Keine Re-Identifizierbarkeit = Keine personenbezogenen Daten?

Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

Das Gericht der Europäischen Union (EuG) äußerte ich im Rahmen seines Urteils am 26.04.2023 (Az: T-557/20) zu der Abgrenzung von pseudonymisierten und anonymisierten Daten, sowie zu der damit verbundenen Fragestellung, ob pseudonymisierte Daten die an Dritte übermittelt werden, als personenbezogene Daten anzusehen sind. Es ging im Kern um die Frage, welche Auswirkung es hat, wenn der Dritte (also der Empfänger der Daten) nicht in der Lage ist, diese ihm pseudonymisiert übermittelten Daten zu re-identifizieren (zu entschlüsseln).

Was sind pseudonymisierte Daten?

Pseudonymisierte Daten sind personenbezogene Daten, die einer bestimmten Person nicht aus sich heraus sondern nur unter Hinzunahme weiterer Informationen zugeordnet werden können. Zum Beispiel eine Personalnummer in einem Unternehmen oder eine IP-Adresse. Der EuGH geht davon aus (Urteil vom 19.10.2016, Az. C-582/14), dass IP-Adressen, die von einem Anbieter gespeichert werden, dann als personenbezogene Daten anzusehen sind, wenn der Anbieter unter Hinzunahme weiterer Informationen seitens des Internetproviders die betroffene Person identifizieren kann. Diese Daten beziehen sich auf eine identifizierbare Person haben daher einen Personenbezug.

Was sind anonyme Daten?

Anonymisierte Daten können auch unter Hinzunahme weiterer Informationen keiner bestimmten Person zugeordnet werden, womit Rückschlüsse auf die Identität des Betroffenen nicht möglich sind. Ein Beispiel wäre eine durch Kürzung anonymisierte  IP-Adresse.

Worum ging es in der Entscheidung des EuG?

Im Rahmen des Abwicklungsverfahrens einer Bank wurden seitens des einheitlichen Abwicklungsausschuss (SRB) Anteilseignern und Gläubigern Fragebögen übersandt und nach dem Ausfüllen an ein Beratungsunternehmen weitergeleitet. Hierbei wurde anstatt der Namen der Ausfüllenden, jeweils ein alphanumerischer Code (Folge von Ziffern, Buchstaben, Sonderzeichen und Interpunktionen) verwendet. Um die Fragebögen wieder den jeweiligen Personen zuordnen zu können, musste man sowohl Kenntnis über den alphanumerischen Code als auch Zugriff auf eine Datenbank haben. Zugriff auf die Datenbank hatte ausschließlich die SRB. Das Beratungsunternehmen hatte nur die Codes. Die Befragten wurden über die Übermittlung an das Beratungsunternehmen jedoch informiert. Hierin sah der Europäische Datenschutzbeauftragte ein Verstoß gegen Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725, da die Daten lediglich pseudonymisiert übermittelt worden seien und somit weiterhin personenbezogene Daten darstellten.

Der SRB war der Auffassung, dass es sich bei den übermittelten Daten um anonymisierte Daten handele und somit kein Verstoß vorliege, da keine personenbezogenen Daten verarbeitet worden seien.

Wie entscheid das Gericht?

Das Gericht stellte (unter Verweis auf die bereits oben zitierte EuGH-Entscheidung aus dem Jahr 2016) fest, dass es für die Beurteilung, ob pseudonymisierte oder anonymisierte Daten vorliegen, darauf ankommt, ob der Datenempfänger in der Lage ist, die Daten zu re-identifizieren. Ist der Empfänger der Daten nicht in der Lage (über zusätzliche Informationen) eine Re-Identifizierung durchzuführen und kann er auch nicht rechtmäßig an solche Informationen gelangen, so handelt es sich bei den übermittelten Daten (für diesen Empfänger) um anonymisierte Daten. Ob der Übermittler (in dem Fall der SRB) die Re-Identifizierung durchführen kann, ist für die Frage, ob es sich bei den übermittelten Daten für den Empfänger um personenbezogene Daten handelt, nicht von Relevanz.

Neben der faktischen und/oder rechtlichen Möglichkeit der Re-Identifizierung sei zudem zu prüfen, ob eine Re-Identifikation in Anbetracht des damit einhergehenden Aufwands vernünftigerweise zu erwarten ist. Das Gericht sah im Ergebnis jedenfalls anders als der Europäische Datenschutzbeauftragte keine Verarbeitung personenbezogener Daten und stellte daher auch keinen Verstoß betreffend die Weitergabe der Daten fest.

Was bedeutet das Urteil?

Auch wenn die Verordnung (EU) 2018/1725 Gegenstand des (noch nicht rechtskräftigen!) Urteils war, ist eine Übertragung auf die DSGVO (=(EU) 2016/679) möglich.

Die rein theoretische Möglichkeit, dass ein Zusammenwirken mehrerer Parteien eine Re-Identifizierung ermöglichen kann, muss somit die Annahme einer Anonymisierung nicht zwingend ausschließen.  Neben der faktischen Möglichkeit der Re-Identifizierung ist auch deren rechtliche Zulässigkeit sowie der damit verbundene Aufwand zu beachten. Somit können Daten als anonymisiert und damit nicht als personenbezogene Daten gelten, wenn die Re-Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar ist (unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften und somit ein zu vernachlässigbares Risiko einer Re-Identifizierung). Es gilt jedoch in jedem Einzelfall zu prüfen, ob die Identifizierbarkeit für den Empfänger mit hinreichender Wahrscheinlichkeit und aufgrund der ihm zur Verfügung stehenden rechtlichen Mittel ausgeschlossen werden kann

Ist die Entscheidung das „letzte Wort“?

Nein. Die Entscheidung ist aktuell indessen noch nicht rechtskräftig, sondern im Rechtsmittelverfahren am übergeordneten EuGH (Europäischer Gerichtshof) anhängig (C-413/23 P).