Kein Personenbezug von pseudonymisierten Daten bei fehlender Re-Identifizierbarkeit für Empfänger

Kein Personenbezug von pseudonymisierten Daten bei fehlender Re-Identifizierbarkeit für Empfänger

Mithilfe der Pseudonymisierung besteht für Verantwortliche die Möglichkeit, das Risiko einer unbefugten Offenlegung oder einer missbräuchlichen Verwendung personenbezogener Daten zu reduzieren und so Daten in bestimmten Fällen datenschutzkonform weitergeben und analysieren zu können. Ob und in welchem Fall pseudonymisierte Daten in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) fallen, kann nicht pauschal beantwortet werden. Mit Urteil vom 26. März 2023 (Rs. T-557/20) hat das Gericht der Europäischen Union (Vorinstanz des EuGH) zum Personenbezug pseudonymisierter Daten Stellung genommen. Er entschied, dass pseudonymisierte Daten, die an einen Dritten übermittelt werden, nicht als personenbezogene Daten anzusehen sind, wenn der Empfänger nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren. Auch wenn es sich bei den streitgegenständlichen Normen um solche aus der Datenschutzverordnung für EU-Organe und -Einrichtungen (Verordnung 2018/1725) handelt, sind die Erwägungen aufgrund des Gleichlaufs mit den Normen aus der DSGVO auch für die Verarbeitung pseudonymisierter Daten durch Unternehmen von Bedeutung.  

Das Wichtigste in Kürze

-   Bei der Pseudonymisierung werden Namen und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt, um die Bestimmung der betroffenen Person zu verhindern bzw. wesentlich zu erschweren.

-   Die betroffenen Personen können jedoch unter Heranziehung zusätzlicher Schlüsselinformationen, die isoliert aufbewahrt werden, wieder identifiziert werden.

-   In diesem Fall gelten die Grundsätze des Datenschutzes so lange wie die Zuordnung von Daten zu einer Person noch möglich und wahrscheinlich ist.

-   Das EuG hat entschieden, dass bei einem Pseudonym mit relativem Personenbezug dann kein personenbezogenes Datum vorliege, wenn dem Empfänger keine Mittel zur Rückidentifizierung zur Verfügung stehen.

Hintergrund

Dem Verfahren liegt eine Klage des Einheitlichen Abwicklungsausschusses (Single Resolution Board, kurz: SRB) gegen zwei Entscheidungen des Europäischen Datenschutzbeauftragten zugrunde. Beim SRB handelt es sich um eine europäische Institution, die die ordnungsgemäße Abwicklung von insolvenzbedrohten Banken gewährleisten soll. Im zu entscheidenden Fall verwendete der SRB in einem Abwicklungsverfahren ein elektronisches Formular, über das berechtigte Anteilseigner und Gläubiger Stellung nehmen konnten und gab die eingegangenen Antworten an ein externes Beratungsunternehmen zur Auswertung weiter. Vor der Weitergabe nahm der SRB eine Pseudonymisierung vor, indem er die Namen aller Befragten durch einen Code ersetzte.

Nachdem der Europäische Datenschutzbeauftragte (EDSB) eine Reihe von Beschwerden betroffener Anteilseigner und Gläubiger erhalten hatte, stellte er im Rahmen einer Untersuchung fest, dass der SRB gegen Art. 3 Nr. 1 und 15 Abs. 1 lit. d der Datenschutzverordnung für EU-Organe und -Einrichtungen [Verordnung 2018/1725] verstoßen habe. Diese sind nahezu wortgleich mit den Art. 4 Nr. 1 und Art. 13. Abs. 1 lit. e) DSGVO. Nach Auffassung des EDSB handle es sich bei den weitergegebenen pseudonymisierten Daten um personenbezogene Daten, da mit der Weitergabe auch der Code geteilt wurde, anhand dessen die jeweiligen Antworten der Befragten einer Person zugeordnet werden konnten. Zudem seien die Antworten selbst als personenbezogene Daten anzusehen. Dadurch, dass der SRB diese Date an externe Beratungsunternehmen weitergeleitet habe, ohne diese in der Datenschutzerklärung als potenzielle Datenempfänger aufzuführen, hat die Institution gegen ihre Informationspflichten aus der Verordnung verstoßen. Dies sah der SRB anders und legte Klage beim EuG ein.

