Der Rat der EU-Mitgliedstaaten hat in einem Kompromisstext vom 20. Februar beschlossen, die von der EU-Kommission vorgeschlagene Neudefinition personenbezogener Daten aus dem sogenannten Digital Omnibus zu streichen. Das berichtet Euractiv auf Basis eines geleakten Dokuments. Der vollständige Artikel ist hier zu finden: Euractiv
Worum geht es? Die Kommission wollte im Rahmen des Digital Omnibus-Pakets die DSGVO an mehreren Stellen ändern – unter anderem die Definition personenbezogener Daten. Der Kernpunkt: Daten sollten künftig nur dann als personenbezogen gelten, wenn der jeweilige Datenverarbeiter selbst in der Lage ist, die dahinterstehende Person zu re-identifizieren. Ob ein Dritter, der die Daten erhält, das könnte, wäre dabei irrelevant gewesen. Das hätte in der Praxis bedeutet, dass Unternehmen pseudonymisierte Daten leichter aus dem Anwendungsbereich der DSGVO herauslösen – und damit Datenschutzpflichten umgehen könnten. Der Europäische Datenschutzausschuss (EDPB) hatte diese Änderung scharf kritisiert und in einer offiziellen Stellungnahme gewarnt, sie würde Datenschutzstandards aushöhlen.
Der Rat folgt nun dieser Linie und streicht den Vorschlag ersatzlos. Stattdessen wird die Arbeit des EDPB an aktualisierten Leitlinien zur Pseudonymisierung im Text stärker hervorgehoben.
Die Streichung ist eine Niederlage für die Kommission und ein Signal, dass der politische Rückhalt für eine Aufweichung der Personendaten-Definition fehlt. Für Unternehmen ändert sich vorerst nichts an der bestehenden Rechtslage – pseudonymisierte Daten bleiben in der Grauzone und müssen weiterhin sorgfältig bewertet werden. Die kommenden EDPB-Leitlinien zur Pseudonymisierung werden hier voraussichtlich mehr Klarheit schaffen und sollten aufmerksam verfolgt werden.
