Es spricht einiges dafür, dass eine anonymisierende Pseudonymisierung und Übermittlung zulässig sind, wenn dabei keine endgültige Löschung der Originaldaten vorgenommen wird und eine De-Anonymisierung für den Empfänger der Daten nur mit unverhältnismäßigem Aufwand möglich ist. Pseudonymisierung und Anonymisierung sind zwar Verarbeitungen, die einer Einwilligung oder gesetzlichen Befugnis bedürfen. Nach Erw.Gr. 29 DSGVO sind Daten aber, wann immer es geht, zu pseudonymisieren.
Eine Pseudonymisierung wird daher zulässig sein, wenn sie Rechte und Freiheiten der betroffenen Person nicht beeinträchtigt. Nach der Rechtsprechung des EuGH (Breyer) gilt ein relativer Personenbezug: Daten, die aus Sicht des Verarbeiters (trotz Pseudonymisierung) personenbezogen sind, können aus Sicht des Empfängers anonym sein, z.B. wenn der die Zuordnungsregel nicht kennt. Daraus ergibt sich, dass bis zum Zeitpunkt der Übermittlung zwar eine Datenverarbeitung vorliegt, aber aufseiten des Empfängers nur anonyme Daten ankommen, die vom Anwendungsbereich des Datenschutzrechts ausgenommen sind.
Damit liegen die Voraussetzungen einer teleologischen Reduktion vor, sodass die Übermittlung von mit anonymisierender Wirkung pseudonymisierter Daten als stets (damit meine ich „immer“) zulässige Verarbeitung angesehen werden kann. Was spricht denn gegen diesen Ansatz?
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company