Urteil des EuG zur Abgrenzung von pseudonymisierten und anonymisierten Daten

Am 26. April 2023 fällte das (erstinstanzliche) Gericht der Europäischen Union (EuG) sein Urteil in der Rechtssache T-557/20 (Urteil vom 26.04.2023, SRB gegen EDSB, T-557/20, ECLI:EU:T:2023:219) und traf hiermit zugleich eine Aussage über die Abgrenzung von pseudonymisierten Daten zu anonymisierten Daten. Im Wesentlichen beschäftigte sich das Gericht in diesem Urteil mit der Frage, ob an Dritte übermittelte pseudonymisierte Daten weiterhin als personenbezogene Daten anzusehen sind, auch wenn der Empfänger keine Möglichkeit hat, diese Daten zu entschlüsseln.

Bei pseudonymisierten Daten handelt es sich um personenbezogene Daten, die nur unter Hinzunahme weiterer Informationen einer bestimmten Person zugeordnet werden können. Solche Daten beziehen sich also auf eine identifizierbare Person und weisen somit einen Personenbezug auf. Daher unterliegen diese Daten dem deutschen und europäischen Datenschutzrecht.

Anonymisierte Daten sind dagegen solche Daten, die auch unter Hinzunahme weiterer Informationen keine Zuordnung erlauben. Bei solchen Daten ist es also nicht möglich, Rückschlüsse auf die Identität des Betroffenen zu ziehen. Aus diesem Grund unterliegen sie auch nicht dem Datenschutzrecht.

Die Abgrenzung zwischen pseudonymisierten und anonymisierten Daten kann im Einzelfall schwierig sein. Häufig kommt es vor, dass Unternehmen über Informationen verfügen, die eine Re-Identifizierung der entsprechenden Person praktisch nicht zulassen. Allerdings sind die Behörden in solchen Fällen oft der Ansicht, dass eine Re-Identifizierung unter Hinzunahme Informationen Dritter möglich sei, sodass lediglich von einer Pseudonymisierung auszugehen sei. Wie schwer die Abgrenzung im Einzelfall sein kann, zeigt etwa das Urteil des EuGH in der Rechtssache C-582/14 (Urteil vom 19.10.2016, Breyer, C-582/14, ECLI:EU:C:2016:779). Demnach seien IP-Adressen, die von einem Anbieter von Online-Mediendiensten gespeichert werden, als personenbezogene Daten anzusehen, wenn der Anbieter von Online-Mediendiensten unter Hinzunahme weiterer Informationen seitens des Internetzugangsanbieters die betroffene Person identifizieren kann.

Sachverhalt

Im Rahmen eines Abwicklungsverfahrens gegen eine bekannte spanische Bank wurden die berechtigten Anteilseigner und Gläubiger vom Single Resolution Board („SRB“) kontaktiert, um ihnen Fragebögen zukommen zu lassen. Die ausgefüllten Fragebögen wurden an ein Beratungsunternehmen weitergeleitet, wobei die Namen der Befragten zuvor vom SRB durch einen alphanumerischen Code ersetzt wurden. Um die Fragebögen wieder der jeweiligen Person zuordnen zu können, ist sowohl die Kenntnis des alphanumerischen Codes als auch der Zugriff auf die entsprechende Datenbank erforderlich. Das Beratungsunternehmen verfügte lediglich über den alphanumerischen Code – der Zugang zur entsprechenden Datenbank war ausschließlich dem SRB vorbehalten.
 
Da die Befragten nicht darüber informiert wurden, dass die mittels des Fragebogens erhobenen Daten an einen Dritten übermittelt werden, stellte sich die Frage, ob ein Verstoß gegen Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725 vorliegt. Der Europäische Datenschutzbeauftragte („EDSB“) bejahte dies, da die Daten lediglich in pseudonymisierter Form übermittelt worden seien und somit weiterhin personenbezogene Daten darstellten. Der SRB war hingegen der Auffassung, dass ein solcher Verstoß nicht vorliege, da es sich bei den übermittelten Daten nicht um personenbezogene Daten handele. Vielmehr seien die übermittelten Daten als anonymisierte Daten anzusehen.

