Auf einen Blick

Die italienische Datenschutzbehörde Garante hat eine Ärztin mit 5.000 Euro Bußgeld belegt, weil sie online das Foto eines verstorbenen Kindes zusammen mit klinischen Details in einem wissenschaftlichen Poster verbreitet hatte. Auch wenn die Ärztin die Augen des Kindes unkenntlich gemacht hatte und dachte, sie hätte die Daten 'anonimisiert', stellte der Garante klar, dass dies nicht der Fall war. Die Daten waren, wenn auch teilweise maskiert, immer noch 'personenbezogen', und die Veröffentlichung erforderte eine sehr spezifische Einwilligung, die nicht eingeholt worden war. Dieser Fall zeigt, wie wichtig es ist, äußerste Sorgfalt walten zu lassen, wenn medizinische Bilder oder Informationen verwendet werden, insbesondere von schutzbedürftigen Personen.

Was zu tun ist

Wenn Ihr Unternehmen sensible Daten (wie medizinische Daten) oder Bilder verarbeitet, stellen Sie sicher, dass Sie immer eine klare und spezifische Genehmigung (Einwilligung) für jede Art der Nutzung haben, insbesondere für die Online-Veröffentlichung.
Betrachten Sie Daten nicht als 'anonym', wenn immer noch die Möglichkeit besteht, sie, auch indirekt, mit einer bestimmten Person zu verknüpfen.
Informieren Sie Personen vollständig und transparent darüber, wie Sie ihre Daten verwenden werden, bevor Sie diese erfassen und nutzen.

Was zu vermeiden ist

Verbreiten Sie keine Fotos oder medizinischen Informationen ohne ausdrückliche Einwilligung, auch wenn Sie denken, dass Sie einige Teile 'abgedeckt' haben.
Unterschätzen Sie den Schutz der Daten von Minderjährigen oder verstorbenen Personen nicht; auch für sie gelten besondere und strenge Regeln.

Hintergrund

Eine Mutter meldete dem Garante die Online-Veröffentlichung von Bildern ihres verstorbenen minderjährigen Sohnes, begleitet von klinischen Details, in einem Plakat zu einer Konferenz der Società Italiana di Pediatria (SIP). Obwohl das Plakat entfernt worden war, waren die Bilder weiterhin über Suchmaschinen auffindbar. Die Azienda Ospedaliera Universitaria (AOU) bestritt, die Veröffentlichung genehmigt zu haben, und schrieb die Verantwortung den einzeln handelnden Ärzten zu. Die Ärztin Guzzo, 'Submitter' des klinischen Falles, erklärte, sie habe Maßnahmen ergriffen, um die Identifizierung zu verhindern (durch Unkenntlichmachung der Augen) und die Veröffentlichung nicht autorisiert, und habe sich um die Entfernung bemüht. Sie behauptete, die Daten seien pseudonymisiert und nicht personenbezogen. Die SIP stellte klar, dass Ärztin Guzzo als 'Submitter' die Richtlinien akzeptiert hatte, die eine Einwilligung für die Verwendung von Fotos vorschrieben und dass die Beiträge auf der Website veröffentlicht würden. Es lag eine Einwilligung des Vaters für die Übermittlung von Daten 'ausschließlich in anonymer Form' vor.

Die Entscheidung

Der Garante erklärte die von Ärztin Guzzo vorgenommene Verarbeitung personenbezogener Daten für unrechtmäßig und stellte einen Verstoß gegen Art. 5 Abs. 1 lit. a), b) und c) sowie Art. 9 der Verordnung (DSGVO) sowie Art. 2-septies Abs. 8 des Codice Privacy fest. Die Entscheidung stützt sich darauf, dass die Unkenntlichmachung der Augen keine wirksame Anonymisierung für komplexe Gesundheitsdaten darstellt, wodurch die pseudonymisierten Informationen weiterhin personenbezogen bleiben. Die eingeholte Einwilligung, die sich auf anonyme Daten bezog, wurde als nicht gültig für die Verbreitung pseudonymisierter Daten erachtet. Ärztin Guzzo war als 'Submitter' sich der Notwendigkeit einer Einwilligung für die Bilder und der nachfolgenden Veröffentlichung bewusst. Da das Plakat entfernt wurde, wurden keine Korrekturmaßnahmen verhängt, aber ein Bußgeld in Höhe von 5.000 Euro und die Veröffentlichung der Maßnahme angeordnet.

