Ist die Übermittlung von pseudonymisierten Daten ins Ausland ein DSGVO-Verstoß? Nicht zwangsläufig, sagt das Landgericht (LG) Hannover in einem wegweisenden Beschluss. Entscheidend ist, ob der Empfänger die Daten überhaupt einer Person zuordnen kann oder will. Das Urteil vom 26. Februar 2025 (Az.: 128 OWiLG 1/24) liefert wichtige Argumente für den internationalen Datentransfer in Unternehmen.

Der Fall: Autokonzern, US-Monitor und ein DSGVO-Bußgeld

Ein großer deutscher Automobilkonzern übermittelte im Rahmen eines Compliance-Monitorships pseudonymisierte Mitarbeiterdaten an einen externen Prüfer in den USA. Die Daten, darunter Personalnummern und Informationen zu Disziplinarmaßnahmen, enthielten keine Klarnamen. Die zuständige Datenschutzbehörde sah darin dennoch einen DSGVO-Verstoß, da die Daten nicht vollständig anonymisiert waren, und leitete ein Ordnungswidrigkeiten-Verfahren ein.

LG Hannover: Die Perspektive des Empfängers ist entscheidend!

Das LG Hannover folgte der Argumentation der Behörde nicht. Für die Frage, ob Daten als personenbezogen gelten, sei die Sichtweise des Empfängers ausschlaggebend. Pseudonymisierte Daten sind demnach faktisch anonym, wenn der Empfänger sie nicht einer bestimmten Person zuordnen kann und dazu auch weder Anlass noch die technischen oder rechtlichen Mittel hat.

Das Gericht argumentierte:

Keine Zuordnungsmöglichkeit: Der US-Monitor war ein externer Dritter im Ausland ohne Zugang zu den internen Systemen des Konzerns, um Personalnummern mit Namen zu verknüpfen.

Kein Zuordnungsanlass: Der Monitor hätte zwar Klarnamen anfordern können, tat dies aber nicht. Solange er sich mit den pseudonymisierten Daten zufriedengab, waren die dahinterstehenden Personen für ihn „quasi anonym“.

Der rechtliche Kniff: Warum das Bußgeld am Ende aus einem anderen Grund fiel

Obwohl das Gericht diese praxisnahe Sicht auf die Anonymisierung darlegte, hob es die Entscheidung der Behörde letztlich aus einem anderen Grund auf. Die Frage der Anonymisierung wurde am Ende offengelassen. Entscheidend für die Aufhebung des Bußgeldes war, dass das Unternehmen seiner Informationspflicht nach Art. 13 DSGVO durch verschiedene Datenschutzerklärungen und FAQs ausreichend nachgekommen war.

Was bedeutet das für Ihr Unternehmen? Implikationen für den Datentransfer

Pseudonymisierung als starkes Schutzschild: Eine gut umgesetzte Pseudonymisierung, bei der der Empfänger keine realistische Chance zur Re-Identifizierung hat, kann das Risiko bei Datentransfers erheblich senken. Sie kann unter Umständen wie eine Anonymisierung wirken.

Dokumentation ist alles: Unternehmen müssen den Kontext des Datentransfers genau dokumentieren. Wer ist der Empfänger? Welche technischen und organisatorischen Maßnahmen (TOMs) verhindern eine Re-Identifizierung? Welche vertraglichen Vereinbarungen gibt es?

Kontext statt Absolutheit: Die DSGVO wird hier nicht absolut, sondern relativ zur Situation des Empfängers ausgelegt. Das schafft mehr Flexibilität, erfordert aber eine sorgfältige Einzelfallprüfung und Risikobewertung vor jedem Transfer.

Informationspflichten bleiben das A und O: Selbst bei einem robusten Pseudonymisierungskonzept ist die transparente Information der Betroffenen über die Datenverarbeitung eine unerlässliche und, wie dieser Fall zeigt, rettende Pflicht.

FAQ: Pseudonymisierung & Anonymisierung – Was Sie wissen müssen

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?
Bei der Pseudonymisierung werden direkte Identifikatoren (wie Namen) durch Pseudonyme (wie eine Nummer) ersetzt. Eine Re-Identifizierung ist aber mit Zusatzinformationen noch möglich. Bei der Anonymisierung wird der Personenbezug dauerhaft und unumkehrbar entfernt.

Wann sind pseudonymisierte Daten „faktisch anonym“?
Laut diesem Urteil dann, wenn der konkrete Empfänger der Daten keine realistische Möglichkeit und keinen Anlass hat, die Pseudonyme wieder den echten Personen zuzuordnen.

Macht dieses Urteil internationale Datentransfers einfacher?
Es liefert starke Argumente, um Transfers auf Basis von Pseudonymisierung zu rechtfertigen. Es ersetzt aber nicht die Notwendigkeit anderer Transfermechanismen wie Standardvertragsklauseln, sondern stärkt die Argumentation im Rahmen einer Datentransfer-Folgenabschätzung (DTFA).

Was sollte ich vor einem Transfer pseudonymisierter Daten prüfen?
Prüfen und dokumentieren Sie die technischen Fähigkeiten, die rechtlichen Befugnisse und die vertraglichen Pflichten des Empfängers in Bezug auf eine mögliche Re-Identifizierung.

Fazit: Praxisnahes Urteil mit großer Bedeutung für den Datentransfer

Das Urteil des LG Hannover ist ein wichtiges Signal für die Praxis. Es rückt die realistische Risikobewertung aus Sicht des Empfängers in den Vordergrund und stärkt die Rolle der Pseudonymisierung als wirksame Datenschutzmaßnahme. Für Unternehmen bedeutet dies: Ein gut durchdachtes und dokumentiertes Pseudonymisierungskonzept ist ein entscheidender Baustein für rechtskonforme internationale Datentransfers.

Pseudonymisiert oder Anonym? Wann Daten wirklich keinen Personenbezug mehr haben

Der Fall: Autokonzern, US-Monitor und ein DSGVO-Bußgeld

LG Hannover: Die Perspektive des Empfängers ist entscheidend!

Der rechtliche Kniff: Warum das Bußgeld am Ende aus einem anderen Grund fiel

Was bedeutet das für Ihr Unternehmen? Implikationen für den Datentransfer

FAQ: Pseudonymisierung & Anonymisierung – Was Sie wissen müssen

Fazit: Praxisnahes Urteil mit großer Bedeutung für den Datentransfer

Inhalt

Mehr zum Thema Datenschutz

Kontakt

Downloadbereich

Neueste Blogeinträge

Pseudonymisiert oder Anonym? Wann Daten wirklich keinen Personenbezug mehr haben

Falscher SCHUFA-Eintrag: Wann steht Ihnen DSGVO-Schadensersatz zu?

Automatischer Newsletter nach Shop-Anmeldung: Ist das erlaubt?

Datenschutz-Mailbox defekt: Wie viel kann das kosten?

Gerichtsurteil schränkt Datenerhebung bei Online-Käufen ein

Kann ein Testlauf von HR-Software zu DSGVO-Schadensersatz führen?

Sitemap