Datenschutz­woche

EDSA beschließt Leitlinien zur Pseudonymisierung

Der Europäische Datenschutzausschuss hat im Januar 2025 unter der Federführung der Berliner Datenschutzbeauftragten, die derzeit den Vorsitz der Datenschutzkonferenz innehhat, Leitlinien zur Pseudonymisierung verabschiedet.

Die Leitlinien enthalten zwei wichtige rechtliche Klarstellungen:

1. Pseudonymisierte Daten, die durch die Verwendung zusätzlicher Informationen einer Person zugeordnet werden könnten, bleiben Informationen, die sich auf eine identifizierbare natürliche Person beziehen, und sind daher weiterhin personenbezogene Daten.
2. Die Pseudonymisierung kann Risiken verringern und die Verwendung der Rechtsgrundlage „berechtigtes Interesse“ erleichtern, sofern alle anderen Anforderungen der DSGVO erfüllt sind. Ebenso kann die Pseudonymisierung dazu beitragen, die Vereinbarkeit der Datenverarbeitung mit dem ursprünglichen Zweck zu gewährleisten.

Die Leitlinien erläutern auch, wie die Pseudonymisierung Organisationen dabei unterstützen kann, ihren Verpflichtungen bei der Verarbeitung persondenbezogener Daten nachzukommen.

Handel mit Standortdaten aufgedeckt

netzpolitik.org berichtet im Verbund mit dem Bayerischen Rundfunk (BR) und weiteren Medien über einen Datensatz des US-Datenhändlers Datastream, der die weitreichende Erfassung von Standortdaten durch rund 40.000 Apps weltweit betrifft. Dem Rechercheteam wurden 380 Millionen Standortinformationen aus 137 Ländern bereitgestellt, verknüpft mit Mobile Advertising IDs, die Personen eindeutig identifizieren. Betroffen sind populäre Apps wie Wetter Online, Focus Online und Kleinanzeigen, aber auch sensible Anwendungen wie Gesundheits- und Dating-Apps. Diese Bewegungsprofile, teilweise mit einer Genauigkeit von weniger als einem Meter, ermöglichen Rückschlüsse auf die Identität der Personen und deren Aktivitäten.

Datenschutzbehörden zeigen sich besorgt. Der Handel mit Standortdaten stellt nicht nur ein Datenschutzproblem dar, sondern potentiell auch eine Gefahr für die nationale Sicherheit.

Internationale Nachrichten

• Europa: Der Europäische Datenschutzausschuss (EDSA) veröffentlicht ein Positionspapier über die Interdependenzen zwischen Datenschutz und Wettbewerbsrecht.
• Europa: Eigentlich sollte am 17.01.2025 feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun folgen Verhandlungen.
• Polen: Eurocert informiert den Präsidenten des Amtes für den Schutz personenbezogener Daten über Datenschutzverletzungen nach einem Cyberangriff.
• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat ihre Schwerpunktthemen für 2025-2028 veröffentlicht.

Aktuelle Gerichtsentscheidungen

• LG Köln, Urteil vom 07.01.2025, Az. 14 O 472/23 (Volltext): Immaterieller Schadenersatz - Die Klägerin hat gegen die Beklagte einen Anspruch auf Zahlung von immateriellem Schadensersatz gemäß Art. 82 Abs. 1 DSGVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen Datenschutzvorfall bei der Unterauftragnehmerin der Klägerseite. Dieser beläuft sich in der Höhe auf 100,- €. Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten Auftragsdatenverarbeiters verstoßen.
• OLG Celle, Beschluss vom 09.01.2025, Az. 5 U 173/23 (juris): Immaterieller Schadenersatz - Der bloße objektive Kontrollverlust stellt bereits einen immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Klagepartei. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Für den bloßen Kontrollverlust als solchen würde der Senat nach Maßgabe seines derzeitigen Beratungsstandes vorliegend einen immateriellen Schaden in Höhe von 100 € als angemessen ansehen.
• LG Lübeck, Urteil vom 10.01.2025, Az. 15 O 269/23 (GRUR-RS 2025, 81): Unterlassung - Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung für betroffenen Personen grundsätzlich eine Möglichkeit bieten muss, gegen rechtswidrige Datenverarbeitungsvorgängen per Unterlassungsklage vorzugehen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Rheinland-Pfalz: „Wie funktioniert Datenschutz im Praxis-Alltag? Initiative „Mit Sicherheit gut behandelt“ startet monatliche Praxistipps“ – Pressemitteilung vom 13.01.2025
• Datenschutzaufsicht Sachsen-Anhalt: „Elektronische Patientenakte – was kommt?“ – Pressemitteilung vom 14.01.2025
• Datenschutzaufsicht Hessen: „Veranstaltung Europäischer Datenschutztag 2025“– Pressemitteilung vom 14.01.2025
• Datenschutzaufsicht Bayern: „BayLDA schafft neue Anlaufstelle für Künstliche Intelligenz und für die Digitalwirtschaft“ – Pressemitteilung vom 14.01.2025
• Datenschutzaufsicht Bayern: „Elektronische Patientenakte für alle: individuelle Anpassung möglich“ – Pressemitteilung vom 14.01.2025
• Datenschutzaufsicht Rheinland-Pfalz: „Landesbeauftragter unterstützte 2024 beim Recht auf Informationszugang in 275 Fällen“ – Pressemitteilung vom 15.01.2025
• Datenschutzaufsicht Thüringen: „Elektronische Patientenakte (ePA) – Testphase startet für gesetzlich Versicherte“ – Pressemitteilung vom 15.01.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Landesbeauftrage rät Verbraucher*innen zu vorsichtigem Umgang mit Standortdaten“ – Pressemitteilung vom 16.01.2025
• Datenschutzaufsicht Niedersachsen: „Persönlich adressierte Wahlwerbung: Infos zum Datenschutz und Widerspruchsrecht“– Pressemitteilung vom 17.01.2025
• Datenschutzaufsicht Berlin:  EDSA beschließt Leitlinien zur Pseudonymisierung“ – Pressemitteilung vom 17.01.2025
• BfDI:  „EDSA schafft mehr Klarheit bei Pseudonymisierung“ – Pressemitteilung vom 17.01.2025