EuGH zum Begriff der personenbezogenen Daten bei pseudonymisierten Informationen

Der Gerichtshof präzisiert in seinem Urteil die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte auch für die DSGVO. 

Er hebt das Urteil des Gerichts auf, mit dem die Entscheidung des Europäischen Datenschutzbeauftragten für nichtig erklärt wurde. 

Im zu entscheidenden Fall übermittelte der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) im Rahmen eines Anhörungsverfahrens bestimmte Stellungnahmen in pseudonymisierter Form an eine Wirtschaftsprüfungs- und Beratungsgesellschaft. Diese war mit der Bewertung der Auswirkungen der Abwicklung einer Bank auf die Anteilseigner und Gläubiger beauftragt.

Mehrere betroffene Anteilseigner und Gläubiger reichten beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerden ein, da der SRB sie nicht darüber informiert hatte, dass ihre Daten an Dritte übermittelt wurden. Eine solche Information wäre erforderlich gewesen, wenn es sich bei den übermittelten Informationen um personenbezogene Daten gehandelt hätte. Der EDPS bejahte dies.

Der EuGH verwies die Rechtssache an das Gericht zurück. 

Das Europäische Gericht muss nun den Inhalt, den Zweck und die Auswirkungen der Stellungnahmen, die unstreitig die persönliche Meinung oder Sichtweise ihrer Verfasser zum Ausdruck brachten, in die Prüfung einbeziehen. Dabei ist die Auffassung des EuGH zu berücksichtigen, dass

„persönlichen Meinungen oder Sichtweisen, die als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft“ (Rn. 58) sind.

Der EuGH betont, das pseudonymisierte Daten die Existenz von Informationen voraussetzen, die einen Personenbezug ermöglichen (Rn. 73). Es könne sich daher nicht um anonyme Daten handeln (Rn. 73). Bei der Pseudonymisierung handele es sich vielmehr um eine Maßnahme, die das Risiko einer Bezugnahme auf die betroffene Person reduzieren soll (Rn. 72). Es sei daher Sinn und Zweck der Pseudonymisierung, die Identifizierbarkeit, also den Personenbezug, allein durch das pseudonymisierte Datum herstellen zu können (Rn. 74). Daher komme es darauf an, dass und wie die identifizierenden Informationen von den pseudonymisierten Daten getrennt gehalten werden (Rn. 74).

Ist dies in ausreichendem Maße sichergestellt (Rn. 75, 77), dann seien pseudonymisierte Daten sind nicht in jedem Fall und für jede Person automatisch als personenbezogene Daten zu betrachten (Rn. 77, 80, 82f., 86). Stattdessen sollten die Grundsätze berücksichtigt werden, die in der Rechtsprechung zu Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union entwickelt wurden.

Daraus ergibt sich, dass „die Pseudonymisierung – je nach den Umständen des Falles – andere Personen als den Verantwortlichen tatsächlich daran hindern kann, die betroffene Person zu identifizieren, so dass diese für sie nicht oder nicht mehr identifizierbar ist.“

Für die Beurteilung ist jedoch zu berücksichtigen, ob weitere realistische Möglichkeiten der Identifikation bestehen (Rn. 77). Dazu gehören beispielsweise Möglichkeiten die Informationen mit Informationen aus dem Internet abzugleichen (Rn. 81). Ist dies der Fall oder kann dies nicht ausgeschlossen werden, bleibt der Personenbezug bestehen (Rn. 78, 85).

Ob eine Person identifizierbar ist, hängt vom Einzelfall ab. Entscheidend ist, ob die Informationen, die zur Identifizierung nötig sind, mehreren Personen zugänglich sind und ob dies andere – außer dem Verantwortlichen – tatsächlich daran hindert, die Person zu identifizieren.

Das Gericht hätte daher für die Feststellung, ob für den Verantwortlichen eine Informationspflicht gegeben ist, die Umstände der Datenverarbeitung im Einzelfall prüfen müssen.

Zu dieser Informationspflicht weist der Gerichtshof darauf hin, dass sie

„im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen besteht und ihr Gegenstand daher in den mit dieser Person zusammenhängenden Informationen in der Form besteht, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte. Folglich ist die Identifizierbarkeit der betroffenen Person aus der Sicht des Gerichtshofs zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen.“ (Rn. 109, 111)

Unsere Wissenschaftliche Leiterin Kirsten Bock ordnet das Urteil wie folgt ein: 

„Der EuGH hat die Informationsrechte der Betroffenen weiter gestärkt. Er hat klargestellt, dass die Pflicht, Betroffene zu informieren, bereits bei der Datenerhebung besteht. Also noch bevor die Daten an mögliche Auftragsverarbeiter oder Dritte weitergegeben werden.  Dabei spielt es keine Rolle, ob die Empfangenden die Daten als personenbezogen einstufen oder nicht.

Ob auch der Streit um den absoluten oder relativen Personenbezug von Daten weiter geklärt werden konnte, bleibt abzuwarten. Denn es kommt immer auf die Umstände des Einzelfalls an, insbesondere darauf, ob die eine Identifizierung ermöglichenden Informationen nicht ausschließlich dem Verantwortlichen zugänglich sind oder eine Identifizierung auf anderer Weise beim Empfänger ermöglicht werden kann. Ein Umstand, der bislang nur begrenzt Orientierung bietet.“