News
Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten
Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.
Die Entscheidung hat, auch wenn sie nicht direkt zur DSGVO, sondern der entsprechenden Verordnung zum Datenschutz bei EU-Institutionen ergangen ist, insbesondere für solche Fälle Praxisrelevanz, in denen Dienstleistern oder anderen Stellen nur pseudonymisierte Daten zur Verfügung gestellt werden.
Hintergrund
Die Verordnung (EU) 2018/1725 gilt für die Datenverarbeitung durch die Organe und Einrichtungen der Union (Art. 1 Abs. 1 und 2 Verordnung (EU) 2018/1725). Es handelt sich hierbei also um eine speziellere Verordnung, die abweichend von der allgemeineren DSGVO, gesondert die Verarbeitung personenbezogener Daten durch EU-Institutionen schützt (siehe auch Art. 2 Abs. 3 S. 1 DSGVO). Inhaltlich sind beide Verordnungen jedoch sehr ähnlich und zum Teil enthalten sie deckungsgleiche Regelungen.
Das EuG entschied im vorliegenden Fall über die Anwendung dieser spezielleren Verordnung. Zwar hat das EuG damit nicht konkret über Fragen der Personenbeziehbarkeit pseudonymisierter Daten nach der DSGVO entschieden. Jedoch handelt es sich, wie vorstehend erläutert, bei der Verordnung (EU) 2018/1725 um eine „der DSGVO verwandte Verordnung“, weshalb die Entscheidung auch in Bezug auf die DSGVO von einer gewissen Relevanz ist.
Sachverhalt
Der Europäische Datenschutzbeauftragte (EDSB) entschied auf Grundlage der Verordnung (EU) 2018/1725, dass der sog. Einheitliche Abwicklungsausschuss (SRB), ein Gremium zur Abwicklung von insolvenzbedrohten Finanzinstituten, personenbezogene Daten unrechtmäßig an Dritte übermittelt habe.
Dieser Entscheidung lag die Situation zugrunde, dass der SRB im Rahmen der Abwicklung eines Bankinstituts pseudonymisierte Daten an ein Beratungsunternehmen übermittelte.
Diese Pseudonymisierung fand wie folgt statt: In einer ersten Phase konnten sich Anteilseigner (der Bank) mit ihren Identitätsnachweisen beim SRB registrieren und eine Stellungnahme zur vorläufigen Entscheidung des SRB abgeben. In der darauffolgenden Konsultationsphase verglichen, ordneten und gewichteten Mitarbeiter die eingereichten Stellungnahmen. Während dieser Konsultationsphase enthielten die von den Anteilseignern eingereichten Stellungnahmen jedoch nur noch eine alphanumerische 33-stellige Identifikationsnummer. Die Mitarbeiter, die die Stellungnahmen verglichen, ordneten und gewichteten, konnten die Anteilseigner also nicht anhand ihrer konkreten Identifikationsnachweise identifizieren. Ein nicht näher relevanter Verfahrensschritt in der Abwicklung ergab es schließlich, dass einige der Stellungnahmen für eine weitere Bewertung an ein Beratungsunternehmen übermittelt werden mussten. Wichtig ist, dass das Beratungsunternehmen zu keiner Zeit über die Mittel verfügte, den jeweiligen Anteilseigner anhand der 33-stelligen Identifikationsnummer zu reidentifizieren. Über diese Möglichkeit verfügte stets nur SRB.
Entscheidungsgründe
Stein des Anstoßes war, dass das Beratungsunternehmen nicht in der Datenschutzerklärung vom SRB als Empfängerin aufgelistet war. Darin sah der EDSB einen Verstoß gegen die Informationspflichten nach Art. 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725. Gegen diese Entscheidung wandte sich der SRB an das EuG, um die Entscheidung des EDSB für nichtig erklären zu lassen.
Kern der Auseinandersetzung war dabei die Frage, ob es sich bei der alphanumerischen Identifikationsnummer überhaupt um personenbezogene Daten i. S. v. Art. 3 Nr. 1 und 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725 handelt. Wäre Letzteres nicht gegeben, so hätte der SRB auch nicht über das Beratungsunternehmen als Empfänger in seiner Datenschutzerklärung informieren müssen.
Zur Beantwortung der gestellten Frage legt das Gericht die vorstehende Verordnung und die Rechtsprechung des EuGH recht trickreich aus.
Es bezieht sich dabei auf das Urteil des EuGH in der Rechtssache Breyer. Der EuGH hatte in dieser Entscheidung geurteilt, dass es für die Frage, ob es sich bei übermittelten Informationen um personenbezogene Daten handelt, auch auf das Verständnis des Empfängers ankommt, das dieser von den übermittelten Daten hat. Der EuG stellt weiter fest, dass der EDSB hätte untersuchen müssen, ob das empfangende Beratungsunternehmen anhand der übermittelten Informationen deren Verfasser (= Anteilseigner) rückidentifizieren kann und ob diese Rückidentifizierung hinreichend wahrscheinlich ist. Allein der Umstand, dass der SRB über zusätzliche Informationen verfüge, mit denen eine Rückidentifizierung möglich ist, reiche demnach nicht für die Annahme des EDSB aus, dass die an die Empfängerin übermittelten Informationen personenbezogene Daten sind. Dies ist deshalb relevant, da nur der SRB über den Schlüssel zur Reidentifizierung der Nutzer verfügt, nicht aber das Beratungsunternehmen. Da das empfangende Beratungsunternehmen also nicht über den Depseudonymisierungsschlüssel verfügt, handelte es sich bei den übermittelten Daten für dieses Unternehmen auch nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725.
Schlussfolgerungen & Empfehlungen
Das Urteil ist deshalb bemerkenswert, da es ebenso wie in ErwG 26 S. 2 DSGVO auch in ErwG 16 S. 2 Verordnung (EU) 2018/1725 heißt, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten. Anders ausgedrückt: Obwohl das Gericht nicht bestreitet, dass es sich um pseudonymisierte Daten handelt, sollen solche hier nicht vorliegen, da das empfangende Beratungsunternehmen nicht über den Reidentifizierungsschlüssel verfügt.
Pseudonymisierte Daten (und damit personenbezogene Daten) liegen danach also nur für jene Stelle vor, die auch tatsächlich über die Mittel verfügt, die Depseudonymisierung vorzunehmen.
Zukünftig könnten Unternehmen als datenschutzrechtlich Verantwortliche, die z. B. Dienstleister einsetzen, die „nur“ verschlüsselte / pseudonymisierte Daten für sie verarbeiten, auf der Basis dieses Urteils mglw. argumentieren, dass der Abschluss eines Auftragsverarbeitungsvertrags nicht erforderlich ist. Denn nach der Argumentation des EuG handelt es sich gerade nicht um personenbezogene Daten für den Auftragsverarbeiter, wenn dieser nicht über den Entschlüsselungsschlüssel verfügt.
Trotzdessen sollten Verantwortliche nun nicht gleich auf den Abschluss von Auftragsverarbeitungsverträgen oder sonstigen Datenschutzvereinbarungen verzichten. Denn es gilt zu bedenken, dass es sich „lediglich“ um eine Entscheidung des EuG handelt. Dieses Gericht bildet die erste Instanz auf europäischer Ebene. Der Europäische Gerichtshof (EuGH) bildet dagegen die zweite Instanz. Er ist zum einen Berufungsinstanz sowie zum anderen zuständig für institutionelle Fragen. Das letzte bzw. höchstrichterliche Wort zum Thema pseudonymisierte Daten und Personenbezug ist daher noch nicht gesprochen.
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.