Keine Anwendbarkeit des Datenschutzrechts bei anonymen Informationen

In dem Verfahren vor dem EuG kam es entscheidend darauf an, ob der sachliche Anwendungsbereich der Datenschutzverordnung (Verordnung (EU) 2018/1725) eröffnet ist. Dies ist wie auch im Falle der DSGVO grundsätzlich dann zu bejahen, wenn eine Verarbeitung personenbezogener Daten vorliegt. Unter personenbezogenen Daten versteht man Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gemäß Erwägungsgrund 16 der Verordnung 2018/172 sowie auch aus dem nahezu wortgleichen Erwägungsgrund 26 der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können, nicht vom Anwendungsbereich der DSGVO erfasst. Anders verhält es sich bei der Pseudonymisierung, bei der natürliche Personen unter Heranziehung zusätzlicher Schlüsselinformationen, die isoliert aufbewahrt werden, wieder identifiziert werden können. Bei der Pseudonymisierung werden Namen und anderer Identifikationsmerkmale durch ein Kennzeichen ersetzt, sodass die Bestimmung der betroffenen Person verhindert bzw. wesentlich erschwert wird. In diesem Fall gelten die Grundsätze des Datenschutzes so lange, wie die Zuordnung von Daten zu einer Person noch möglich und wahrscheinlich ist.

Relatives Verständnis des Personenbezugs

Entscheidend ist folglich die Frage, unter welchen Umständen jeweils noch von einer Re-Identifizierung ausgegangen werden kann.

Legt man ein absolutes Verständnis zugrunde, so kommt es für die Identifizierung nicht allein auf die Möglichkeiten an, die dem Verantwortlichen zur Verfügung stehen, sondern vielmehr darauf, welche Möglichkeiten irgendeinem Dritten zur Herstellung des Personenbezugs zur Verfügung stehen. Demnach würde man einen Personenbezug erst dann verneinen, wenn die Re-Identifizierung jedermann unmöglich wäre, folglich erst bei einer vollständigen Anonymisierung der Daten.

Aus Erwägungsgrund 16 der Verordnung 2018/172 geht hervor, dass zur Feststellung der Identifizierungsmöglichkeit grundsätzlich alle Mittel zu berücksichtigen sind, die von einem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich eingesetzt werden, um eine natürliche Person direkt oder indirekt zu identifizieren. Insoweit sind alle objektiven Faktoren, wie z.B. die Kosten und der dafür erforderliche Zeitaufwand zu berücksichtigen sowie die zum Zeitpunkt der Verarbeitung verfügbaren Technologien und technologische Entwicklungen. Demnach muss sich ein Empfänger auch das Wissen und die Mittel Dritter zurechnen lassen. Allerdings muss die Identifizierung durch den Empfänger über das Wissen oder die Mittel des Dritten auch nach objektiven Kriterien wahrscheinlich sein.

Der EuGH legt dem Personenbezug ein relatives Verständnis zugrunde. In seiner Entscheidung vom 19.10.2016 (Rs. C-582/14, Patrick Breyer/BRD) hat er im Hinblick auf dynamische IP-Adressen festgestellt, dass es für die Annahme der Re-Identifizierbarkeit allein auf die Mittel ankommt, die dem Verantwortlichen zur Verfügung stehen. Das heißt, dass der Empfänger zur Herstellung eines Personenbezugs grundsätzlich auch auf Wissen und Mittel Dritter zurückgreifen kann. Diese sind jedoch nur dann einzubeziehen, wenn es dem Verantwortlichen rechtlich möglich ist, auf sie zuzugreifen. Konkret muss die Identifizierung der Person durch den Verantwortlichen nach objektiven Kriterien wie den Kosten, dem Arbeitsaufwand und einer bestehenden gesetzlichen Erlaubnis zur Identifizierung der Person möglich und wahrscheinlich sein.

In Bezug auf dynamische IP-Adressen kam der EuGH in diesem Fall zu dem Ergebnis, dass aufgrund der Tatsache, dass es anhand der IP-Adresse möglich ist den Inhaber des Internetanschlusses unter Einbeziehung des Telekommunikationsanbieters zu ermitteln, das Herstellen eines Personenbezugs nicht ausgeschlossen ist, weshalb bei einer dynamischen IP-Adresse von einem personenbezogenen Datum auszugehen sei.

Dieses sehr weite Verständnis zeigt, dass die Einschränkung der Erwägungsgründe in der Praxis oft leerläuft.

