Mit dieser oder ähnlich lautenden Feststellungen könnte man den 7. März 2024 aus datenschutzrechtlicher Sicht zusammenfassen. Doch was genau hat der Europäische Gerichtshof (EuGH) wieder getan? Wie bereits im Mai und Dezember des vergangenen Jahres, versucht der EuGH mit einer Reihe an Urteilen Rechtsklarheit bei der Anwendung der DS-GVO zu schaffen. Man könnte auch meinen der EuGH präzisiert die DSGVO.
Richten wir nun den Blick auf die Entscheidungen vom 7. März 2024 so befasst sich der EuGH u.a. (erneut) mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten zu verstehen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).
Außerdem adressierte der EuGH weitere Fragen rund um den Begriff der Verarbeitung nach Art. 4 Nr. 2 DS-GVO und wie dieser in bestimmten Situationen zu verstehen und anzuwenden sein soll (Rs. C-740/22). Der nachfolgende Beitrag richtet sich auf die beiden erstgenannten Entscheidungen und deren Auswirkungen auf den Begriff der personenbezogenen Daten.
Die personenbezogenen Daten (und der EuGH)
Gesetzlicher Hauptanknüpfungspunkt ist der Begriff der personenbezogenen Daten in Art. 4 Nr. 1 DS-GVO. So eindeutig wie die Begrifflichkeit formuliert zu scheinen vermag, so löst sie in der Praxis zuweilen erhebliche Schwierigkeiten bei der Anwendung und der Bestimmung des Personenbezuges aus. Die Rechtsprechung hat sich daher offensichtlich zum Auftrag gemacht, mögliche Rechtsunsicherheiten zu beseitigen. Die Urteile in den Rechtssachen C-740/22 und C-479/22 P reihen sich daher in die Kette relevanter Entscheidungen rund um den Begriff der personenbezogenen Daten ein:
Zu nennen ist hier zunächst das Urteil des Europäischen Gerichts (EuG) vom 26.April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt. Das Urteil haben wir bereits im Rahmen eines Beitrages näher beleuchtet. Gegen die Entscheidung wurde am 5. Juli 2023 Rechtsmittel eingelegt. Das Verfahren wir vor dem Europäischen Gerichtshof unter der Rechtssache C-413/23 P geführt.
Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. Eine umfangreiche Darstellung des Urteils und den Aspekten des Personenbezuges findet sich hier.
Im Ergebnis vertritt der EuGH die Auffassung, dass die FIN zwar grundsätzlich ein alphanumerischer Code, deren Zweck die Identifizierung eines Fahrzeuges (also einer Sache) ist und nicht vordergründig zur Identifizierung einer Person dient und daher als solches keinen Personenbezug aufweist. Dieser Umstand schließt jedoch nicht aus, dass die FIN dennoch personenbezogen sein kann, da sich die Beziehung zwischen der FIN und einer Person durch die Hinzuziehung weiterer Informationen (z.B. entsprechende Eintragungen in den Zulassungspapieren) ergeben kann.
Die Entscheidung Rs. C-604/22
In diesem Urteil kommt der EuGH zu dem Ergebnis, dass es sich bei dem sogenannten Transparency and Consent String (TC-String) um personenbezogene Daten handelt. Dem Urteil war ein Vorabentscheidungsverfahren aus Belgien vorausgegangen, in welchem das Interactive Advertising Bureau Europe (IAB) – ein Verband, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt – gegen die belgische Datenschutzaufsichtsbehörde geklagt hatte.
Die IAB hat das „Transparency and Consent Framework“ (TCF) entwickelt wodurch personalisierte Werbung datenschutzkonform möglich sein soll. Grundsätzlich kommt es beim „Betreten“ von Nutzerinnen und Nutzer diverser Internetpräsenzen in der Regel zu einer Einwilligungsabfrage in die Erhebung und zuweilen zur Weiterverarbeitung von Daten (insbesondere Standortdaten, Sucherverläufe, IP-Adressen usw.) für Zwecke des Marketings und/oder des Ausspielens von Werbung. Die IAB hat zur Durchführung und zur Anwendung des TCF eine Consent-Management-Plattform entwickelt, um die jeweiligen Einwilligungen zu verwalten. Hierbei kommt der sogenannte TC-String zum Einsatz. Durch den TC-String werden vereinfacht ausgedrückt Kombinationen von Buchstaben und Zeichen in einer Abfolge (String) gespeichert, welche unter anderem die Präferenzen von Nutzerinnen und Nutzern von Webseiten enthalten. Zusätzlich erfolgt das Setzen eines Cookies.
Der EuGH entschied in der Rechtssache, dass der TC-String ein personenbezogenes Daten im Sinne des Art. 4 Nr. 1 DS-GVO darstelle, da anhand der im TC-String gespeicherten Informationen natürliche Personen identifiziert werden können. Die Informationen können Kennungen wie z.B. IP-Adressen zugeordnet werden, wodurch wiederrum Profile der Nutzerinnen und Nutzer erstellt werden können.
Die Entscheidung Rs. C-479/22 P
In dieser Rechtssache befasst sich der EuGH mit Fragen rund um die zur Identifikation einer natürlichen Person notwendigen Informationen. Vorausgegangen war ein Verfahren am EuG (Rs. T-384/20) zwischen einer griechischen Staatsangehörigen, einer akademischen Forscherin in den Bereichen Nanotechnologieanwendungen, Energiespeicherung sowie Biomedizin und der Europäischen Kommission, in welcher die Klägerin (die griechische Staatsangehörige) Schadenersatz aufgrund einer erschienenen Pressemitteilung des Europäischen Amtes für Betrugsbekämpfung vom 5. Mai 2020 mit der Überschrift „OLAF-Untersuchung deckt Forschungsfinanzierungsbetrug in Griechenland auf“ fordert, da es zur rechtsdwidrigen und ferhlerhaften Verarbeitung personenbezogener Daten gekommen sein soll.
Im Detail konstatiert der EuGH unter anderem, „dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht“; „Insbesondere vermag der Umstand, dass zur Identifizierung der betreffenden Person zusätzliche Informationen erforderlich sind, nicht auszuschließen, dass die fraglichen Daten als personenbezogene Daten qualifiziert werden können“.
Weiterhin ist „für die Einstufung eines Datums als „personenbezogenes Datum“ nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden“. „Um festzustellen, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung einer natürlichen Person genutzt werden, sollten […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Im Kontext des Urteils gelten insbesondere Online-Recherchen als verhältnismäßig.
Fazit
Festzuhalten bleibt, dass der EuGH versucht, zunehmend Rechtsklarheit über die Anwendung der DS-GVO und insbesondere bezüglich der durch sie verwendeten Rechtsbegriffe wie dem der personenbezogenen Daten zu schaffen. Welche Auswirkungen die beiden Urteile für die Praxis im Detail haben werden bleibt abzuwarten. Ersichtlich ist jedoch bereits jetzt, dass die Prüfung ob des Vorliegens personenbezogener Daten nicht immer so „einfach“ ausfällt, wie dies möglicherweise auf den ersten Blick anmuten mag. Zudem scheinen aufgrund der aufgestellten Anforderungen an die zur Identifizierung einer natürlichen Person zusätzlich heranzuziehenden Informationen die Hürden für das Vorliegen pseudonymer und auch anonymer Daten zunehmend höhergesteckt zu werden.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