Darstellung der Rechtsprechung

Ausgehend von der Definition des Begriffs „personenbezogene Daten“ des Art. 3 Abs. 1 Verordnung (EU) 2018/1725, welche sich auch in Art. 4 Nr. 1 DSGVO findet, beurteilte das Gericht die Frage, ob Informationen, die an einen Dritten übermittelt werden, als personenbezogene Daten einzuordnen sind, auf Grundlage dessen, ob weiterhin ein entsprechender Personenbezug gegeben ist. Unter Verweis auf die Rechtsprechung des EuGH (Urteil vom 19.10.16, Breyer, C-582/14, ECLI:EU:C:2016:779) stellte das Gericht fest, dass es für die Frage, ob pseudonymisierte – und damit personenbezogene – oder anonymisierte Daten vorliegen, darauf ankomme, ob der Datenempfänger über eine Möglichkeit verfüge, die Daten zu re-identifizieren. Die Prüfung, ob anonymisierte oder lediglich pseudonymisierte Daten vorliegen, hat also auf der Grundlage der Position und der Befugnisse der jeweiligen Partei zu erfolgen. Während Informationen für eine Partei personenbezogene Daten darstellen können, können dieselben Informationen für die andere Partei keine personenbezogenen Daten darstellen, weil eine Re-Identifikation nicht möglich ist.
 
Im Falle der Übermittlung von pseudonymisierten Daten ist daher zu untersuchen, ob auch der Empfänger der Daten eine Re-Identifikation vornehmen kann. Verfügt der Empfänger der Daten nicht über zusätzliche Informationen, die eine Re-Identifizierung ermöglichen, und hat er auch keine andere Möglichkeit, rechtmäßig an solche Informationen zu gelangen, so können die übermittelten Daten als anonymisiert angesehen werden. Ob der Übermittler der Daten über die zur Re-Identifizierung erforderlichen Informationen und Möglichkeiten verfügt, ist für die Frage, ob es sich bei den übermittelten Daten für den Empfänger um personenbezogene Daten handelt, irrelevant.

Bei dieser Prüfung ist nicht nur zu untersuchen, ob die faktische und/oder rechtliche Möglichkeit der Re-Identifizierung besteht. Vielmehr ist auch zu prüfen, ob eine Re-Identifikation in Anbetracht des damit einhergehenden Aufwands vernünftigerweise zu erwarten ist.

Da der EDSB eine solche umfassende Prüfung aus dem Blickwinkel des empfangenden Beratungsunternehmens nicht vorgenommen hat, erklärte das Gericht die Entscheidung des EDSB für nichtig.

Fazit

Obwohl das Urteil zur Verordnung (EU) 2018/1725 erging und sich nicht direkt auf die DSGVO bezieht, kann es dennoch auf die DSGVO übertragen werden. Insbesondere vor dem Hintergrund, dass die DSGVO keine Regelungen zu den Anforderungen an eine Anonymisierung von Daten enthält, ist das Urteil zu begrüßen.

Allerdings ist zu beachten, dass das Urteil des EuG derzeit noch nicht rechtskräftig ist und somit eine gewisse Vorsicht geboten ist. Wenn und soweit dieses Urteil aber in Rechtskraft erwächst, ist es in jedem Fall als richtungsweisend einzuordnen. Zwar wurden keine festen Kriterien zur Abgrenzung von pseudonymisierten und anonymisierten Daten festgelegt. Allerdings zeigt es, dass die Frage, ob übermittelte pseudonymisierte Daten weiterhin als personenbezogene Daten einzuordnen sind, jeweils aus Perspektive des Empfängers sowie des Übermittlers zu prüfen ist.

Für die Praxis bedeutet das, dass etwa die rein theoretisch bestehende Möglichkeit, dass ein Zusammenwirken mehrerer Parteien zu einer Re-Identifizierung führen kann, die Annahme einer Anonymisierung nicht zwingend ausschließt. Denn es ist nicht nur die faktische Möglichkeit der Re-Identifizierung zu berücksichtigen. Vielmehr ist auch zu berücksichtigen, ob eine solche Re-Identifizierung rechtlich zulässig ist und, ob der hiermit verbundene Aufwand eine Re-Identifizierung erwarten lässt. Daten beziehen sich nicht auf eine identifizierbare Person – und gelten damit nicht als personenbezogene Daten –, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte und damit das Risiko einer Identifizierung de facto als vernachlässigbar anzusehen ist.