Verlieren pseudonymisierte Daten ihren Personenbezug, wenn der Empfänger keine Möglichkeit der Rückidentifizierung der Personen hat? Denn dann wären die Daten anonymisiert und die Datenschutz-Grundverordnung (DSGVO) nicht mehr anwendbar. Darüber musste das Gericht der Europäischen Union (EuG) entscheiden. Das Urteil dürfte für manche Unternehmen eine Erleichterung bieten (Urteil vom 26. April 2023, Az.: T-557/20).
Hintergrund der Entscheidung
Im Mittelpunkt steht eine Nichtigkeitsklage gem. Art. 263 AEUV vor dem Gericht der Europäischen Union, welches oftmals als erste Instanz zum EuGH dient.
Kläger war der Einheitliche Abwicklungsausschuss (Single Resolution Board – SRB), welcher sich mit einer Klage gegen die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) vom 24. November 2020 richtete.
Eine Aufgabe des SRB besteht darin, sicherzustellen, dass insolvenzgefährdete Finanzinstitute ordnungsgemäß abgewickelt werden, wobei die Auswirkungen auf die Realwirtschaft möglichst geringgehalten werden sollen. Im Zuge eines solchen Abwicklungsverfahrens gegen eine spanische Bank hatte der SRB den jeweiligen Anteilseignern und Gläubigern ein elektronisches Kontaktformular zugesendet, durch welches sie sich zu ihrem Anhörungsrecht äußern konnten.
Die Stellungnahmen wurden daraufhin an ein Beratungsunternehmen weitergeleitet, welches die Stellungnahmen auswerten sollte. Vor der Weitergabe wurden die Namen der antwortenden Personen mit einem alphanumerischen Code versehen, welcher aus einer 33-stelligen zufällig generierten Identifikationsnummer bestand.
Das Beratungsunternehmen hatte also keinerlei Kenntnis über die Identität der Befragten. Eine Decodierung oder der Zugang zur entsprechenden Datenbank war dem Beratungsunternehmen nicht möglich. Lediglich die SRB hatte aufgrund einer entsprechenden Datenbank die Möglichkeit, die Codes wieder zu entschlüsseln und einer konkreten Person zuzuordnen.
Nachdem mehrere Beschwerden bezüglich dieser Weitergabe der codierten Stellungnahmen beim EDSB eingingen, entschied dieser, dass dieses Vorgehen einen Verstoß gegen Art. 15 Abs. 1 lit. d VO (EU) 2018/1725 (analog zu Art. 13 Abs. 1 lit. e DSGVO, welcher die Informationspflicht über Empfänger regelt) darstellte. Nach Ansicht des EDSB hätte der SRB alle Betroffenen darüber informieren sollen, dass ihre personenbezogenen Daten eventuell an das Beratungsunternehmen weitergegeben würden. Dabei sei bereits ausreichend, dass der SRB über die zusätzlichen Informationen verfüge, anhand derer eine Re-Identifizierung möglich sei.
Der SRB war dagegen der Auffassung, dass keine Informationspflicht bestehe, da die Weitergabe der Daten nicht zu einer Pseudonymisierung geführt habe. Vielmehr seien diese anonym geblieben, da das Beratungsunternehmen keine Möglichkeit zur Re-Identifizierung gehabt habe.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Richterspruch
Das EuG folgte der Ansicht des SRB und erklärte die Entscheidung des EDSB für nichtig.
Dem Urteil zufolge stellt Art. 3 Nr. 1 VO 2018/1725 zwei Voraussetzungen an den Begriff der personenbezogenen Daten:
- das Vorliegen einer „identifizierten oder identifizierbaren“ Person und
- ein „Beziehen“ auf eine natürliche Person.
Personenbezug kann bei pseudonymisierten Daten entfallen
Das EuG prüfte zunächst, ob die weitergegebenen Informationen sich auf eine identifizierte oder identifizierbare natürliche Person bezogen. Vorliegend betraf der Fall die Weitergabe von pseudonymisierten Daten. Diese sind zu unterscheiden von anonymisierten Daten. Werden Daten anonymisiert, entfällt gleichzeitig der Personenbezug.
Bezüglich pseudonymisierter Daten stellte das EuG nun Folgendes klar:
- Die Pseudonymisierung von Daten könne auch eine anonymisierende Wirkung aufweisen. Bei einer Pseudonymisierung werde zwar grundsätzlich der Personenbezug zunächst einmal entfernt. Es bestehe aber weiterhin die Möglichkeit, die Daten einer Person zuzuordnen und diese zu identifizieren.
- Die Richter des EuG sind der Meinung, dass allein die theoretische Möglichkeit der Identifizierung nicht ausreiche. Die Re-Identifizierung der Person müsse auch praktisch und rechtlich möglich sein.
Empfängersicht entscheidend für Personenbezug
Das EuG zog in seiner Urteilsbegründung ein EuGH-Urteil vom 19. Oktober 2016 (Az.: C-582/14) heran. Darin hatte der EuGH festgestellt, dass es sich bei IP-Adressen um personenbezogene Daten handeln könne, wenn der Anbieter des Online-Mediendienstes Zusatzinformationen vom Internetzugangsanbieter erhielte.
