Einen Tag nach dem von uns bereits besprochenen Urteil des Gerichtes der Europäischen Union (EuG) in der Rechtssache T-553/23 und der (vorläufigen) Entscheidung über den Fortbestand des Data Privacy Framework, ist auch beim Europäischen Gerichtshof (EuGH) eine für das Datenschutzrecht bedeutende Entscheidung gefallen. Mit der Entscheidung in der Rechtssache C-413/23 P hat sich der EuGH mit dem Begriff der personenbezogenen Daten befasst. Inhalt und Bedeutung des Urteils wollen wir im heutigen Beitrag näher beleuchten.
Der EuGH und der Personenbezug
First at all ist das aktuelle Urteil des EuGH nicht die erste Entscheidung in der jüngeren Datenschutzvergangenheit, welche sich mit dem Vorliegen und den Voraussetzungen des Personenbezuges auseinandersetzt.
Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. In zwei weiteren Entscheidungen vom 7. März 2024 befasst sich der EuGH wiederrum mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten einzuordnen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).
In diesen Entscheidungskanon reiht sich auch das Urteil des EuG vom 26. April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt, ein. Das Urteil haben wir zwar bereits im Rahmen eines separaten Beitrages näher beleuchtet, zum besseren Verständnis der aktuellen Entscheidung – welcher das Verfahren beim EuG vorausgegangen ist – fassen wir noch einmal kurz zusammen:
Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen dieses Abwicklungsverfahrens koordinierte der Einheitliche Abwicklungsausschuss, der Single Resolution Board (SRB), entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen.
In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den Europäischen Datenschutzbeauftragten (EDSB), dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei. Nach Ansicht des EuGH sei darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung ist insoweit auf die Sicht des Datenempfängers abzustellen.
Die Möglichkeiten der Re-Identifizierung sind entscheidend
Zunächst setzt sich der EuGH mit dem Personenbezug der Stellungnahmen auseinander, welche auch persönliche Meinungen enthielten:
„Der Gerichtshof hat entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten […] das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt […] Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist.“
Mithin kann es sich also auch bei den Stellungnahmen wie im streitgegenständlichen Fall um personenbezogene Daten handeln. So weit so gut. Für die Weitergabe dieser Daten ist mit dem EuGH nunmehr entscheidend, ob der Datenempfänger einen Rückschluss auf die betroffene Person ziehen kann und ob eine Re-Identifizierung möglich ist: „In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information […] auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung […] setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.“
Diesbezüglich verweist der EuGH ebenfalls auf die pseudonymisierten Daten. Durch einen Blick in Art. 4 Nr. 5 DS-GVO erhalten wir sogleich eine Definition, was unter einer Pseudonymisierung zu verstehen ist: „„Pseudonymisierung“ [meint] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
Nach dem EuGH gilt zudem zu berücksichtigen: „der Begriff „Pseudonymisierung“ [setzt] das Vorliegen von Informationen [voraus], die eine Identifizierung der betroffenen Person ermöglichen […]. Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten […] auswirken.“
Und weiter: „Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.“
Zudem „[…] wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.“
Im Ergebnis handelt es sich demnach um personenbezogene Daten, solange besagte Re-Identifizierung technisch und/oder organisatorisch möglich ist: „[…] die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.“
Fazit
Der EuGH bestätigt damit den sogenannten subjektiven Ansatz zur Bestimmung des Personenbezugs beziehungsweise den sogenannten relativen Personenbezug und auch die Breyer-Rechtsprechung. Es kommt bei einer Datenübermittlung mithin entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt. Hierdurch entsteht durch das Urteil in der Praxis unter Umständen neue Bedeutung rund um die Verschlüsselung.
Überlegenswert erscheint zudem die Überlegung zu hinterfragen, wie hoch das „Risiko“ einer Identifizierung ist, wenn diese gesetzlich verboten ist, z. B. in Fällen von Cyber-Angriffen und damit in Zusammenhang stehenden Datenexfiltrationen.Für die Praxis weiterhin relevant sein dürfte die Auseinandersetzung über die Informationspflichten im Zusammenhang mit potenziellen Pseudonymisierung sein (vgl. Rn. 111-113). Zur Vertiefung der Thematik empfehle ich schließlich die Lektüre dieses Blog-Beitrages von den Kollegen von Piltz Legal.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
