Out-Law Analysis Lesedauer: 2 Min.

EuG urteilt zum Unterschied zwischen pseudonymisierten und anonymisierten Daten


Ein kürzlich ergangenes Urteil des EuG könnte Unternehmen dabei helfen, neue Möglichkeiten zur Anonymisierung, und damit zur Verarbeitung und Weiterverarbeitung von Daten durch Dritte zu erkennen und zu schaffen.

Mit seinem Urteil vom 26. April hat das Gericht der Europäischen Union (EuG) klargestellt, wann Daten, die an einen Dritten weitergegeben werden, noch als pseudonymisiert gelten und wann als anonymisiert. Diese Frage ist deswegen von Bedeutung, weil anonymisierte Daten die Re-Identifizierung der betroffenen Person nicht mehr ermöglichen und dementsprechend nicht als „personenbezogene Daten“ einzuordnen sind. Sie fallen daher nicht in den Anwendungsbereich der EU Datenschutz-Grundverordnung (DSGVO) sowie sonstiger datenschutzrechtlicher Regelungen. Pseudonymisierte Daten hingegen schon.

Das Urteil

Das EuG stellte klar, dass die Perspektive des Datenempfängers maßgeblich sei, wenn geprüft wird, ob pseudonymisierte Daten, die an einen Dritten übermittelt werden, anschließend noch als personenbezogene Daten anzusehen sind. Es sei insofern zu klären, ob dem Datenempfänger Mittel zur Verfügung stünden, die er vernünftigerweise zur Bestimmung der betroffenen Personen einsetzen könne. Das sei beispielsweise dann nicht der Fall, wenn die Identifizierung der betroffenen Personen gesetzlich verboten oder praktisch nicht durchführbar sei.

Diese Einschätzung weicht von der zuletzt von den meisten (EU-)Datenschutzaufsichtsbehörden und nationalen Gerichten vertretenen Ansicht ab, die jedwede Möglichkeit der Re-Identifizierbarkeit - auch durch den Datenübermittler oder Dritte - als ausreichend erachtet und sich demgemäß nicht auf die Prüfung aus der Perspektive des Datenempfängers beschränkt haben.

Der Fall

Das Single Resolution Board (Einheitlicher Abwicklungsausschuss/SRB) führte 2018 im Kontext der Abwicklung einer spanischen Bank eine Anhörung von Gläubigern und Anteilseignern dieser Bank durch. Die eingegangenen Stellungnahmen gab SRB an ein Beratungsunternehmen als eigenständig Verantwortlichen weiter. Zuvor ersetzte SRB die Namen der Befragten auf den Stellungnahmen durch alphanumerische Codes.

Einige der Befragten reichten Beschwerde beim Europäischen Datenschutzbeauftragten (EDSB) ein. Sie trugen vor, dass das SRB sie nicht darüber informiert habe, dass die erhobenen personenbezogenen Daten an das Beratungsunternehmen übermittelt werden sollten. Damit habe das SRB gegen datenschutzrechtliche Informationspflichten verstoßen. Diese sähen vor, dass der Verantwortliche unter anderem über die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten informieren müsse – mithin also auch über das Beratungsunternehmen.

Der EDSB entschied, dass es sich bei den von SRB an das Beratungsunternehmen übermittelten Daten nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele. Dass das Beratungsunternehmen nicht als potenzielle Empfängerin personenbezogener Daten in der Datenschutzerklärung von SRB genannt wurde, stelle daher nach Auffassung des EDSB einen Datenschutzverstoß dar.

SRB wehrte sich gegen diese Entscheidung: SRB habe die Befragten nicht über die Weitergabe informieren müssen, da die übermittelten Daten für das Beratungsunternehmen als Empfänger anonymisiert gewesen seien.

Der EuG hob die Entscheidung des EDSB nun auf: Der EDSB habe sich auf die Prüfung einer Rückidentifizierbarkeit durch SRB beschränkt. Er hätte jedoch klären müssen, ob das Beratungsunternehmen als Datenempfänger das Recht und die tatsächliche Möglichkeit hatte, auf die für die Rückidentifizierung erforderlichen, zusätzlichen Informationen beim SRB zuzugreifen. Ist dies nicht der Fall, würde es sich für das Beratungsunternehmen um anonymisierte, und damit nicht um personenbezogene Daten handeln.

Das Urteil bezieht sich allerdings nicht auf die DSGVO, sondern auf die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union ergangen. Diese Verordnung ist – im Grunde – gleichlautend zur DSGVO. Das Urteil begründet daher auch für Sachverhalte, die unter die DSGVO fallen, eine vorläufige Weichenstellung.

Die Folgen

Die Entscheidung des EuG schafft ein Stück weit mehr Klarheit darüber, wann sich Informationen auf eine „identifizierbare“ Person beziehen und dementsprechend als „personenbezogene Daten“ anzusehen sind und wann nicht. So kann es sein, dass es sich für den Datenübermittler oder einen sonstigen Dritten um personenbezogene Daten handelt, für den Datenempfänger jedoch nicht.

Hammouda Nadia

Nadia Schaff

Rechtsanwältin

Der vom EuG angewandte Maßstab kann sowohl auf Seiten des Datenübermittlers als auch des Datenempfängers zu gewissen Vereinfachungen führen. Man denke insofern beispielsweise an die Datenschutzerklärung oder auch das Verzeichnis der Verarbeitungstätigkeiten.

Die Beurteilung, ob eine Re-Identifizierung für den Datenempfänger mit hinreichender Wahrscheinlichkeit ausgeschlossen werden kann, bedarf einer Prüfung im Einzelfall. Unternehmen sollten dabei insbesondere berücksichtigen, ob Mittel zur Verfügung stehen, die vernünftigerweise herangezogen werden können, um die betroffenen Personen zu identifizieren. Dem stünden beispielweise gesetzliche Verbote oder praktische Erwägungen wie ein unverhältnismäßiger Aufwand entgegen. Das Prüfungsergebnis sollte, vor allem wenn man zu dem Ergebnis einer Anonymisierung kommt, angemessen dokumentiert werden.

Die Datenschutzgesetze bezwecken praktikable Regeln für redliche Nutzer von Daten. Daher ist es erfreulich, dass das EuG auch bei der entscheidenden Weichenstellung, ob Daten personenbezogen sind oder nicht, auf einen gesetzestreuen Nutzer abstellt, der nicht mit unerlaubten Mitteln die Re-Identifizierung von Daten betreibt. Dies verschafft dem redlichen Nutzer und damit Wirtschaft und auch Wissenschaft Spielräume, ohne das tatsächliche Risiko für Betroffene zu erhöhen. 
Gegen das Urteil kann noch Rechtsmittel beim Gerichtshof der Europäischen Union (EuGH) eingelegt werden. Dies wäre aufgrund der grundsätzlichen Bedeutung begrüßenswert. Auch wäre zu hoffen, dass in diesem Kontext noch klarer herausgestellt wird, ab wann die „Schwelle“ zur Anonymisierung erreicht ist.
We are working towards submitting your application. Thank you for your patience. An unknown error occurred, please input and try again.