Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > CJEU-Urteil 2026: Pseudonymisierung entbindet nicht mehr von der DSGVO-Compliance

CJEU-Urteil 2026: Pseudonymisierung entbindet nicht mehr von der DSGVO-Compliance

von Danielle Barbour updated April 30, 2026 DSGVO-Compliance
Lesezeit: 10 Minuten

Am 4. März 2026 bestätigte der französische Conseil d’État ein Bußgeld der CNIL in Höhe von 40 Mio. € gegen das Adtech-Unternehmen Criteo SA (NASDAQ: CRTO) wegen mehrerer DSGVO-Verstöße im Zusammenhang mit verhaltensbasierter Werbung. Gibson Dunns Update zum Datenschutz in Europa, April 2026, ordnet dieses Urteil in eine breitere Welle von Durchsetzungsmaßnahmen ein und hebt insbesondere hervor, dass der EuGH klargestellt hat: Pseudonymisierte Cookie-IDs, die mit Surfverhalten, IP-Adressen und Kaufhistorien verknüpft sind, bleiben personenbezogene Daten, wenn eine Re-Identifizierung ohne unverhältnismäßigen Aufwand möglich ist.

Wichtige Erkenntnisse

  1. Der EuGH schließt die Pseudonymisierungs-Lücke für Online-Kennungen. Der Europäische Gerichtshof hat klargestellt: Pseudonymisierte Cookie-IDs, die mit Surfverhalten, IP-Adressen und Kaufhistorien verknüpft sind, bleiben unter der DSGVO personenbezogene Daten, wenn eine Re-Identifizierung ohne unverhältnismäßigen Aufwand möglich ist. Diese Einstufung zieht sämtliche Compliance-Pflichten nach sich.
  2. Frankreich setzt das Urteil durch Durchsetzung, nicht durch Leitlinien um. Der Conseil d’État bestätigte am 4. März 2026 das CNIL-Bußgeld von 40 Mio. € gegen Criteo SA und beendete damit einen Rechtsstreit, der mit der CNIL-Sanktion 2023 begann. Frankreichs DSGVO-Durchsetzung im Adtech-Bereich ist damit keine Theorie mehr.
  3. Die Auswirkungen auf KI-Trainingsdaten sind erheblich. Unternehmen, die Cookie-IDs, Gerätekennungen oder verhaltensbasierte Fingerprints als „nicht-personenbezogen“ eingestuft und für das Modelltraining verwendet haben, sind nun rückwirkend exponiert. Die EDSA hat bereits festgestellt, dass auf personenbezogenen Daten trainierte KI-Modelle nicht automatisch als anonym gelten.
  4. Verteidigbarkeit von Auskunftsersuchen ist ein neues regulatorisches Konfliktfeld. Der EuGH hat gleichzeitig klargestellt, dass Verantwortliche „missbräuchliche“ DSGVO-Auskunftsersuchen ablehnen dürfen – aber nur mit dokumentierten, nachvollziehbaren Kriterien. Pauschale Ablehnungen bei massenhaft automatisierten Anfragen werden selbst zum Auslöser für Durchsetzungsmaßnahmen.
  5. Datenklassifizierung, nicht Datenanonymisierung, ist das durchsetzbare Steuerungselement. Die Antwort auf das Urteil ist nicht die Entwicklung neuer Pseudonymisierungsmethoden. Online-Kennungen sind als personenbezogene Daten im Datenbestand zu behandeln, zugriffsbasierte Richtlinien sind anzuwenden, Datenresidenz in der EU ist zu gewährleisten und manipulationssichere Audit-Trails müssen die Verarbeitungsentscheidungen nachvollziehbar machen.

Diese beiden Entwicklungen verschieben gemeinsam die Grenzen der DSGVO-Compliance für alle Unternehmen, die Online-Kennungen in großem Umfang verarbeiten. Für Unternehmen, die Adtech, Verhaltensanalysen, KI-Training auf Kundendaten oder grenzüberschreitende Datenflüsse mit EU-Bezug betreiben, sind die Konsequenzen nun in achtstelligen Bußgeldern messbar.

Die Pseudonymisierungs-Ausweichstrategie – die Compliance-Theorie „wir speichern keine Namen, sondern nur gehashte Kennungen, also gilt die DSGVO nicht“ – ist nun geschlossen.

