Die gerichtliche Vorinstanz des Europäischen Gerichtshofs (EuGH) – das Europäische Gericht (EuG) fällte am 26. April 2023 sein Urteil (Az: T-557/20) in der Rechtssache Einheitlicher Abwicklungsausschuss (Single Resolution Board, nachfolgend „SRB“) gegen den Europäischen Datenschutzbeauftragten (nachfolgend „EDSB“). In dem Verfahren ging es um die Frage, ob und wann pseudonymisierte Daten mit relativem Personenbezug unter bestimmten Voraussetzungen nicht unter die DSGVO fallen und als anonymisierte Daten anzusehen sind.
Unterschied Anonymisierung und Pseudonymisierung
Bei anonymisierten Daten handelt es sich um Daten, die derart verändert wurden, dass die Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer betroffenen Person zugeordnet werden können. Damit unterliegen anonyme Daten nicht dem Anwendungsbereich der DSGVO.
Bei pseudonymisierten Daten hingegen handelt sich grundsätzlich um personenbezogene Daten, da unter Zuhilfenahme weiterer Informationen – die Zuordnung einer spezifischen betroffenen Person möglich ist – somit sind pseudonymisierte Daten auch personenbezogene Daten nach der DSGVO. Oder doch nicht?
Aufklärung – Sind pseudonymisierte Daten personenbezogene Daten?
Nach der Entscheidung des Europäischen Gerichts kommt es darauf an, wer welche Informationen besitzt. Das EuG entschied, dass pseudonymisierte Daten nicht unter die Datenschutzgrundverordnung fallen, sofern der Datenempfänger über keine Mittel zur Rückidentifizierung verfügt.
Hintergrund – Wie kam es zu diesem Urteil?
Die europäische Institution „SRB“ gewährleistet die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzbehörden. Im Abwicklungsverfahren gegen eine Bank gab die SRB die Stellungnahmen der berechtigten Anteilseigner und Gläubigern an ein Beratungsunternehmen weiter, um diese auswerten zu lassen. Die Namen der Befragten wurden vor Weitergabe durch einen Code (=Pseudonym) ersetzt. Die einzelnen Stellungnahmen konnten nur unter Zuhilfenahme des Codes und mit Zugriff auf die Datenbank, in welcher das Pseudonym den einzelnen Betroffenen zugeordnet war, auf die jeweiligen Beteiligten zurückgeführt werden. Das Beratungsunternehmen verfügte nur über den Code und hatte keinen Zugang auf die Datenbank und hatte damit selbst keine Möglichkeit, die codierten Daten auf die jeweiligen Betroffenen zurückzuführen.
Über die Weitergabe der Daten an Dritte wurden die Befragten nicht informiert. Dies führte zu einer Reihe von Beschwerden durch Betroffene und zu dem Schluss seitens des EDSB, dass ein Verstoß gegen Art. 13 Abs. 1 lit. e DSGVO vorläge. Der SRB teilte diese Auffassung nicht, da die übermittelten Daten als anonymisiert anzusehen seien.
Die Entscheidung des EuG
Das Gericht entschied, dass bei der Übermittlung von pseudonymisiertem Daten an Dritte die jeweiligen Gegebenheiten des Datenempfängers zu berücksichtigen sind, um zu entscheiden, ob tatsächlich eine Weitergabe von personenbezogenen Daten an Dritte vorliegt oder ob die Daten nicht – zumindest für den Empfänger – als anonymisierte Daten gelten.
Verfügt der Datenempfänger nicht über die Mittel, die Daten zu re-identifizieren – liegt auch kein Personenbezug vor. Hierbei spielt es auch keine Rolle, dass der Datenlieferant über die erforderlichen Mittel zur Re-identifizierung verfügt.
Fazit
Für die Beurteilung, ob Betroffene über die Weitergabe von pseudonymisierten Daten an Dritte gemäß Art. 13 DSGVO informiert werden müssen oder nicht ist immer der Einzelfall zu prüfen. Es kommt immer drauf an über welche Informationen und Mittel der Datenempfänger verfügt und ob diese ausreichend sind, Rückschlüsse zu den Betroffenen Personen ziehen können. Verfügt der Datenempfänger nicht über die erforderlichen Informationen handelt sich bei den Daten nicht um pseudonymisierte Daten gemäß DSGVO und sind als anonymisierte Daten anzusehen. Damit kann auch der Fall eintreten, dass Daten zwar für den Übermittler einen Personenbezug aufweisen, aber für den Empfänger als anonymisierte Daten gelten, wenn dieser gerade über keine Möglichkeit der Aufdeckung des Pseudonyms verfügt.