EuG 1. Instanz: Fallen viele pseudonymisierte Daten aus der DS-GVO raus? Was sind die Auswirkungen auf KI-Training?
Gespeichert von Dr. Axel Spies am
Nach der DS-GVO gelten bekanntlich alle Informationen, die eine Person direkt identifizieren können, als personenbezogene Daten (z. B. Vor- und Nachname). Informationen, die Personen mit zusätzlichen Informationen (und angemessenen Anstrengungen) identifizieren könnten, können ebenfalls als personenbezogene Daten gelten. Dies ist der Fall bei pseudonymisierten Daten, wie z. B. kodierten Informationen oder verschlüsselten Daten (Art. 4 Nr. 5 DS-GVO).
Ein neues Urteil des EU-Gerichtshofs 1. Instanz T‑557/20 v. 26.04.23 hat die Diskussion angefacht, wo e die Schwelle zwischen pseudonymen und anonymen Daten nuanciert. Insbesondere wird in dem Urteil klargestellt, dass die Aufsichtsbehörden einen „Test“ durchführen müssen, um zu beurteilen, ob Daten als personenbezogene Daten gelten können oder nicht, was die Möglichkeit eröffnet, dass pseudonymisierte Daten nicht als personenbezogene Daten gelten. Zitat RN 105:
„Somit durfte der EDSB, weil er nicht geprüft hat, ob Deloitte das Recht hatte, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 beziehen.“
Folgt man diesem Ansatz können dieselben Daten in verschiedenen Händen sowohl als personenbezogene Daten als auch als nicht personenbezogene Daten gelten, je nach den tatsächlichen und rechtlichen Umständen in dem spezifischen Szenario und der tatsächlichen Fähigkeit der jeweiligen Partei, die betroffene Person zu identifizieren.
Bitte beachten...
- Dieses Urteil kann noch vor dem EuGH angefochten werden kann (was wahrscheinlich).
- Das Gericht hat die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) nur insoweit für nichtig erklärt hat, als sie sich auf die Nichtdurchführung des "Re-Identifizierungstests" bezieht. Es hat sich nicht ausdrücklich zu den genauen Kriterien geäußert, ob und wann Daten anonym sind oder nicht.
Trotzdem: die Diskussion wird weitergehen und könnte auch Auswirkungen auf das Thema haben, ob und wann ein KI-Training unter die DS-GVO fällt. “Verarbeitet“ die KI dann personenbezogene Daten?
Im Blog haben wir das Thema hier andiskutiert.
Was meinen Sie, könnte man ähnlich wie das Gericht argumentieren, dass auch bei KI Training personenbezogene Daten von der generativen KI als „personenbezogen“ genutzt werden, obwohl sie für andere Nutzer personenbezogen sind?