Was der EuGH tatsächlich entschieden hat und warum Klassifizierung zählt

Der EuGH bestätigte, dass der Test für „personenbezogene Daten“ nach DSGVO Art. 4(1) nicht darauf abstellt, ob der Verantwortliche direkt identifizierende Informationen besitzt, sondern ob eine Re-Identifizierung mit Mitteln möglich ist, die vernünftigerweise eingesetzt werden könnten. Cookie-IDs, die mit Surfverhalten, IP-Adressen und Kaufdaten verknüpft sind, erfüllen diesen Test, da die Kombination auch ohne Namen oder E-Mail-Adressen ein eindeutig identifizierbares Profil schafft. Diese Position entspricht früheren EDSA-Leitlinien und dem EuGH SRB-Urteil vom September 2025, das einen relativen Ansatz zur De-Identifizierung verfolgt.

Die Auswirkungen auf die Praxis sind unmittelbar. Jeder Datensatz mit Cookie-IDs, Geräte-Fingerprints oder anderen pseudonymen Online-Kennungen in Kombination mit Verhaltensdaten fällt nun eindeutig in den Anwendungsbereich der DSGVO. Alle Vorschriften für personenbezogene Daten gelten: Rechtsgrundlage nach Art. 6, Datenminimierung nach Art. 5(1)(c), Betroffenenrechte nach Art. 15 bis 22, Sicherheitsmaßnahmen nach Art. 32 und Meldepflichten bei Datenschutzverstößen nach Art. 33 und 34. Unternehmen, die solche Datensätze bisher außerhalb ihres DSGVO-Governance-Programms geführt haben, sind nun rückwirkend in sämtlichen Bereichen nicht konform.

Das Urteil präzisiert auch die Auslegung von „vernünftigerweise wahrscheinlich“. Es geht nicht um eine theoretische Überlegung, ob Re-Identifizierung prinzipiell möglich ist. Entscheidend ist, ob die Kombination der Daten, verfügbare Abgleichverfahren und wirtschaftliche Anreize die Re-Identifizierung praktisch riskant machen. Für Adtech-Ökosysteme, deren Geschäftsmodell gerade auf der Identifikation und Nachverfolgung von Nutzern über Sitzungen und Websites hinweg beruht, ist die Antwort fast immer: ja. Die Architektur verhaltensbasierter Werbung erfordert Re-Identifizierbarkeit – und damit ist die gesamte Datenpipeline als Verarbeitung personenbezogener Daten einzustufen.

Frankreich setzt das Urteil in großem Maßstab durch

Das CNIL-Bußgeld von 40 Mio. € gegen Criteo, bestätigt durch den Conseil d’État, ist kein Ausreißer. Die kumulierten DSGVO-Bußgelder in Europa beliefen sich 2025 laut DLA Piper GDPR Fines and Data Breach Survey auf über 1,2 Mrd. €, die Gesamtsumme seit 2018 überschritt 5,88 Mrd. € und die Ausgabe 2026 dokumentiert einen Anstieg der Meldungen von Datenschutzverstößen um 22 % gegenüber dem Vorjahr.

Der Durchsetzungsschwerpunkt liegt auf Art. 5(1)(a) – Rechtmäßigkeit, Fairness und Transparenz – und Art. 5(1)(f) – Integrität und Vertraulichkeit. Beide Artikel hängen davon ab, dass Daten als personenbezogen klassifiziert werden. Sobald pseudonymisierte Kennungen darunterfallen, wird jede verhaltensbasierte Werbepipeline gleichzeitig zum Problem der Rechtsgrundlage, der Transparenz und der Betroffenenrechte.

Die Durchsetzungsgeschwindigkeit Frankreichs ist global relevant, da andere europäische Datenschutzbehörden traditionell der französischen Linie bei Adtech und Tracking folgen. Die irische Datenschutzkommission, der italienische Garante und die deutschen Landesdatenschutzbeauftragten haben sich bereits an der Haltung der CNIL orientiert. Unternehmen, die 40 Mio. € als französische Besonderheit und nicht als europäischen Maßstab betrachteten, sehen nun ähnliche Verfahren in Dublin, Rom und Berlin aufkommen.

Die Auswirkungen auf KI-Trainingsdaten sind rückwirkend

Die wohl folgenreichste Auswirkung des EuGH-Urteils betrifft das KI-Training. In den letzten drei Jahren haben viele Unternehmen große Trainingsdatensätze aus Daten aufgebaut, die ihre Rechtsabteilungen als „nicht-personenbezogen“ eingestuft hatten: Cookie-IDs, Geräte-Fingerprints, Verhaltens-Telemetrie, Clickstream-Logs und Kaufhistorien ohne Namen. Diese Datensätze flossen in Fine-Tuning-Läufe, Entwicklung von Empfehlungssystemen und individuelles Modelltraining für Marketing, Betrugserkennung und Personalisierung.

