EU Datenschutzreform: Streiche Namen, setze Pseudonym und schon ist die Datenverarbeitung zulässig - oder etwa doch nicht?
von , veröffentlicht am 07.01.2014Derzeit ist in Brüssel und anderswo unter den Datenschützern eine Diskussion im Gange, ob ein Unternehmen einfach persönliche Daten Rahmen der neuen Vorschriften der Datenschutz-GVO peudonymisieren darf, um sie dann ohne Zustimmung zu nutzen (Beispiel: Ersatz des Vollnamens durch "Mr. X" in einem Datensatz). Vgl. § 3 Abs. 6a i.V. m. §3a BDSG: Pseudonymisieren aus Gründen der Datenvermeidung und Datensparsamkeit.
Neelie Kroes, EU-Kommissarin zuständig für die Digitale Agenda, sagte kürzlich, dass die Unternehmen urchaus in der Lage sein müssten, pseudonymisierte Daten ohne Zustimmung verarbeiten zu können, sofern sie ihr „berechtigtes Interesse“ nachweisen könnten.
Zitat: "Manchmal bedeutet eine Voll-Anonymisierung, dass das Unternehmen wichtige Informationen verliert und die die Verbindungen zwischen Daten nicht mehr herstellen kann [...] Das könnte den Unterschied zwischen Fortschritt oder Lähmung darstellen, unter Verwendung von Pseudonymen große Mengen von Daten zu analysieren: […] zum Beispiel , dass Menschen mit genetischen Muster X auch gut auf die Therapie Y geeignet sind. So ist es verständlich, dass das Europäische Parlament eine flexiblere Datenschutzregelung für diese Art von Daten vorgeschlagen hat. "
Ich habe da eine Reihe von Fragen:
- Welche Maßnahmen sind ausreichend für diese Pseudonymisierung? Nur die Verallgemeinerung des Namens? Oder alle Verbindungen zu persönlichen Daten?
- Welche Sicherheitsmittel und Vorsichtsmaßnahmen müssen vorhanden sein? Natürlich sind laut Frau Kroes in diesen Fällen sind die Unternehmen immer noch angehalten, ihre Datenschutzrisiken zu minimieren. Ihre internen Prozesse und Risikobewertungen müssen zeigen, wie sie die Grundprinzipien des Datenschutzrechts einhalten. Und - wenn etwas schief geht, kann bleibt nach Frau Kroes das Unternehmen in der Verantwortung.
- Was bedeutet das Kriterium " berechtigtes Interesse"? Nach den Vorschlägen des federführenden Ausschusses des EP für Justiz und Inneres ( „LIBE“) soll es den Unternehmen erlaubt sein, pseudonymisierten Daten ohne Zustimmung des Einzelnen zu verarbeiten , wo "berechtigte Interessen " vorliegen und "die berechtigten Erwartungen " der Personen, deren Daten verarbeitet werden, erfüllt werden. LIBE will eine Vermutung unter der neuen Datenschutz-GVO aufstellen, dass die Verarbeitung pseudonymisierter Daten den berechtigten Erwartungen der Kunden der Unternehmen -Kunden gerecht wird; die Betroffenen sollen ein Recht erhalten, einer solchen Tätigkeit zu widersprechen.
- Die Unternehmen würden nach nach der Reform immer noch verpflichtet sein, die Betroffenen " explizit“ zu informieren und auf ihr Widerspruchsrecht hinzuweisen. Wie und wann?
- Ist das Unternehmen dann frei, um die Datensätze zu jedem (weiteren) Zweck zu nutzen? Was gilt z.B. für das Profiling, das auf der Verarbeitung von pseudonymisierten Daten basiert?
Interessante Debatte - aber was meinen Sie?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenWas bedeutet denn "bleibt das Unternehmen in der Verantwortung" de fakto? Die Bußgelder, sofern diese denn überhaupt mal verhängt werden, sind ja vergleichsweise lachhaft. Eine persönliche Haftung der Geschäftsführung muss hier etabliert werden, nichts weniger.