Schutz vor Betroffenenrechten durch faktische Pseudonymität?

Pseudonymisierung ist ein wichtiger Bestandteil guter TOM. Pseudonymisierung kann aber auch dazu dienen, betriebliche Ressourcen zu schonen, indem Verpflichtungen aus der DSGVO reduziert werden. So sieht Art. 11 DSGVO vor, dass die Betroffenenrechte nur eingeschränkt gelten, wenn ein Fall der sog. faktischen Pseudonymisierung vorliegt. Der Beitrag legt dar, wann die Privilegierung greift.

Was ist faktische Pseudonymität?

Klare Definitionen gibt es wenige. Außerhalb der Regeln zu den TOM findet man nur Art. 11 DSGVO. Dieser lautet gekürzt:

„Kann der Verantwortliche […] nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so […] finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die Person stellt zur Ausübung […] Rechte und Informationen bereit, die ihre Identifizierung ermöglichen.“

Solche Fälle werden unter dem Begriff „faktische Pseudonymisierung“ geführt. Für diese genügt es, dass der Verantwortliche überwiegend wahrscheinlich keinen Personenbezug herstellen kann – auch, wenn er wollte. Zwar bleiben die Daten personenbezogen, doch sind die Daten weniger schutzwürdig. Ein solcher Fall wurde beim Ablichten von Menschenmassen diskutiert. Aber auch Fälle der Privay Enhancing Technology können faktisch pseudonymisieren.

Was ist der Unterschied zur „normalen“ Pseudonymität?

Das tatsächliche Unvermögen des Verantwortlichen einzelne Personen zu identifizieren dürfte die faktische von der nur technisch gewährleisteten Pseudonymität unterscheiden. Letzteres definiert sich so, dass Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten nicht einer natürlichen Person zugewiesen werden.

Bei einigen Verfahren der Pseudonymisierung kann der Verantwortliche die Pseudonymität aufheben und danach die Person identifizieren, z. B. indem er einen Filter ausschaltet, der das Gesicht der Person zuvor verpixelt hat. In dem Fall greift Art. 11 DSGVO nicht.
Bei der faktischen Pseudonymisierung hingegen kann der für die Pseudonymisierung Verantwortliche die Pseudonymität nicht – oder nicht mit verhältnismäßigem Aufwand – selbst aufheben. So zum Beispiel, wenn der beschriebene verpixelnde Filter vom Verantwortlichen nicht selbst abgeschaltet werden kann.

Nachweis der fehlenden Identifizierbarkeit?

So einfach das formal klingt, so schwierig dürfte der sichere Nachweis fehlender Identifizierbarkeit sein. Weder in der Literatur noch in der Rechtsprechung finden sich – soweit ersichtlich – bislang Maßstäbe, an denen ein solcher Nachweis zu messen wäre. Ein rechtssicherer Nachweis wird zusätzlich dadurch erschwert, dass der EuGH auch bei Dritten von der Möglichkeit einer kontextbezogenen Wissenszurechnung auszugehen scheint. So hat er die an sich anonyme Fahrzeug-Identifizierungsnummer als personenbezogenes Datum für die an der Wertschöpfung Beteiligten angesehen, wenn sie

„bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer (…) natürlichen Person zuzuordnen (…), selbst wenn die FIN für sich (…) kein persönliches Datum darstellt (…)“ (Rs. C‑319/22 Rn. 49).

Faktische Pseudonymität – ein praxistaugliches Geschäftsmodell?

In der Regel dürfte faktische Pseudonymität nur für wenige Geschäftsmodelle eine Option sein. Dies gilt umso mehr, als der Trend eher zu mehr als zu weniger Datennutzung zu gehen scheint. Es ist jedoch nicht auszuschließen, dass faktische Pseudonymität in Zukunft durch Private Enhancing Technologies (PET) leichter erreicht werden kann. Insofern sollten gerade größere Organisationen diese Technologien im Auge behalten, um den Aufwand unter der DSGVO zu reduzieren.