Die EDSA-Stellungnahme 28/2024 hat bereits festgehalten, dass auf personenbezogenen Daten trainierte KI-Modelle nicht automatisch als anonym gelten und jeder Einzelfall auf Extraktions- und Abfrageresistenz geprüft werden muss. Zusammen mit der EuGH-Bestätigung, dass pseudonymisierte Online-Kennungen personenbezogene Daten bleiben, ergibt sich eine Compliance-Neuklassifizierung: War das Trainingsdatenset personenbezogen, muss das trainierte Modell auf Memorierungs- und Extraktionsrisiken geprüft werden, und das ursprüngliche Training hatte vermutlich keine ausreichende Rechtsgrundlage nach Art. 6.

Das ist rückwirkende Exponierung. Das an die ANPD angelehnte Bußgeld des italienischen Garante gegen OpenAI Ende 2024 (im März 2026 von einem italienischen Gericht aufgehoben, laut Reuters) schuf den regulatorischen Präzedenzfall: massive Bußgelder für unrechtmäßige Verarbeitung von Trainingsdaten, ohne praktikablen Ausweg außer Modellneutraining. Unternehmen, die produktive KI-Funktionen auf „pseudonymen“ Trainingssets aufgebaut haben, tragen nun eine Compliance-Belastung, die sich ohne Architekturwechsel kaum abbauen lässt. Ein rechtlich tragfähiges Re-Training ist teuer. Der Betrieb von Modellen, die auf nun als personenbezogen eingestuften Daten trainiert wurden, bleibt risikobehaftet.

Das deutsche Gerichtsurteil vom November 2025 verschärft das Problem. Wie im Future of Privacy Forum-Jahresrückblick 2026 dokumentiert, entschied ein deutsches Gericht, dass Songtexte „reproduzierbar in Modellgewichten enthalten und fixiert“ waren und behandelte Modelle damit als Kopien im Sinne des Urheberrechts. Diese Sichtweise hat offensichtliche Auswirkungen auf personenbezogene Daten: Kann ein Modell Trainingsinhalte reproduzieren, und enthielten diese personenbezogene Daten, enthält das Modell selbst personenbezogene Daten – mit allen daraus resultierenden Pflichten.

Warum Unternehmen Pseudonymisierung falsch verstanden haben

Die weitverbreitete Annahme in Unternehmen, dass Pseudonymisierung Daten automatisch aus dem DSGVO-Anwendungsbereich herausnimmt, ist ein Compliance-Kurzschluss, der lange überlebt hat. Pseudonymisierung nach DSGVO Art. 4(5) bedeutet eine Verarbeitung, bei der personenbezogene Daten ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Entscheidend ist der letzte Halbsatz. Pseudonymisierte Daten bleiben personenbezogene Daten – sie unterliegen lediglich zusätzlichen Schutzmaßnahmen. Sie sind nicht anonymisiert und waren es nie.

Die Verwirrung entstand durch die Rhetorik der Adtech-Branche. Verhaltensbasierte Werbeökosysteme beschrieben ihre Datenpipelines als „anonymisiert“ oder „pseudonymisiert“, als wären diese Begriffe austauschbar. Unternehmensjuristen, die nach Gründen suchten, verhaltensbasierte Datensätze von der DSGVO-Compliance auszunehmen, übernahmen diese Sichtweise. Der EuGH hat sie nun für die Kombination aus Kennungen und Verhaltensdaten, wie sie im Adtech-Umfeld üblich ist, eindeutig verworfen.

Der Kiteworks Data Security and Compliance Risk: 2026 Data Sovereignty Report zeigt: Rund 15 % der europäischen Befragten geben an, „äußerst besorgt“ über die Gefahr von DSGVO-Bußgeldern zu sein – ein Wert, der die wachsende Zahl kumulierter Durchsetzungsmaßnahmen von über 5,88 Mrd. € widerspiegelt. Die Sorge hat sich jedoch noch nicht in der Architektur niedergeschlagen. Viele Unternehmen betreiben weiterhin parallele Data-Governance-Programme, in denen „personenbezogene“ Datensätze strengen Kontrollen unterliegen, während „pseudonyme“ Datensätze durch lockere Kontrollen laufen. Diese Architektur ist nun ein Risiko.

