Pseudonymisierte Daten: Urteil des Europäischen Gerichtshofs schafft Klarheit zum Personenbezug

Das Urteil erging im Verfahren zwischen dem europäischen Datenschutzbeauftragten (EDSB) und dem einheitlichen Abwicklungsausschuss (SRB). Es behandelt im Kern die Frage, ob pseudonymisierte Daten für eine andere Stelle, die keinen Zugang zum „Schlüssel“ hat, personenbezogen sind. Im entschiedenen Fall hatte der SRB zuvor pseudonymisierte Stellungnahmen an das Beratungsunternehmen Deloitte weitergegeben, das selbst keinen Zugriff auf den „Schlüssel“ zur Zuordnung hatte. Hiergegen gab es Beschwerden zum EDSB, in denen gerügt wurde, dass Deloitte in der Datenschutzerklärung des SRB nicht als Empfänger genannt war.

Die wesentlichen Aussagen des Urteils lassen sich wie folgt zusammenfassen:

1. Zur Frage, ob sich die Stellungnahmen auf Personen beziehen 

Der EuGH stellt zunächst fest, dass es sich bei den Stellungnahmen um Informationen über deren Verfasser handelt. Die Stellungnahmen bringen die persönliche Meinung und Auffassung ihrer Verfasser zum Ausdruck. Persönliche Meinungen oder Sichtweisen sind als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft. 

2. Zur Frage, ob sich die Stellungnahmen auf identifizierte oder identifizierbare Personen beziehen

Der EuGH stellt klar, dass „Pseudonymisierung“ eine technisch-organisatorische Maßnahme beschreibt. Die bloße Existenz zusätzlicher Informationen zur Identifizierung betroffener Personen führt nicht für sich genommen dazu, dass pseudonymisierte Daten in jedem Fall und für jede Person personenbezogen sind. Vielmehr kann die Pseudonymisierung durch den Verantwortlichen andere Stellen gerade an der Identifizierung Betroffener hindern, so dass eine Information für den Verantwortlichen personenbezogen und für die andere Stelle anonym sein kann. Hiermit unterstreicht der EuGH erfreulich klar ein relatives Verständnis von Personenbezug. 

Etwas überraschend zitiert der EuGH an dieser Stelle seine Rechtsprechung zur Fahrzeugidentifikationsnummer (FIN, C-319/22). Dort hatte er – ohne nähere Erläuterung – entschieden, dass an sich nicht personenbezogene Daten dann zu personenbezogenen Daten werden, wenn sie einer anderen Person überlassen werden, die über Mittel zur Identifizierung verfügt und zwar sowohl für diese Person als auch indirekt für den Verantwortlichen. Was sich im ersten Teil wie eine Bekräftigung einer streng relativen Sichtweise liest, dreht der EuGH mit einem knappen Halbsatz in sein Gegenteil um, indem er den Personenbezug beim Empfänger dem Absender ohne weitere Prüfung und unabhängig von dessen Mitteln zur Identifizierung im konkreten Fall zurechnet. In der Konsequenz müssen Verantwortliche, die aus ihrer Sicht anonyme Daten an eine andere Person mit Mitteln zur Identifizierung weitergeben, eine Rechtsgrundlage für diese Weitergabe finden. 

3. Zu der Frage, ob der SRB seine Informationspflichten verletzt hat

Der EuGH stellt fest, dass im konkreten Fall über Deloitte als „Empfänger“ zu informieren gewesen wäre, unabhängig davon ob die weitergegebenen Informationen für Deloitte personenbezogen sind oder nicht. Die maßgebliche Perspektive bei der Erfüllung der Informationspflichten (bei Erhebung) ist die Sicht des Verantwortlichen und nicht des Empfängers.

Der EuGH betont, dass die Pflicht zur Information zwischen dem Verantwortlichen und den Betroffenen besteht. Maßgeblicher Zeitpunkt für die Erfüllung dieser Pflicht ist die Erhebung der Daten. Zu diesem frühen Zeitpunkt kann diese Pflicht aber nicht davon abhängen, ob eine andere Person zu einem viel späteren Zeitpunkt zur Identifizierung Betroffener in der Lage ist oder nicht. Deshalb ist bezüglich der Informationspflicht der Personenbezug aus Sicht des Verantwortlichen zu bestimmen.

Die Frage nach der richtigen Perspektive dürfte auch an anderer Stelle aufgeworfen werden, wenn es um die Erfüllung von Pflichten aus der DSGVO unter einem relativen Konzept geht. Diskutieren lässt sich für die hiesige und vergleichbare Konstellation etwa, ob für die Weitergabe eine Rechtsgrundlage bestehen muss. Greift man die Wertung aus dem Urteil zur FIN auf, ist die Identifizierbarkeit im Rahmen der Rechtmäßigkeit wohl aus Sicht des Empfängers zu bestimmen.

Auch wenn die Entscheidung an manchen Stellen erfreuliche Klarheit bringt, verbleiben einige Fragezeichen. Die gebotene Einzelfallbetrachtung des Personenbezugs bei den unterschiedlichen Pflichten aus der DSGVO macht die Anwendung jedenfalls nicht einfacher, insbesondere da der EuGH bislang nur über die Informationspflicht bei Direkterhebung und die Rechtmäßigkeit bei Übermittlung konkrete Aussagen getroffen hat.

* Das Urteil erging unter Geltung der VO 2018/1725, die Datenschutzvorschriften für europäische Einrichtungen wie den SRB enthält. Sie ist in den relevanten Teile inhaltlich identisch mit der DSGVO, so dass im Folgenden lediglich auf die korrespondierenden DSGVO-Vorschriften verwiesen wird.