Urteil des EuG: Horizont des Datenempfängers entscheidend

Das Gericht der Europäischen Union hat in seinem Urteil nun festgestellt, dass bei einem Pseudonym mit relativem Personenbezug kein personenbezogenes Datum vorliegt, wenn dem Empfänger der Daten keine Mittel zur Re-Identifizierung zur Verfügung stehen. Nach Auffassung des EuG komme es allein auf den Horizont des Datenempfängers an.

Im konkreten Fall hat der EDSB nicht hinreichend geprüft, ob dem externen Beratungsunternehmen eine solche Re-Identifizierung der Personen, die Stellungnahmen eingereicht haben, anhand der den Stellungnahmen zugewiesenen Codes tatsächlich und rechtlich möglich war. Für eine Re-Identifizierung hätte das Unternehmen weitere Informationen gebraucht, die in einer Datenbank gespeichert waren, zu der aber nur Mitarbeiter der SRB Zugang hatten. Somit hätte der EDSB nicht zu dem Ergebnis gelangen dürfen, dass es sich bei den streitgegenständlichen Stellungnahmen um personenbezogene Informationen handle und der SRB gegen Informationspflichten verstoßen habe.

Darüber hinaus hat das Gericht klargestellt, dass eine Stellungnahme oder Meinung nicht von vornherein als personenbezogenes Datum angesehen werden kann. Der Begriff der personenbezogenen Daten erfasse potenziell alle Arten von Informationen, d.h. auch Stellungnahmen. Dies allerdings nur unter der Voraussetzung, dass die darin enthaltene Sichtweise aufgrund ihres Inhalts, Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist. Entscheidend sei demnach die Prüfung im Einzelfall, die der EDSB im zugrundeliegenden Fall nicht vorgenommen habe. Daher durfte er auch nicht davon ausgehen, dass es sich bei den übermittelten Informationen um personenbezogene Daten handle.

Fazit

Das Urteil des EuG macht deutlich, dass stets die Prüfung im Einzelfall entscheidend ist. Es ist im Einzelfall zu untersuchen, ob einem Datenempfänger das Wissen oder die Mittel zur Verfügung stehen, die ihm in tatsächlicher und rechtlicher Hinsicht eine Rückidentifizierung ermöglichen und, ob eine hinreichende Wahrscheinlichkeit besteht, dass er von dieser Möglichkeit Gebrauch machen könnte. Insoweit schließen sich die Richter grundsätzlich der Entscheidung des EuGH (Rs. C-582/14) an, in der die Richter dem Personenbezug ein relatives Verständnis zugrunde gelegt haben. Gleichzeitig gibt diese neue Entscheidung jedochHoffnung, dass der Umgang mit pseudonymisierten Daten in Zukunft von den Gerichten praxisnäher ausgelegt werden könnte, als noch im Rahmen der IP-Adressen-Entscheidung.

Zur Feststellung, ob eine datenschutzrechtliche Verpflichtung besteht, sollten Unternehmen daher stets im Einzelfall prüfen, ob der Datenempfänger über Wissen oder Mittel verfügt, die er vernünftigerweise heranziehen könnte, um die einer bestimmten Information zugehörige Person identifizieren zu können. Erst wenn dies nicht der Fall ist oder eine Identifizierung nur unter äußerst unverhältnismäßigem Aufwand, den der Empfänger vernünftigerweise nicht betreiben wird, vorgenommen werden könnte, wären die datenschutzrechtlichen Anforderungen an den Datenaustausch mangels Personenbezugs nicht mehr zu beachten.

Doch unabhängig davon, ob man zu dem Ergebnis gelangt, dass diese übermittelten Informationen für den Empfänger nicht personenbeziehbar sind, treffen denjenigen Verantwortlichen, der die Daten weitergibt, datenschutzrechtliche Pflichten. Dieser hat gem. Art. 25 Abs. 1 DSGVO stets geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Datenschutzgrundsätze gem. Art. 5 DSGVO zu erfüllen und die Rechte der Betroffenen zu schützen. Hierfür könnte es erforderlich sein entsprechende Verträge mit Datenempfängern abzuschließen, um darin Zugriffsrechte auf Schlüsselinformationen zur Rückidentifizierung auszuschließen oder den Empfänger seinerseits zur Einhaltung des geltenden Datenschutzrechts zu verpflichten.