Das Auskunftsersuchen wird zum nächsten Durchsetzungsfeld

Das EuGH-Urteil hat nicht nur die Pseudonymisierungs-Verteidigung eingeschränkt. Es präzisiert auch, wann Verantwortliche DSGVO-Auskunftsersuchen als missbräuchlich ablehnen dürfen – und der Spielraum ist enger als viele Organisationen dachten. Verantwortliche dürfen Anfragen als missbräuchlich einstufen, wenn ein unverhältnismäßiger Aufwand, offensichtlich unbegründete Absicht oder koordinierte Automatisierung die Bearbeitung unzumutbar machen. Das Gericht betont jedoch, dass die Beweislast für den Missbrauch beim Verantwortlichen liegt und pauschale Ablehnungen nicht den Anforderungen von Art. 12(5) genügen.

Das ist relevant, weil automatisierte und massenhaft eingereichte Auskunftsersuchen inzwischen ein legitimes Durchsetzungsinstrument sind. Datenschutzorganisationen, Journalisten und zunehmend Verbraucher, die KI-Assistenten für Compliance-Anfragen nutzen, machen von Art. 15 in einem Umfang Gebrauch, der manuelle Prozesse überfordert. Manche Unternehmen reagieren mit pauschalen Ablehnungen. Der EuGH stellt nun klar: Diese Praxis schafft selbst Durchsetzungsrisiken.

Die Folge: Die Infrastruktur für Auskunftsersuchen ist kein „Nice-to-have“ mehr, sondern ein regulierter Prozess, bei dem jede Ablehnung dokumentiert, jede Begründung belegbar und jede Frist nach Art. 12(3) eingehalten werden muss. Unternehmen, die auf manuelle, Ad-hoc-Prozesse setzen, werden entweder von der Masse der Anfragen überrollt oder treffen Ablehnungsentscheidungen, die zur Beschwerde bei Aufsichtsbehörden führen.

Wie Data-Layer-Governance das Klassifizierungsproblem löst

Die architektonische Antwort auf das EuGH-Urteil ist nicht die nachträgliche Reklassifizierung von Daten. Es gilt, Governance-Infrastruktur zu schaffen, die Kombinationen aus Kennung und Verhalten von Anfang an als personenbezogene Daten behandelt und die daraus resultierenden Pflichten auf Datenebene durchsetzt. Das bedeutet: Dateninventare, die Cookie-IDs, Geräte-Fingerprints und Verhaltens-Fingerprints als personenbezogene Daten erkennen; attributbasierte Zugriffskontrollen, die Rechtsgrundlagen für Abfragen und Exporte durchsetzen; Datenresidenz, die EU-Personendaten ausschließlich in der EU speichert; und Audit-Trails, die jede Verarbeitungsentscheidung auf Anfrage gegenüber Aufsichtsbehörden belegen können.

Kiteworks setzt diese Governance auf Datenebene um, nicht auf Anwendungsebene. Vier Funktionen sind im Kontext des EuGH-Urteils besonders relevant. Erstens erzwingt die Kiteworks Data Policy Engine attributbasierte Zugriffskontrollen bei jeder Dateninteraktion – Daten können als personenbezogen, auf bestimmte Zwecke beschränkt oder mit Residenzpflichten versehen markiert werden, wobei die Kontrolle beim Zugriff und nicht in der Anwendung erfolgt. Zweitens ermöglicht die DSPM-Integration mit Microsoft Information Protection, dass Klassifizierungen aus externen Data-Governance-Tools in operative Richtlinien übernommen werden, sodass Cookie-ID-plus-Verhaltens-Datensätze ihre personenbezogene Klassifizierung systemübergreifend behalten. Drittens konfigurieren Geofencing- und Data-Sovereignty-Kontrollen verteilte Systeme so, dass EU-Personendaten nur in den vorgesehenen Jurisdiktionen gespeichert und Zugriffe ausschließlich darüber geroutet werden – damit werden die Anforderungen an grenzüberschreitende Übermittlungen nach Art. 44 ohne Einzelfallverträge erfüllt. Viertens erstellt der DSGVO-Compliance-Bericht ein strukturiertes Nachweispaket, das operative Kontrollen den DSGVO-Artikeln zuordnet – die Grundlage für die Verteidigung von Verarbeitungsentscheidungen und Auskunftsersuchen bei Aufsichtsaudits.

