Ist die geplante Datenverarbeitung denn datenschutzrechtlich zulässig? Mit dieser oder ähnlich lautender Fragestellungen müssen sich Datenschutzbeauftragte nicht selten auseinandersetzen. Doch bevor sich diese Frage beantworten lässt, ist vorab zu klären, ob es sich um einen datenschutzrechtlich relevanten Fall handelt. Hauptanknüpfungspunkt für die Anwendbarkeit der datenschutzrechtlichen Bestimmungen und mithin insbesondere der Datenschutz-Grundverordnung ist insoweit das Vorliegen von personenbezogenen Daten. Doch wann ist der Personenbezug bei Daten überhaupt gegeben?
Personenbezogene Daten sind…
„Ein Blick ins Gesetz erleichtert die Rechtsfindung.“, ein Ausspruch, der nicht nur Juristinnen und Juristen gut bekannt sein dürfte und so simpel kann es auch manchmal sein. Bezogen auf unsere Fragestellung erscheint Art. 4 Nr. 1 DS-GVO die richtige „Hausnummer“ zu sein. Hiernach sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.„
Bei personenbezogenen Daten handelt es sich demnach um sämtliche Informationen, die einen – zunächst nicht weiter bestimmten – Rückschluss auf eine natürliche Person zulassen. Im Unterschied hierzu sind anonyme Informationen, Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen – soweit klar – oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, vgl. Erwägungsgrund 26 Satz 5 DS-GVO.
Wir haben also personenbezogene und anonyme Daten. Soweit weit, so gut. Doch was sind nun pseudonyme Daten? Auch hier hilft zunächst die Datenschutz-Grundverordnung weiter. Nach Art. 4 Nr. 5 DS-GVO liegt eine Pseudonymisierung dann vor, wenn „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
Auch das scheint in der Theorie erst einmal klar zu sein: Kann ich aus der Information keinen Rückschluss auf eine natürliche Person ziehen, bedeutet dies noch nicht, dass es sich nicht um personenbezogene Daten handelt, denn kann ich unter Hinzuziehung weiterer Informationen bei Daten einen Personenbezug herstellen, handelt es sich um pseudonyme Daten, mithin also personenbezogene Daten. Damit ist die auch Abgrenzung zwischen pseudonymen und anonymen Daten klar…
… oder?
Neuen Diskussionsstoff hat dahingehend das Urteil des Europäischen Gerichtes (EuG) in der Rechtssache T-557/20 mit sich gebracht, in welchem die unterschiedliche Ansichten zum Vorliegen von pseudonymen bzw. anonymen Daten des Einheitlichen Abwicklungsausschusses, dem Single Resolution Board (SRB) und dem Europäischen Datenschutzbeauftragten (EDSB) auf einander prallten.
Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen des Abwicklungsverfahrens koordinierte das SRB entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an zwei externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen. In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den EDSB, dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei.
Im Zuge des Verfahrens zwischen EDSB und SRB kam der EDSB zu der Auffassung, dass eine Verarbeitung personenbezogener Daten in Form der Weitergabe pseudonymer Daten vorliegt. Dem hält das SRB entgegen, dass bereits nicht vom Vorliegen pseudonymer bzw. personenbezogener Daten auszugehen sei, denn weder aus dem Inhalt noch aus den Identifikationsnummern lässt sich für die Empfänger ein Rückschluss auf natürliche Personen ziehen. Weder haben die Empfänger Zugriff auf weiterführende Informationen, die einen Rückschluss zulassen würden, noch könnten sie diesen rechtmäßig erlangen. Der EDSB lehnt diese Auffassung ab, da seiner Ansicht nach nicht ausreichend ist, dass die Empfänger keinen Zugriff auf die zur Rückidentifizierung erforderlichen Informationen haben, um vom Vorliegen anonymer Daten auszugehen. Es genügt bereits, dass es sich grundsätzlich um pseudonyme Daten und mithin personenbezogener Daten handelt, gleichgültig, ob die Empfänger über weiterführende Informationen zur Rückidentifizierung verfügen. Weiterhin sei nicht erforderlich, dass „die Mittel, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der betroffenen Person genutzt werden, in der Hand einer einzelnen Person gebündelt werden“.
Das EuG urteilte, dass seitens des EDSB nicht ausreichend dargelegt wurde, dass den Empfängern eine Identifizierung möglich gewesen sei. Das Gericht bezieht sich hierbei auf die „Breyer-Entscheidung“ (C-582/14). Es ist demnach darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung der Anonymität ist insoweit auf die Sicht des Datenempfängers abzustellen. Der Europäische Datenschutzbeauftragte hat gegen diese Entscheidung am 5. Juli 2023 Rechtsmittel eingelegt. Das Verfahren wir vor dem Europäischen Gerichtshof unter dem Aktenzeichen C-413/23 P geführt.
Der Vollständigkeit halber sei darauf hingewiesen, dass im Mittelpunkt der rechtlichen Diskussion nicht die Datenschutz-Grundverordnung, sondern die Verordnung (EU) 2018/1725 steht. Diese Verordnung adressiert in ihrem Geltungsbereich die Verarbeitung personenbezogener Daten durch Einrichtungen der EU.
Was bleibt?
Aus dem Urteil des EuG, dass sich ausdrücklich auf die „Breyer“-Entscheidung beruft, wird deutlich, dass es bei der Bewertung des Personenbezuges eines Datensatzes zu Unterschieden im Ergebnis zwischen Datenübermittler und Datenempfänger kommen kann. Insofern der Datenempfänger nicht über die Mittel zur Identifizierung bzw. Re-Identifizierung verfügt, kann der Datensatz als anonym einzustufen sein, wohingegen es sich für den Datenübermittler, welcher in der Regel unstreitig über die Mittel zur Identifizierung bzw. Re-Identifizierung verfügt, um einen personenbezogenen Datensatz handelt. Es wird demnach darauf hinauslaufen, dass eine Bewertung vorzunehmen ist, mit welchem Aufwand die Herstellung des Personenbezuges vorgenommen werden kann. Mit Blick auf die bereits zitierte „Breyer“-Entscheidung dienen hier als Kriterien Zeit, Kosten und Arbeitsaufwand. Für die Praxis lassen sich damit Überlegungen anstellen, ob verantwortliche Stellen bei der Daten Übermittlung an Auftragsverarbeiter, andere Dienstleister oder sonstige Empfänger Datensätze pseudonymisieren bzw. verschlüsseln sollten (beides wird unter anderem durch Art. 32 DS-GVO explizit vorgesehen), denn sofern die Empfänger nicht über die Mittel zur Herstellung des Personenbezuges verfügen, handelt es sich für diese um anonyme Daten, wenn man mit dem Urteil des EuG geht.
Fazit
Fragen rund um die Herstellung des Personenbezuges von Daten bzw. Datensätzen und der Anonymisierung dieser führen in der Praxis immer wieder zu Unsicherheiten bei den verantwortlichen Stellen. Für eine „endgültige“ Entscheidung und mithin Rechtsklarheit an dieser Stelle wird vermutlich „erst“ die Entscheidung des EuGH abzuwarten sein. Bedeutung jedenfalls entfaltet die Entscheidung dann insbesondere für die sektorspezifische Bereiche des Datenschutzrechtes, in denen Pseudonymisierung und Anonymisierung eine entscheidende Rolle einnehmen. Allen voran sind hier der Gesundheitsbereich, aber auch der Bereich der IT-Sicherheit zu nennen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
