Eine Betroffene hatte im Juni Beschwerde gegen zwei Bundesministerien unter anderem wegen unterlassener Pseudonymisierung und einer daraus resultierenden Verletzung ihres Grundrechts auf Datenschutz eingereicht. Konkret war fraglich, ob die öffentlichen Stellen das Recht der Betroffenen auf Geheimhaltung verletzt haben, indem sie die Pseudonymisierung ihrer personenbezogenen Daten in ihren elektronischen Aktensystemen unterlassen haben.

Die DSB bemängelte zunächst, dass die Beschwerdeführerin keine konkrete Handlung vorbringen konnte, die bereits eine Verletzung ihres Grundrechts darstellt. Potenzielle Hackerangriffe und Datenlecks, “in deren Rahmen die Beschwerdeführerin durch Offenlegung ihrer Daten zukünftig Schaden nehmen könnte”, und generell “möglicherweise in der Zukunft eintretende Verletzungen” manifestieren nach Meinung der DSB noch keinen Eingriff in das Grundrecht auf Datenschutz.

Die DSB interpretiert die DSGVO restriktiv, wonach sich aus der DSGVO kein Recht ableiten lasse, dass Betroffene bestimmte Datensicherheitsmaßnahmen i. S. v. Art. 32 DSGVO oder Maßnahmen zur Datenminimierung i. S. v. Art. 5 Abs. 1 lit. c DSGVO von einem Verantwortlichen einfordern können. Es sei zwar grundsätzlich möglich, dass es aufgrund unzureichender Datensicherheitsmaßnahmen zu einer Verletzung des Grundrechts auf Geheimhaltung komme, weil dies etwa durch Offenlegung an unbefugte Dritte geschehe. Aber auch das würde nicht zu einem Recht auf spezifische Datensicherheitsmaßnahmen führen.

Zu dieser Ansicht gelangt die DSB, indem sie die Verpflichtung zur Sicherheit der Verarbeitung von personenbezogenen Daten beim Verantwortlichen bzw. Auftragsverarbeiter sieht – und damit auch die Verantwortung, Sicherheitsmaßnahmen zu implementieren und deren Eignung im Einzelfall zu beurteilen. Sicherheit könne jedenfalls durch diverse Maßnahmen gewährleistet werden.

Das bedeutet aber nicht, dass eine Behörde von Unternehmen oder öffentlichen Stellen keine Pseudonymisierung als Maßnahme einfordern könnte. Die DSB stellt in ihrer Entscheidung weiterhin in systematischer Auslegung fest, dass die Rechte Betroffener in Kapitel III geregelt sind, die Pseudonymisierung sich als Maßnahme aber in Kapitel IV, das die objektiven Pflichten von Verantwortlichen und Auftragsverarbeitern regelt, findet.

„Diese Verpflichtung des Verantwortlichen kann die Datenschutzbehörde nur im Rahmen eines amtswegig eingeleiteten Prüfverfahrens untersuchen (Art. 55 Abs. 1 iVm Art. 57 Abs. 1 lit a und h DSGVO) und den Verantwortlichen gegebenenfalls zur Einhaltung der Verordnung anweisen (Art. 58 Abs. 2 lit d DSGVO).“

Da es sich um die Entscheidung einer österreichischen Behörde handelt, hat die Entscheidung keine direkten Auswirkungen. Sowieso handelt sich lediglich um eine Auslegung der DSGVO, die sicher zahlreiche Juristen nicht unterstützen und gerade das Gegenteil aus der DSGVO ableiten würden. Wie andere Behörden und Gerichte diese Vorschriften interpretieren und anwenden werden, wird sich zeigen.

In jedem Fall erscheint die Schlussfolgerung, dass ein Betroffener den Verantwortlichen nicht mit potentiellen Szenarien von Datenschutzverletzungen in die Knie zwingen kann, im Sinne der Grundsätze der DSGVO. Der Verantwortliche ist verpflichtet, personenbezogene Maßnahmen zu sichern. Wie er das macht, sollte richtigerweise in seiner Verantwortung liegen.

Der Begriff ‘Pseudonymisierung’ wird von der Werbewirtschaft gezwungenermaßen exzessiv genutzt und fehlt in keiner Antwort auf die Frage nach Datenschutz. Ob im Einzelfall die Pseudonymisierung tatsächlich stattfindet und wie ‘sicher’ diese letztlich ist, soll hier offenbleiben.
Die Frage danach, ob das Telemediengesetz und vor allem § 15 Abs. 3 TMG als wesentliche Rechtsgrundlage für personalisierte Werbung unter Voraussetzung von Pseudonymisierung und einer strikten Trennung der Nutzungsprofile und Daten über den Träger des Pseudonyms auch unter der DSGVO anwendbar ist, hat die deutsche Datenschutzkonferenz bereits ausdrücklich verneint. Vielmehr ist unter neuer Rechtsordnung nun die Einwilligung gemäß Art. 6 a) DSGVO, also ein Opt-in für Tracking, erforderlich. Diese Meinung ist in der Branche allerdings verständlicherweise weit umstritten.

Unabhängig davon, was die deutsche DSK vertritt, tun Unternehmen gut daran, ihr Datenmanagement und konkret das Setup rund um DMPs, DSPs, etc. um einen Consent Layer abgebildet durch eine IAB-zertifizierte Consent Management Platform (CMP) zu erweitern, um auch zukünftig effektiv personalisierte Werbung schalten zu können.

Anbieter wie TheTradeDesk liefern bereits keine personalisierte Werbung mehr aus, wenn keine IAB-konforme Consent-ID mitgegeben wird. Google und Facebook haben die Einwilligung in ihren AGB bereits zum Vertragsbestandteil gemacht und werden dies wohl auch in absehbarer Zeit programmatisch umsetzen. Consent wird also zur Nebenbedingung von Daten und somit auch zur Voraussetzung von Personalisierung – neben einer weiterhin erforderlichen Pseudonymisierung.