Im vorliegenden Fall stellte der EuG nun fest, dass für die Beurteilung des Personenbezuges von Daten, die Empfängersicht entscheidend sei. Würden die Daten pseudonymisiert weitergegeben, so könnten diese potenziell mit der Weitergabe zu anonymen Daten werden. Es müsse laut EuG hierbei auf den Empfänger abgestellt werden. Habe der Empfänger keinen Zugang zu den Zusatzinformationen oder sei der Zugang auch praktisch nicht durchführbar, dann würden aus den pseudonymisierten Daten anonymisierte Daten werden.
Dass der Versender der Daten eine Möglichkeit zur Re-Identifizierung habe, sei hier unerheblich. Das Bestehen einer theoretischen Gefahr der Rückidentifizierung sei nicht entscheidend. Vielmehr sei die Möglichkeit einer praktischen und rechtlichen Durchführung der Rückidentifizierung erforderlich.
Im Umkehrschluss bedeute dies: Kann der Empfänger praktisch und rechtskonform eine Re-Identifizierung der Betroffenen herbeiführen, so blieben die pseudonymisierten Daten weiterhin pseudonymisiert.
Im vorliegenden Fall lagen der Unternehmungsberatung keine Zusatzinformationen bezüglich der Stellungnahmen vor. Allein aus den alphanummerischen Codes hätte die Unternehmensberatung keine Rückschlüsse auf die Personen ziehen oder anderweitig re-identifizieren können. Lediglich der SRB hatte Zugang zur dazugehörigen Identifizierungsdatenbank, anhand derer die Betroffenen identifiziert werden hätten können.
Aufgrund dessen hob das EuG die Entscheidung des EDSB auf. Den Richtern zufolge hätte der EDSB prüfen müssen, ob das Beratungsunternehmen die nötigen Mittel zur Rückidentifizierung besessen habe (z.B. Zugang zur Datenbank) oder ob eine Rückidentifizierung hinreichend wahrscheinlich gewesen sei.
Juristische Einschätzung
Relativer statt absoluter Personenbezug
Mit dem Urteil wählte das EuG den Weg des relativen Personenbezuges:
- Es sei nicht erforderlich, dass die Re-Identifizierung bereits theoretisch – auch durch Dritte – möglich sei (absoluter Personenbezug).
- Der Personenbezug von pseudonymisierten Daten sei vielmehr davon abhängig, ob die Re-Identifizierung von Personen auch praktisch und rechtlich durchführbar sei (relativer Personenbezug).
Ein solches Risiko bestehe nicht, wenn die Re-Identifizierung einen „unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre“.
Die Gefahr bestehe weiter auch dann nicht, wenn es rechtlich nicht zulässig sei, dass der Empfänger auf die für die Re-Identifizierung erforderlichen Daten zugreifen könne.
Stellungnahmen und Meinungen können personenbezogene Daten darstellen
Im Zuge des Verfahrens stellte das EuG aber auch fest, dass die Stellungnahmen selbst durchaus Informationen über Personen enthalten könnten. Folglich sei eine Einstufung der Texte als personenbezogene Daten möglich, da nicht völlig ausgeschlossen werden könne, dass persönliche Sichtweisen oder Meinungen personenbezogene Daten darstellten. Hier müsse im Einzelfall geprüft werden, ob deren Inhalt, Zweck und Auswirkung mit einer bestimmten Person verknüpft werden könnten.
Relevanz für die Praxis
Auch wenn das EuG Normen aus der VO (EU) 2018/1725, und nicht aus der DSGVO geprüft hat, kann das gesamte Urteil analog auf die DSGVO angewandt werden.
Für die Praxis ist das Urteil höchst interessant. Es bietet eine Erleichterung für die (Weiter-)Verarbeitung bereits pseudonymisierter Daten und erspart Unternehmen gegebenenfalls Aufwände, die sonst zur Erfüllung datenschutzrechtlicher Pflichten bestehen würden – beispielsweise dem Abschluss eines AV-Vertrages, eines Joint-Controller-Vertrages oder zu datenschutzrechtlichen Dokumentationspflichten.
Wenn Unternehmen also mit pseudonymisierten Daten arbeiten, sollten sie prüfen, ob der Empfänger die nötigen Mittel zur Re-Identifizierung besitzt bzw. ob eine Re-Identifizierung sowohl praktisch als auch rechtlich hinreichend wahrscheinlich ist.
Besteht eine solche Gefahr der Reidentifizierung nicht, ist auch die DSGVO für die entsprechende Datenverarbeitung nicht anwendbar und die damit einhergehenden Pflichten entfallen. Eine zusätzliche Absicherung bietet, die Re-Identifizierung vertraglich zu untersagen oder sich die Mittel zur Re-Identifizierung anhand eines Treuhandvertrages zusichern zu lassen.
Beachtet werden muss zudem, ob die Pseudonymisierung durch den Ersterheber vor Übermittlung rechtmäßig erfolgte. Dies setzt eine entsprechende Rechtsgrundlage des ursprünglich Verantwortlichen voraus.