EDSA verabschiedet Leitlinien zur Pseudonymisierung

20 Jan.

Der Europäische Datenschutzausschuss (EDSA) hat auf seiner Plenarsitzung im Januar 2025 Leitlinien zur Pseudonymisierung sowie eine Erklärung zum Zusammenspiel von Wettbewerbsrecht und Datenschutz angenommen.

EDSA klärt die Verwendung von Pseudonymisierung für die Einhaltung der DSGVO

Die DSGVO führt den Begriff „Pseudonymisierung“* ein und bezeichnet ihn als Schutzmaßnahme, die geeignet und wirksam sein kann, um Datenschutzverpflichtungen nachzukommen. In seinen Leitlinien erläutert der EDSA die Definition und Anwendbarkeit von Pseudonymisierung und pseudonymisierten Daten sowie die Vorteile der Pseudonymisierung.

Die Leitlinien enthalten zwei wichtige rechtliche Klarstellungen:

  1. Pseudonymisierte Daten, die einer Person durch die Verwendung zusätzlicher Informationen zugeordnet werden könnten, bleiben Informationen, die sich auf eine identifizierbare natürliche Person beziehen, und sind daher immer noch personenbezogene Daten. In der Tat, wenn die Daten von dem für die Verarbeitung Verantwortlichen oder einer anderen Person mit einer Person verknüpft werden können, bleiben sie personenbezogene Daten.
  2. Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Rechtsgrundlage erleichtern (Art. 6 Abs. 1 lit. f DSGVO), sofern alle anderen Anforderungen der DSGVO erfüllt sind. Ebenso kann die Pseudonymisierung dazu beitragen, die Vereinbarkeit mit dem ursprünglichen Zweck zu gewährleisten (Art. 6 Abs. 4 DSGVO).

In den Leitlinien wird auch erläutert, wie die Pseudonymisierung Organisationen dabei helfen kann, ihren Verpflichtungen in Bezug auf die Umsetzung der Datenschutzgrundsätze (Art. 5 DSGVO), den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) und die Sicherheit (Art. 32 DSGVO) nachzukommen.

Schließlich werden in den Leitlinien technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung analysiert, um die Vertraulichkeit zu gewährleisten und eine unbefugte Identifizierung von Personen zu verhindern.

Die Leitlinien werden bis zum 28. Februar 2025 einer öffentlichen Konsultation unterzogen, um den Interessenträgern Gelegenheit zur Stellungnahme zu geben und die Einbeziehung künftiger Entwicklungen in die Rechtsprechung zu ermöglichen

Zusammenspiel von Datenschutzrecht und Wettbewerbsrecht: Stellungnahme des EDSA zu der Frage, wie die Zusammenarbeit zwischen den Regulierungsbehörden verbessert werden kann

In der Plenarsitzung nahm der EDSA auch ein Positionspapier zum Zusammenspiel von Datenschutzrecht und Wettbewerbsrecht an.

Im Urteil des EuGH Meta gegen Bundeskartellamt vom 4. Juli 2023 wurde eindeutig darauf hingewiesen, dass Datenschutz- und Wettbewerbsbehörden in einigen Fällen zusammenarbeiten müssen, um eine wirksame und koordinierte Durchsetzung des Datenschutz- und Wettbewerbsrechts zu erreichen. Während dies separate Rechtsgebiete sind, die unterschiedliche Ziele in unterschiedlichen Rahmen verfolgen, können sie in einigen Fällen für dieselben Einrichtungen gelten. Es ist daher wichtig, Situationen zu bewerten, in denen sich die Gesetze überschneiden können.

In diesem Positionspapier erläutert der EDSA, wie Datenschutz und Wettbewerbsrecht zusammenwirken. Es werden Schritte zur Einbeziehung von Markt- und Wettbewerbsfaktoren in die Datenschutzpraktiken und zur Berücksichtigung von Datenschutzvorschriften bei Wettbewerbsbewertungen vorgeschlagen. Sie enthält auch Empfehlungen zur Verbesserung der Zusammenarbeit zwischen den Regulierungsbehörden. Zum Beispiel: Die Behörden sollten erwägen, eine zentrale Anlaufstelle einzurichten, um die Koordinierung mit anderen Regulierungsbehörden zu verwalten.

Die englischsprachigen Dokumente können Sie hier herunterladen:
Guidelines 01/2025 on Pseudonymisation
Position paper on Interplay between data protection and competition law

Quelle