Das architektonische Argument: Klassifizierungsstreitigkeiten werden mit zunehmender DSGVO-Durchsetzung zunehmen. Die belastbare Position ist nicht, die Klassifizierung zu diskutieren, sondern Kontrollen zu schaffen, die für alles gelten, was als personenbezogen eingestuft werden könnte. Damit verschiebt sich die Compliance-Bürde von der juristischen Auslegung zur operativen Durchsetzung – und diese Strategie übersteht das nächste EuGH-Urteil, die nächste EDSA-Stellungnahme und die nächste nationale Leitlinie.

Was das Urteil dieses Jahr für Ihr Compliance-Programm bedeutet

Erstens: Überprüfen Sie Ihre Datenklassifizierung und Ihr Inventar im Hinblick auf den vom EuGH klargestellten Anwendungsbereich. Jeder Datensatz, der Online-Kennungen (Cookie-IDs, Geräte-Fingerprints, Advertising-IDs, IP-Adressen, gehashte E-Mails) mit Verhaltensdaten (Surfen, Käufe, Inhaltsinteraktionen) kombiniert, muss als personenbezogen markiert werden. Die EDSA-Leitlinien 04/2022 zur Berechnung von DSGVO-Bußgeldern berücksichtigen dokumentierte technische und organisatorische Maßnahmen als mildernden Faktor – aber nur, wenn die zugrunde liegende Klassifizierung korrekt ist.

Zweitens: Prüfen Sie die Herkunft Ihrer KI-Trainingsdaten. Für jedes Modell, das auf Daten trainiert oder feinabgestimmt wurde, die Ihr Compliance-Programm als „pseudonym“ oder „nicht-personenbezogen“ klassifizierte, bewerten Sie die Klassifizierung nach der EuGH-Logik und der EDSA-Stellungnahme vom Dezember 2024 zur KI-Modellanonymität neu. Modelle, die auf rückwirkend als personenbezogen eingestuften Daten trainiert wurden, stehen vor Problemen sowohl bei der Rechtsgrundlage als auch bei der Frage, ob das Modell selbst personenbezogene Daten enthält.

Drittens: Bauen Sie Ihre Infrastruktur für Auskunftsersuchen so um, dass sie Volumen und Verteidigbarkeit gegen Missbrauch gleichzeitig bewältigt. Manuelle Prozesse mit pauschalen Ablehnungen führen zu Beschwerden bei Aufsichtsbehörden. Dokumentieren Sie jede Ablehnungsentscheidung mit substanzieller Begründung. Automatisieren Sie die Bearbeitung legitimer Anfragen. Erfassen Sie Kennzahlen zu Reaktionszeit, Erledigungs- und Ablehnungsquote – denn diese werden von Aufsichtsbehörden im Rahmen von Prüfungen angefordert.

Viertens: Konsolidieren Sie den Austausch sensibler Daten unter einheitlicher Governance. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: Unternehmen mit fragmentierten Toolstacks für sicheren Datenaustausch haben systematisch höhere Compliance-Risiken und langsamere Reaktionszeiten gegenüber Behörden. Eine konsolidierte Steuerungsebene sorgt für einheitliche Richtlinien, einheitliche Audit-Nachweise und einheitliche Datenresidenz – das entspricht der architektonischen Konsistenz, die der EuGH indirekt fordert.

Fünftens: Behandeln Sie Disziplin bei grenzüberschreitenden Datenübermittlungen als zentrales Steuerungselement. Das EuGH-Urteil ist Teil einer längeren Entwicklung, zu der auch der Data Act (seit September 2025 in Kraft) und die gestufte Anwendung des EU AI Act bis 2027 gehören. Mechanismen für grenzüberschreitende Übermittlungen – Angemessenheitsbeschlüsse, SCCs, BCRs – erfordern operative Durchsetzung auf Datenebene, nicht nur rechtliche Dokumentation in einer AVV. Data-Sovereignty- und Geofencing-Kontrollen, die tatsächlich EU-Personendaten in der EU speichern und routen, sind die Kontrollen, die Audits bestehen.

Sechstens: Bereiten Sie das Nachweispaket vor, bevor Sie es brauchen. Der Unterschied zwischen einer 40-Mio.-€-Strafe und einem Warnschreiben liegt oft in den technischen und organisatorischen Maßnahmen, die ein Unternehmen zum Zeitpunkt der Durchsetzung nachweisen kann. Wer einen DSGVO-Compliance-Bericht, attributbasierte Zugriffsdokumentation, Nachweise zur Datenresidenz und Audit-Trails zu Betroffenenanfragen innerhalb von 24 Stunden vorlegen kann, steht deutlich besser da als ein Unternehmen, das dieselben Nachweise erst nach sechswöchiger Hektik zusammenstellt.

