Das (erstinstanzliche) Gericht der Europäischen Union (EuG) hat sich mit Entscheidung vom 26.04.2023 (Az: T-557/20) dazu positioniert, wann Daten als anonym und nicht lediglich als pseudonym anzusehen sein sollen.
Hintergrund
Den Hintergrund der Entscheidung bildet ein Rechtsstreit zwischen dem Einheitlichen Abwicklungsausschuss (Single Resolution Board, im Folgenden „SRB“) und dem Europäischen Datenschutzbeauftragten („EDSB“). Der SRB ist für die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten in der Europäischen Bankenunion zuständig. Dieser verwendete im Rahmen eines Abwicklungsverfahrens ein elektronisches Formular, mit welchem sich Gläubiger und Anteilseigner äußern konnten. Der SRB ersetzte die Namen der Befragten durch alphanummerische Codes. Die Antworten wurden dann zur Auswertung an ein Beratungsunternehmen weitergegeben. Dieses hatte keinen Zugriff auf die Datenbank mit den tatsächlichen Namen der befragten Personen; dem Beratungsunternehmen waren nur die Antworten und die Codes bekannt.
Der EDSB sah im Handeln des SRB einen Verstoß gegen datenschutzrechtliche Informationspflichten. Dies betraf die Pflicht zur Information Betroffener über die Empfänger oder Kategorien von Empfängern personenbezogener Daten. Nach Ansicht des EDSB handelte es sich bei den weitergegebenen Informationen nicht um anonymisierte, sondern um pseudonymisierte und damit personenbezogene Daten. Der SRB hingegen vertrat die Ansicht, dass dem Beratungsunternehmen eine Re-Identifizierung der befragten Personen durch die verwendeten Codes und die jeweiligen Antworten der Personen nicht möglich war und folglich anonyme Daten vorlagen.
Entscheidung
Das EuG hatte im Kern zu entscheiden, ob es sich bei den übermittelten Informationen um pseudonyme oder anonyme Daten handelte. Personenbezogene Daten sind nur solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Das EuG stellte sich im Ergebnis auf den Standpunkt, dass keine personenbezogenen Daten vorliegen, wenn pseudonymisierte Daten an einen Empfänger übermittelt werden, welcher nicht über Möglichkeiten für eine Re-Identifizierung der betroffenen Personen verfügt. Im Ausgangspunkt orientierte sich das EuG an Erwägungsgrund Nr. 16 der Verordnung 2018/1725 (entspricht Erwägungsgrund Nr. 26 DS-GVO), wonach zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten nach Maßgabe des Erwägungsgrundes zudem alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Im Gleichlauf zur Rechtsprechung des Europäischen Gerichtshofs (EuGH) (Urteil vom 19.10.16, Breyer, C-582/14) hielt das EuG zunächst fest, dass darauf abzustellen sei, ob es dem Empfänger der Daten möglich ist, eine Re-Identifizierung auf Grundlage dieser Daten durchzuführen. Es sei anhand einer subjektiven Betrachtung aus Sicht des Datenempfängers zu beurteilen, ob ihm zusätzliche Mittel oder rechtliche Möglichkeiten zur Verfügung stehen, durch welche eine Re-Identifizierung der betroffenen Personen möglich sei. Sei dies nicht der Fall, lägen keine personenbezogenen Daten vor. Ob eine Re-Identifizierung für den Übermittler der Daten, vorliegend den SRB, oder für einen beliebigen Dritten möglich ist, sei nicht maßgeblich.
Das EuG stellte sodann fest, dass der EDSB nicht geprüft habe, ob es sich bei der Möglichkeit, die an das Beratungsunternehmen übermittelten Informationen mit den dem SRB vorliegenden zusätzlichen Informationen zu kombinieren, um ein Mittel handelte, welches das Beratungsunternehmen vernünftigerweise zur Bestimmung der Verfasser der Kommentare eingesetzt werden konnte. Da der EDSB nicht geprüft habe, ob das Beratungsunternehmen das Recht hatte, auf die für die Re-Identifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, habe der EDSB nicht zu dem Ergebnis gelangen dürfen, dass die an das Beratungsunternehmen übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ beziehen.
Anmerkung
Das Urteil des EuG erging zwar zur Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union. Jedoch sind die aufgestellten Grundsätze zur subjektiven Beurteilung der Personenbeziehbarkeit auf die DS-GVO übertragbar.
Auch wenn das EuG mit Blick auf die Bezugnahme zur bestehenden EuGH-Rechtsprechung im Kern nichts Neues entschieden hat, könnte die Entscheidung gerade für den Bereich der Pseudonymisierung Bedeutung entfalten. Im Regelfall werden in der Praxis Fälle der Weitergabe pseudonymisierter Daten über Auftragsverarbeitungsverträge abgesichert bzw. sonstige Vorkehrungen zur Sicherstellungen einer datenschutzkonformen Verwendung getroffen. Gerade auch im Forschungsbereich werden hier umfangreiche Vorkehrungen zur Sicherstellung des Schutzes der Daten veranlasst.
Wollte man der Entscheidung des EuG folgen und in ihrer Konsequenz weiterdenken und die Frage der Re-Identifizierung auf die subjektive Sicht des Datenempfängers begrenzen, könnten sich datenschutzrechtliche Absicherungen für die Datenweitergabe allein dadurch erübrigen, dass der die Daten weitergebende Verantwortliche im Rahmen einer Pseudonymisierung in tatsächlicher wie vertraglicher Hinsicht sicherstellt, dass der Datenempfänger gerade keine für die Re-Identifizierung geeigneten Mittel erlangen kann. Ob in vertraglicher Hinsicht bereits vertragliche Selbstbindungen des Verantwortlichen zur mangelnden Weitergabe von Re-Identifizierungsmitteln oder vertragliche und ggf. strafbewehrte Verbote einer Re-Identifizierung zulasten des Datenempfängers ausreichen, ist zwar fraglich, aber mit Blick auf die EuG-Entscheidung nicht ausgeschlossen. Für eine Verprobung eines solchen Ansatzes bedarf es allerdings bis zur einer höchstrichterlichen Klärung einer Portion Risikobereitschaft.
