Anonyme Daten unterliegen nicht der DSGVO. So weit, so sicher. Werden hingegen pseudonymisierte Daten verarbeitet, handelt es sich grundsätzlich um personenbezogene Daten. Daher sollte die DSGVO anwendbar sein. Oder doch nicht? Es kommt nach dem jüngsten Urteil des des Gerichts der Union (EuG) darauf an, wer welches Wissen hat. Und bricht damit mit der bisherigen Rechtspraxis. Wir klären auf.
Der Inhalt im Überblick
Was war geschehen?
Das Gericht der Europäischen Union (EuG) hat entschieden, dass die DSGVO nicht anwendbar ist, wenn es sich um pseudonymisierte Daten handelt, die einen relativen Personenbezug haben. Und wenn der Datenempfänger keine Mittel zur Rückidentifizierung hat. Hintergrund ist eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB). Dagegen klagte der Einheitliche Abwicklungsausschuss (SRB), der sich um eine insolvenzbedrohte Bank kümmerte. Der SRB übermittelte Stellungnahmen von Betroffenen Personen an den externen Wirtschaftsprüfer Deloitte. Die persönlichen Daten der Betroffenen wurden dabei vom SRB durch einen alphanumerischen Code ersetzt. Zugang zu diesem Code hatte nur der SRB, nicht jedoch Deloitte.
Anwendbarkeit der DSGVO
Der EDSB war der Auffassung, dass es sich bei den Daten trotz Pseudonymisierung um personenbezogene Daten handelt, mit der Folge, dass die DSGVO anwendbar sei. Hiergegen klagte der SRB. Er meinte, dass es sich zumindest aus Sicht von Deloitte nicht um personenbezogene Daten handele. Daher sei die DSGVO nicht anwendbar.
Was sagt das Gesetz zur Pseudonymisierung?
Gemäß Art. 4 Nr. 5 DSGVO wird die Pseudonymisierung definiert, als die
„Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
Die Pseudonymisierung ist nach dieser Definition kein Zustand, sondern ein Vorgang, der die Umwandlung von personenbezogenen Klartextdaten in Pseudonyme vornimmt. Werden solche pseudonymisierten Daten verarbeitet, so handelt es sich dabei um die Verarbeitung personenbezogener Daten – womit die Rechtslage anders ist als bei anonymisierten Daten. Denn dies hat zur Folge, dass die DSGVO anwendbar ist und die pseudonymisierten Daten dem Schutz der DSGVO unterliegen.
Die betroffene Person kann durch Hinzuziehung zusätzlicher Informationen wieder identifiziert werden. Die Verarbeitung ist also umkehrbar. Anders bei anonymisierten Daten, bei denen die Verarbeitung unumkehrbar ist und die betroffene Person nicht, oder nur mit unverhältnismäßig hohem Aufwand, identifiziert werden kann. Damit wird der Anwendungsbereich der DSGVO verlassen.
Gemäß dieser Begriffsbestimmung sind Informationen u. a. dann personenbezogene Daten, wenn zwei kumulative Voraussetzungen erfüllt sind, nämlich zum einen die, dass sich Informationen auf eine natürliche Person „beziehen“, und zum anderen, dass dies eine „identifizierte oder identifizierbare“ Person ist.
Hierzu sagt der Erwägungsgrund (16) zur DSGVO:
„Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. […] Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“
Die Auffassung des Gerichts:
Aufgrund dieses Erwägungsgrundes meint das Gericht, ein Personenbezug scheide immer dann aus, wenn der jeweilige Datenempfänger nicht über die Mittel verfüge, die betroffenen Personen zu re-identifizieren.
Hintergrund ist folgender: Gemäß Art. 3 Nr. 13 der VO (EU) 2018/1725, ist
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“
Und im Erwägungsgrund 26 heißt es hierzu:
„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“
Erwägungsgrund 26 stellt also neben dem Verantwortlichen auch auf das Wissen Dritter ab, sowie auf Mittel, die zur Identifizierung wahrscheinlich genutzt werden.
Ist das nicht wie bei einer IP-Adresse?
Der Unterschied zu einer IP-Adresse wurde wie folgt herausgearbeitet:
Da die Erwägungsgründe der Verordnung 2018/1725 auf die Mittel Bezug nehmen, die vernünftigerweise entweder von dem Verantwortlichen oder von einem „Dritten“ eingesetzt werden könnten, sei sein Wortlaut ein Indiz dafür, dass es für die Einstufung eines Datums als „personenbezogenes Datum“ nicht erforderlich sei, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befänden.
Zwar schließt die Tatsache, dass nur der SRB über die zur Identifizierung der Verfasser erforderlichen zusätzlichen Informationen verfügte, nicht von vornherein aus, dass es sich bei den an Deloitte übermittelten Informationen für Deloitte um personenbezogene Daten handelte.
Im Unterschied zum vorliegenden Fall war der EuGH jedoch der Auffassung, dass die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die ja der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden könne. Der Gerichtshof wies darauf hin, dass dies nicht der Fall wäre, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar sei, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre.
Dies sei hier, anders als bei der dynamischen IP-Adresse, aber der Fall.
Wo liegt der Unterscheid?
Im vorliegenden Fall kamen nämlich zwei Faktoren zusammen: Zum einen war hier unbestritten, dass der in den an Deloitte übermittelten Informationen enthaltene alphanumerische Code als solcher nicht ausreichte, um die Verfasser der Stellungnahmen zu identifizieren. Zum anderen hatte Deloitte keinen Zugang zu den Identifizierungsdaten, die während der Registrierungsphase erhoben wurden. An Deloitte wurden lediglich solche Stellungnahmen übermittelt, die während der Konsultationsphase eingegangen und mit einem alphanumerischen Code versehen waren. Nur der SRB konnte anhand dieses Codes die Stellungnahmen mit den während der Registrierungsphase erhobenen Daten verbinden. Deloitte hatte und hat keinen Zugang zur Datenbank mit den erhobenen Daten.
Der EDSB hatte sich aber auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht der von Deloitte) beschränkt.
Deshalb hat das EuG die Entscheidung des EDSB für nichtig erklärt.
Wie geht es weiter?
Das Urteil ist überraschend, zeigt aber einmal mehr, dass es auf die Feinheiten des Einzelfalles ankommt. Ähnlich wie stimmen laut werden, dass eine IP-Adresse nicht ausnahmslos ein personenbezogenes Datum darstellt, so dürfte auch dieses Urteil Auswirkungen für die Praxis haben, da hierdurch der Anwendungsbereich der DSGVO nicht unerheblich eingeschränkt wird.
Update: Gegen das Urteil des Gerichts wurde Rechtsmittel eingelegt (Rechtssache C-413/23 P). Rechtsmittelführer ist der Europäische Datenschutzbeauftragte (EDSB). Er beantragt, das Urteil des Gerichts insgesamt aufzuheben und endgültig über den Rechtsstreit zu entscheiden. Im Wesentlichen führt er an, das Gericht habe die DSGVO fehlerhaft ausgelegt, der Begriff der Pseudonymisierung sei nicht berücksichtigt und der Grundsatz der Rechenschaftspflicht sei außer Acht gelassen worden. Siehe: CURIA – Dokumente (europa.eu)
Das Urteil wird vermutlich leider eine neue Runde schwieriger Diskussionen vor allem mit Dienstleistern eröffnen, die sich alle auf die Behauptung stürzen, sie könnten nicht auf den Betroffenen rückschließen. Gerade bei Kennungen jeglicher Art, die nach Definition eindeutig als pb Daten zählen sollen, dürfte nun wieder der Einwand erhoben werden, dass man nichts mit den Daten anfangen könne; zuordnen könne schließlich nur der Verantwortliche. Auch die Begehrlichkeiten von internationalen Anbietern werden so befeuert, die neben der Ansicht, es handle sich nicht um pb Daten einen weiteren Hebel bekommen. Jeder der nicht Verantwortlich oder Auftragsverarbeiter sein möchte, wird dieses Urteil maximal extensiv verstehen und wahrscheinlich überdehnen.
Im Ergebnis wird die Praxis dadurch nicht einfacher, sondern deutlich komplizierter. Im Zweifel pro Anwendbarkeit wäre besser gewesen.
Ich sehe das genauso. Ich finde den Ansatz auf dem Papier gar nicht so uninteressant, aber schon jetzt ist es doch so, dass die DSGVO größtenteils ein Papiertiger ist, weil die unterbesetzten und in jedem EU-Land anders agierenden Behörden außerhalb größerer UND gemeldeter Datenpannen kaum tätig werden, solange noyb nicht klagt. Das ist übrigens auch frustrierend für die Verantwortlichen, die sich an die DSGVO halten; man läuft Gefahr, diese dadurch zu „verlieren“.
Jetzt kriegen dem Datenschutz abgeneigte Verantwortliche *noch* mehr Argumente an die Hand, warum die DSGVO in der Praxis nicht umgesetzt werden muss. Hätte man das mit einer Whitelist o.ä. verbunden – falls machbar – ok, aber mit dem undefinierten „im Einzelfall“ höhlt das im Ergebnis die DSGVO in der Praxis noch mehr aus.
Ist das Urteil eigentlich letztinstanzlich? Oder kann der EuGH (oder gar eine andere Institution) noch kassieren oder präzisieren?
Man kann davon ausgehen, dass der Europäische Datenschutzbeauftragte das Urteil durch den EuGH überprüfen lassen und dieser das Urteil einkassieren wird; Gott sei Dank!
In den meisten Verfahren vor dem Gericht der Europäischen Union (früher: Gericht Erster Instanz) können Rechtsmittel beim EuGH eingelegt werden. Ob das in diesem Fall schon vom eDSB geschehen ist, ist uns nicht bekannt.
Erleichtert das Leben ungemein, aber der Einzelfall bleibt weiterhin zu prüfen. Ein Blick auf die übermittelten Daten (nicht Kategorien) ist immer noch erforderlich.
Bekanntlich haben EuGH und BGH 2016/17 im Rahmen ihrer Urteile zum Personenbezug von IP-Adressen entschieden: Ein Datum über eine natürliche Person ist für eine bestimmte Stelle personenbezogen, wenn diese Stelle über ausreichende Information verfügt, die eine Zuordnung zur Person erlaubt, oder sich diese Information realistischerweise besorgen kann (erweiterter relativer Personenbezug). Liegt diese Information der Stelle nicht vor und kann sie sich diese realistischerweise nicht besorgen, ist das Datum für sie nicht personenbezogen. Von daher ist das EuG-Urteil konsequent und überhaupt nicht erstaunlich. Erstaunlich ist eher, dass viele in der Datenschutz-Szene den relativen Personenbezug noch nicht verinnerlicht haben. Wäre es anders, würde immer, wenn jemand fragt: „Ist dieses Datum personenbezogen?“ der vielstimmige Ruf erschallen: „Frage falsch gestellt! Es muss heißen: Ist dieses Datum für eine bestimmte Stelle personenbezogen?“
Wie sieht es inzwischen, 4 Monate später, aus mit der Überprüfung des EuG Urteils durch den EuGH?
Gegen das Urteil des Gerichts wurde Rechtsmittel eingelegt (Rechtssache C-413/23 P). Rechtsmittelführer ist der Europäische Datenschutzbeauftragte (EDSB). Er beantragt, das Urteil des Gerichts insgesamt aufzuheben und endgültig über den Rechtsstreit zu entscheiden. Im Wesentlichen führt er an, das Gericht habe die DSGVO fehlerhaft ausgelegt, der Begriff der Pseudonymisierung sei nicht berücksichtigt und der Grundsatz der Rechenschaftspflicht sei außer Acht gelassen worden. Siehe: CURIA – Dokumente (europa.eu)