Das EuGH-Urteil ist nicht das Ende der Pseudonymisierungsdebatte. Es ist der Beginn eines neuen regulatorischen Zyklus, in dem Durchsetzung der Leitlinienbildung vorausgeht, Bußgelder der Klarstellung von Richtlinien vorausgehen und Unternehmen mit operativer Governance diesen Zyklus mit deutlich weniger Reibung durchlaufen als jene, die Klassifizierungsfragen weiterhin in juristischen Memos diskutieren.

Häufig gestellte Fragen

Die Verteidigbarkeit hängt von der Rechtsgrundlage und den getroffenen Schutzmaßnahmen ab. Die EuGH-Klarstellung 2026 bestätigt: Cookie-IDs in Kombination mit Surf-, IP- und Kaufdaten sind unter der DSGVO personenbezogene Daten. Programme, die auf der Theorie „Pseudonymisierung befreit uns“ beruhen, sind exponiert. Verteidigbare Programme benötigen ausdrückliche Einwilligung oder eine andere Rechtsgrundlage nach Art. 6, Datenminimierung, transparente Datenschutzhinweise und eine Infrastruktur zur Erfüllung der Betroffenenrechte. Marketing-Personalisierung bleibt möglich – aber nur mit vollständigem DSGVO-Compliance-Stack.

Ja, und das Risiko ist erheblich. Die EDSA-Stellungnahme 28/2024 hält bereits fest, dass auf personenbezogenen Daten trainierte KI-Modelle nicht automatisch als anonym gelten. In Kombination mit dem EuGH-Urteil, das Ihre Trainingsdaten als personenbezogen einstuft, bestehen sowohl Risiken hinsichtlich der Rechtsgrundlage für das ursprüngliche Training als auch Verpflichtungen, wenn das Modell selbst personenbezogene Daten enthält. Mögliche Maßnahmen sind Re-Training auf rechtlich tragfähigen Daten, Implementierung von Extraktionsschutz oder Einschränkung des Einsatzbereichs.

Das Urteil verschärft die Anforderungen an grenzüberschreitende Übermittlungen. Sobald Cookie-IDs und Verhaltensdaten als personenbezogen gelten, ist für jede Übermittlung außerhalb der EU ein Mechanismus nach Art. 44 erforderlich – Angemessenheitsbeschluss, Standardvertragsklauseln oder verbindliche Unternehmensregeln. Der EU-US Data Privacy Framework gilt weiterhin, seine Anwendbarkeit auf Adtech ist jedoch umstritten. Unternehmen, die auf operative Datensteuerung setzen, sollten Geofencing- und Data-Sovereignty-Kontrollen implementieren, um EU-Personendaten in der EU zu halten.

Ablehnung ist möglich, aber nur in engen Grenzen. Die EuGH-Klarstellung bestätigt: Verantwortliche dürfen Anfragen als missbräuchlich einstufen, wenn ein unverhältnismäßiger Aufwand oder offensichtlich unbegründete Absicht belegbar ist. Pauschale Ablehnungen sind unzulässig. Erforderlich ist eine fallbezogene Begründung, Nachweis der tatsächlichen Belastung oder bösen Absicht und der Nachweis, dass berechtigte Anfragen weiterhin bearbeitet werden. Unternehmen, die massenhaft ohne Einzelfallprüfung ablehnen, riskieren Beschwerden bei Aufsichtsbehörden und Durchsetzungsmaßnahmen.

Die Maßnahmen nach Art. 32 müssen den neu klassifizierten Umfang personenbezogener Daten abdecken. Die EDSA-Leitlinien 04/2022 sehen implementierte Kontrollen als mildernden Faktor bei der Bußgeldberechnung. Erwartet werden insbesondere attributbasierte Zugriffskontrollen mit dokumentierter Rechtsgrundlagendurchsetzung, Verschlüsselung im ruhenden Zustand mit starkem Schlüsselmanagement, manipulationssichere Audit-Logs zu Datenzugriff und Verarbeitungsentscheidungen, Datenresidenz für grenzüberschreitende Übermittlungen und strukturierte DSGVO-Compliance-Berichte. Plattformen wie Kiteworks bieten diese Kontrollen auf der Ebene des Datenaustauschs.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks