EU-Gericht urteilt zum Personenbezug bei verschlüsselten Daten
Personenbezogene Daten werden häufig pseudonymisiert verarbeitet, indem unmittelbar identifizierende Klardaten (zum Beispiel Namen) mit Kennungen oder Codes ersetzt werden. Die Stelle, die eine Pseudonymisierung vornimmt, behält aber in der Regel Mittel in der Hand, um die hinter den pseudonymen Kennungen stehenden Personen weiterhin zu identifizieren, sodass das Datenschutzrecht und die DSGVO auf diese Daten weiterhin unmittelbar anwendbar bleiben.
Wie ist jedoch der Fall zu bewerten, wenn diese verschlüsselten Daten an ein anderes Unternehmen weitergegeben werden? Genau diese Frage musste das Europäische Gericht („EuG“) kürzlich beantworten (Urteil vom 26. April 2023, Az. T-557/20). (Hinweis: Das EuG ist eine Vorinstanz zum Europäischen Gerichtshof („EuGH“) und mit diesem daher nicht zu verwechseln!)
Der Sachverhalt
Das Single Resolution Board („SRB“), das als EU-Institution die Abwicklung von Insolvenz im Finanzsektor begleitet, erfasste über ein Online-Formular persönliche Stellungnahmen und gab diese Daten an eine Beratungsfirma weiter, ohne die Betroffenen darüber zu informieren. Vor der Weitergabe ersetzte das SRB die Namen jedoch jeweils mit einem Code.
Der nach einer Beschwerde eingeschaltete Europäische Datenschutzbeauftragte („EDSB“) sah hierin eine Weitergabe von pseudonymisierten – und damit personenbezogenen – Daten der Betroffenen an einen Dritten. Entsprechend hätte das SRB die Betroffenen über die Datenweitergabe informieren müssen.
Der SRB führte hiergegen an, dass es sich bei den weitergegebenen Daten um anonymisierte Daten handeln würde. So habe der SRB die für die Reidentifizierung der Interessenten erforderlichen Daten nicht mit der Beratungsfirma geteilt. Außerdem stünde letzterer kein Recht zu, auf die beim SRB liegenden Informationen zuzugreifen, um die Interessenten hinter den Codes zu ermitteln.
Urteil: Die Perspektive des Datenempfängers muss berücksichtigt werden
Das EuG führte in seiner Entscheidung aus, dass es für die Frage, ob pseudonymisierte Daten, die an ein anderes Unternehmen übermittelt werden, als personenbezogene Daten nach der DSGVO einzustufen sind, auf die Sicht des Datenempfängers ankommt. Es muss insoweit geprüft werden, ob der Datenempfänger (zulässige) Mittel besitzt, die er vernünftigerweise einsetzen kann, um die betroffenen Personen zu identifizieren. Diese Prüfung hatte der EDSB in dem vorliegenden Verfahren jedoch unterlassen und es für ausreichend befunden, dass jedenfalls das SRB eine Identifizierung vornehmen konnte.
Einordnung für die Praxis
Das EuG setzt mit seinem Urteil die bekannte „Breyer“-Rechtsprechung des EuGH aus dem Jahr 2016 konsequent fort. Es deutet hiermit an: Wenn ein Datenempfänger tatsächlich nicht über zusätzliche Informationen verfügt, die ihm eine erneute Identifizierung der betroffenen Personen ermöglichen, und wenn ihm keine rechtlichen Mittel zur Verfügung stehen, um auf diese Informationen zuzugreifen, stellen die ihm übermittelten (pseudonymisierten) Daten keine personenbezogenen Daten dar. Die DSGVO ist für die Verarbeitung dieser Daten in der Konsequenz auch nicht anwendbar.
Auf den ersten Blick sind dies gute Nachrichten insbesondere für Unternehmen in der Werbebranche, die pseudonymisierte Daten für das Anzeigen von Werbung speichern und verwenden, wie zum Beispiel Data Management Plattformen.
Die Feststellungen im Urteil gelten jedoch nur unter dem Vorbehalt, dass Identifier in diesen Datensätzen nicht doch noch andere Identifikatoren vorhanden sind. In der Praxis sind solche vollverschlüsselten und damit anonymisierten Datensätze allerdings nur selten anzutreffen, da die Kombination der unterschiedlichen Datenkategorien in der Regel doch einen Rückschluss zu den betroffenen Personen erlauben. Die praktischen Auswirkungen des Urteils werden daher gering sein.
In Übrigen ist eine Berufung zum EuGH möglich und auch nicht unwahrscheinlich. Es bleibt daher abzuwarten, ob das Urteil des EuG vor dem Gerichtshof bestehen wird.