Ratio decidendi Die zentrale rechtliche Begründung liegt in der Unterscheidung zwischen Anonymisierung und Pseudonymisierung: Die Pseudonymisierung entzieht den Daten nicht ihren personenbezogenen Charakter, daher erfordert ihre Verarbeitung eine gültige Rechtsgrundlage, in diesem Fall eine spezifische, freie, informierte und unzweideutige Einwilligung. Die Einwilligung, die für die Übermittlung von Daten 'ausschließlich in anonymer Form' erteilt wurde, kann nicht als gültig für die Verbreitung pseudonymisierter Daten angesehen werden, die immer noch eine indirekte Identifizierung ermöglichen, insbesondere in Anwesenheit komplexer klinischer und familiärer Details. Der Fachmann (Submitter) war dafür verantwortlich, die gültige Einwilligung für die Verwendung und Verbreitung der Bilder sicherzustellen.

Verletzte DSGVO-Artikel

Artikel	Beschreibung	Relevanz
5 par.1 lett.a GDPR	Grundsätze für die Verarbeitung personenbezogener Daten: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz	die verbreitung pseudonymisierter, aber identifizierbarer daten ohne gültige einwilligung verstieß gegen die grundsätze der rechtmäßigkeit, verarbeitung nach treu und glauben und transparenz.
5 par.1 lett.b GDPR	Zweckbindung	die veröffentlichung der daten für wissenschaftliche zwecke, wenn auch legitim, erfolgte in einer weise, die mit der auf die anonyme form beschränkten einwilligung nicht vereinbar war.
5 par.1 lett.c GDPR	Datenminimierung	die partielle unkenntlichmachung gewährleistete nicht die für die nicht-identifizierbarkeit notwendige minimierung, wodurch die daten im verhältnis zu den zwecken ohne spezifische einwilligung übermäßig waren.
9 GDPR	Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten)	die verbreitung von gesundheitsdaten eines verstorbenen minderjährigen ohne eine der in art. 9 abs. 2 dsgvo vorgesehenen ausnahmen, insbesondere eine gültige einwilligung, stellt einen verstoß gegen diese bestimmung dar.
2-septies par.8 Codice Privacy	Verarbeitung von Gesundheitsdaten in besonderen Fällen, Untersagung der Verbreitung außer bei Ausnahmen.	die verbreitung von daten, die geeignet sind, den gesundheitszustand offenzulegen, ohne eine gültige rechtsgrundlage, verstieß gegen das ausdrückliche verbot des codice privacy.

Sanktion

Der Garante ordnete Ärztin Immacolata Guzzo an, einen Betrag von 5.000 Euro als Verwaltungsbußgeld für die Verletzung von Art. 5 Abs. 1 lit. a), b) und c) sowie Art. 9 der Verordnung (DSGVO) und Art. 2-septies Abs. 8 des Codice Privacy zu zahlen. Das Bußgeld wurde unter Berücksichtigung der betroffenen Kategorie personenbezogener Daten (Gesundheit, verstorbenes Kind), der Verbreitung derselben und des Fehlens einer vorsätzlichen Haltung (gutgläubige Überzeugung, die Daten anonymisiert zu haben) festgelegt. Es wurde auch die Nebenstrafe der Veröffentlichung der Entscheidung auf der Website des Garante angeordnet.

Fristen: innerhalb von 30 Tagen ab Zustellung dieser Entscheidung

Praktische Auswirkungen

Diese Entscheidung unterstreicht die Bedeutung einer strengen Auslegung und Anwendung der Grundsätze der Anonymisierung und Pseudonymisierung, insbesondere im Gesundheits- und Forschungsbereich. Organisationen und Fachleute müssen sich voll bewusst sein, dass Pseudonymisierung nicht gleich Anonymisierung ist und dass pseudonymisierte Daten weiterhin personenbezogene Daten bleiben, die allen Garantien der DSGVO unterliegen. Die Notwendigkeit einer spezifischen, freien, informierten und unzweideutigen Einwilligung für die Verbreitung sensibler Daten (wie Gesundheitsdaten, Daten von Minderjährigen oder Verstorbenen) wird nachdrücklich bekräftigt. Auch in wissenschaftlichen Kontexten entbindet der gute Glaube nicht von der Verantwortung, die Rechtmäßigkeit der Verarbeitung zu gewährleisten. Es ist entscheidend, dass die Informationen genaue Details zu den Modalitäten und Zwecken der Verbreitung enthalten, insbesondere wenn die Veröffentlichung von Bildern oder Daten vorgesehen ist, die, auch wenn teilweise maskiert, eine indirekte Identifizierung ermöglichen könnten. Die post-kongressuellen und wissenschaftlichen Veröffentlichungsverfahren müssen klar kommuniziert werden und Mechanismen zur Gewährleistung der Einhaltung der Datenschutzvorschriften vorsehen.

Empfohlene Maßnahmen

Robuste Verfahren zur Unterscheidung und Verwaltung von Anonymisierung und Pseudonymisierung implementieren, um sicherzustellen, dass Daten vor der Verbreitung ohne Einwilligung tatsächlich anonym sind.
Eine spezifische, freie, informierte und unzweideutige Einwilligung für die öffentliche Verbreitung von Bildern oder klinischen Daten einholen, die, auch wenn pseudonymisiert, eine indirekte Identifizierung ermöglichen könnten.
Die Datenschutzerklärungen und Einwilligungsformulare überprüfen und aktualisieren, um sicherzustellen, dass sie die Zwecke und Modalitäten der Verarbeitung, einschließlich der möglichen Datenverbreitung, genau widerspiegeln und die Art (anonym vs. pseudonymisiert) präzisieren.
Personal, insbesondere medizinisches Fachpersonal und Forscher, in den Definitionen und Implikationen von Anonymisierung, Pseudonymisierung und den korrekten Verfahren zur Einholung der Einwilligung und Verbreitung von Daten, insbesondere sensibler Daten und Daten von schutzbedürftigen Kategorien, schulen.
Sicherstellen, dass vertragliche Bedingungen mit Veranstaltungsunternehmen (z. B. Kongresssekretariate) und Veröffentlichungsplattformen Klauseln enthalten, die die Einhaltung der DSGVO und die Notwendigkeit einer gültigen Einwilligung für die Verbreitung von Materialien gewährleisten.

Zu vermeidende Fehler

Pseudonymisierung mit Anonymisierung verwechseln und pseudonymisierte Daten so behandeln, als wären sie anonym und nicht der DSGVO unterliegend.
Gesundheitsdaten, insbesondere von Minderjährigen oder verstorbenen Personen, mit teilweisen Maskierungen (z. B. Unkenntlichmachung der Augen) verbreiten und diese als ausreichend anonym betrachten.
Eine generische Einwilligung oder eine spezifische Einwilligung für anonyme Daten für die Verbreitung personenbezogener Daten (auch wenn pseudonymisiert) verwenden.
Leitlinien und sektorspezifische Verhaltenskodizes (z. B. Berufsordnung für Ärzte, Verhaltenskodex für die Verwendung von Gesundheitsdaten zu Lehr- und wissenschaftlichen Veröffentlichungszwecken) ignorieren, die die Anforderungen für wissenschaftliche Veröffentlichungen festlegen.
Die datenschutzrechtlichen Auswirkungen der 'Post-Kongress'-Aktivitäten oder Veröffentlichungen, die in den technischen Spezifikationen oder den Richtlinien der Veranstalter vorgesehen sind, nicht überprüfen.

Fragen zur Selbsteinschätzung

Stellen unsere Anonymisierungsverfahren sicher, dass Daten nicht auf natürliche Personen zurückgeführt werden können, unter Berücksichtigung aller vernünftigerweise verfügbaren Mittel?
Holen wir eine spezifische und informierte Einwilligung ein, die die Verbreitung von Bildern oder klinischen Daten (auch wenn pseudonymisiert) ausdrücklich abdeckt, und präzisieren wir deren Art in der Datenschutzerklärung?
Ist unser Personal ausreichend in den Unterschieden zwischen Anonymisierung und Pseudonymisierung und deren rechtlichen Implikationen geschult?
Spiegeln die Verträge mit Anbietern (z. B. Veranstalter, Veröffentlichungsplattformen) unsere DSGVO-Verantwortlichkeiten wider und erfordern sie eine sorgfältige Verarbeitung personenbezogener Daten?
Haben wir spezifische Protokolle für die Verwaltung und Veröffentlichung von Gesundheitsdaten von Minderjährigen oder verstorbenen Personen, die mit den Vorschriften und berufsrechtlichen Kodizes im Einklang stehen?

Verweise

EDPB-Leitlinien: Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679 · WP216, 05/2014 sulle tecniche di anonimizzazione · WP29 Opinion 05/2014 on Anonymisation techniques · Linee guida “01/2025 on Pseudonymisation” · Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Nationales Recht: D.Lgs. 196/2003 · Codice di deontologia medica

Anmerkungen

Die Entscheidung bekräftigt klar die Unterscheidung zwischen Anonymisierung und Pseudonymisierung, einem kritischen und oft missverstandenen Punkt mit direkten Auswirkungen auf die Rechtsgrundlage und Sicherheitsmaßnahmen. Die Beachtung der Daten von Minderjährigen und verstorbenen Personen unterstreicht ein besonders hohes Schutzniveau für schutzbedürftige Kategorien.