegung bei internationalen Sachverhalten an. Zahlreiche US-Tech Anbieter haben aufgrund der aggressiven Standortbemühungen und -vorteile ihre europäische Niederlassung und damit ihren Sitz in Irland. Damit ist rein faktisch die Irische Data Protection Commission (DPC) regelmäßig die federführende Aufsichtsbehörde in den besonders medienwirksamen Verfahren zur Feststellung von Verletzungen und der Verhängung von Geldbußen gegen US-Konzerne. In solchen Verfahren hat die DPC ihren Beschlussentwurf an die anderen betroffenen nationalen Aufsichtsbehörden zu übermitteln. Diese können sich mit Beanstandungen einbringen. Bei nicht aufzulösenden Unstimmigkeiten entscheidet der EDSA in Form eines verbindlichen Beschlusses, wie vorzugehen ist. So zuletzt im Verfahren gegen WhatsApp.
Die irische DPC steht regelmäßig in der Kritik, datenschutzrechtliche Verstöße von US-Konzernen nicht angemessen und zu langsam aufzugreifen bzw zu ahnden. Dadurch kommt es im Abstimmungsprozess regelmäßig zu langwierigen Auseinandersetzungen zwischen den nationalen Behörden und damit zu sehr langen Verfahrensdauern. Dem soll nun im Zuge der Novelle mit verbindlichen Fristen ua für die Bearbeitung und Weiterleitung an betroffene Behörden sowie der Konkretisierung des Ablaufs der Zusammenarbeit entgegengewirkt werden. Auch sollen die Beteiligtenrechte auf Akteneinsicht und Geheimhaltung harmonisiert werden. Im ersten Schritt wird die Europäische Kommission dafür einen Entwurf ausarbeiten, der dann vom Rat und vom Europäischen Parlament abgesegnet werden muss. Wir behalten die Entwicklungen selbstverständlich im Auge und informieren Sie, wenn es Neuigkeiten gibt. Es wird besonders spannend zu beobachten sein, ob es bei der bloß partiellen Anpassung bleibt oder ob nicht auch andere der zahlreich bestehenden Baustellen aufgegriffen werden. Die Liste möglicher Nachkorrekturen ist lang. Würden freilich all diese oder auch nur ein größerer Teil davon aufgegriffen, ist mit keiner raschen Willensbildung zu rechnen. Beschränkt sich der Gesetzgeber dagegen auf die dargestellte Problematik, könnte eine raschere Einigung erfolgen.
EuG bestätigt risikobasierten Ansatz bei Pseudonymisierung
Darüber hinaus hat das Europäische Gericht erster Instanz (EuG) jüngst über die Anwendbarkeit der DSGVO in Bezug auf pseudonymisierte Daten entschieden, wenn nicht der Verantwortliche, sondern nur ein Dritter über die für die Identifizierbarkeit der Betroffenen erforderlichen Zusatzinformationen verfügt (T-557/20). Konkret erhielt ein Wirtschaftsprüfer Stellungnahmen, die nicht mit den Namen der Autoren, sondern nur mit einem alphanumerischen Code versehen waren. Die Daten für die Zuordnung des Codes zu den Registrierungsdaten des jeweiligen Autors befanden sich ausschließlich bei einem Dritten. Das Gericht verwies auf die Ausführungen des EuGH in der Rechtssache Breyer (C-582/14) und bestätigte den darin definierten risikobasierten Ansatz: Dass die Zuordnungs- und Registrierungsdaten bei einem Dritten liegen, führt zu keinen (voll) anonymisierten Daten und schließt die Anwendbarkeit der DSGVO auf die Verarbeitung durch den Wirtschaftsprüfer daher nicht per se aus. Es ist einzelfallbezogen das Risiko und die Wahrscheinlichkeit der Rückidentifizierung zu prüfen. Konkret ist die Frage zu klären, ob er eine praktisch durchführbare und rechtlich zulässige Möglichkeit hat, auf die Zuordnungs- und Registrierungsdaten zuzugreifen und die Autoren dadurch zu identifizieren. So würde bspw ein vertraglich geregelter bzw faktisch bestehender Zugriff auf die Zusatzinformationen über eine eigens eingerichtete Schnittstelle zur Anwendbarkeit der DSGVO führen. Dies gilt auch dann, wenn der Wirtschaftsprüfer die Schnittstelle gar nicht nutzt – die Autoren sind nämlich dennoch für ihn identifizierbar. Nicht zu berücksichtigen wäre, wenn er sich im Gegensatz dazu den Zugriff nur durch einen Datenhack oder andere illegale Methoden verschaffen könnte. Dieser praxisnahe Zugang ist zu begrüßen. Damit kann zB durch (i) die vertragliche Festlegung, dass ein Zugriff auf die Zusatzinformationen weder beabsichtigt noch zulässig ist, (ii) entsprechende interne Policies zur Datenweitergabe an Dritte und (iii) adäquaten technischen und organisatorischen Maßnahmen, wie zB einem Berechtigungskonzept, sichergestellt werden, dass eine Datenverarbeitung anonym und sohin ohne Anwendbarkeit der DSGVO erfolgt.