Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.

Die Entscheidung hat, auch wenn sie nicht direkt zur DSGVO, sondern der entsprechenden Verordnung zum Datenschutz bei EU-Institutionen ergangen ist, insbesondere für solche Fälle Praxisrelevanz, in denen Dienstleistern oder anderen Stellen nur pseudonymisierte Daten zur Verfügung gestellt werden.

Hintergrund

Die Verordnung (EU) 2018/1725 gilt für die Datenverarbeitung durch die Organe und Einrichtungen der Union (Art. 1 Abs. 1 und 2 Verordnung (EU) 2018/1725). Es handelt sich hierbei also um eine speziellere Verordnung, die abweichend von der allgemeineren DSGVO, gesondert die Verarbeitung personenbezogener Daten durch EU-Institutionen schützt (siehe auch Art. 2 Abs. 3 S. 1 DSGVO). Inhaltlich sind beide Verordnungen jedoch sehr ähnlich und zum Teil enthalten sie deckungsgleiche Regelungen.

Das EuG entschied im vorliegenden Fall über die Anwendung dieser spezielleren Verordnung. Zwar hat das EuG damit nicht konkret über Fragen der Personenbeziehbarkeit pseudonymisierter Daten nach der DSGVO entschieden. Jedoch handelt es sich, wie vorstehend erläutert, bei der Verordnung (EU) 2018/1725 um eine „der DSGVO verwandte Verordnung“, weshalb die Entscheidung auch in Bezug auf die DSGVO von einer gewissen Relevanz ist.

Sachverhalt

Der Europäische Datenschutzbeauftragte (EDSB) entschied auf Grundlage der Verordnung (EU) 2018/1725, dass der sog. Einheitliche Abwicklungsausschuss (SRB), ein Gremium zur Abwicklung von insolvenzbedrohten Finanzinstituten, personenbezogene Daten unrechtmäßig an Dritte übermittelt habe.

Dieser Entscheidung lag die Situation zugrunde, dass der SRB im Rahmen der Abwicklung eines Bankinstituts pseudonymisierte Daten an ein Beratungsunternehmen übermittelte.

Diese Pseudonymisierung fand wie folgt statt: In einer ersten Phase konnten sich Anteilseigner (der Bank) mit ihren Identitätsnachweisen beim SRB registrieren und eine Stellungnahme zur vorläufigen Entscheidung des SRB abgeben. In der darauffolgenden Konsultationsphase verglichen, ordneten und gewichteten Mitarbeiter die eingereichten Stellungnahmen. Während dieser Konsultationsphase enthielten die von den Anteilseignern eingereichten Stellungnahmen jedoch nur noch eine alphanumerische 33-stellige Identifikationsnummer. Die Mitarbeiter, die die Stellungnahmen verglichen, ordneten und gewichteten, konnten die Anteilseigner also nicht anhand ihrer konkreten Identifikationsnachweise identifizieren. Ein nicht näher relevanter Verfahrensschritt in der Abwicklung ergab es schließlich, dass einige der Stellungnahmen für eine weitere Bewertung an ein Beratungsunternehmen übermittelt werden mussten. Wichtig ist, dass das Beratungsunternehmen zu keiner Zeit über die Mittel verfügte, den jeweiligen Anteilseigner anhand der 33-stelligen Identifikationsnummer zu reidentifizieren. Über diese Möglichkeit verfügte stets nur SRB.

Entscheidungsgründe

Stein des Anstoßes war, dass das Beratungsunternehmen nicht in der Datenschutzerklärung vom SRB als Empfängerin aufgelistet war. Darin sah der EDSB einen Verstoß gegen die Informationspflichten nach Art. 15 Abs. 1 lit. d)  Verordnung (EU) 2018/1725. Gegen diese Entscheidung wandte sich der SRB an das EuG, um die Entscheidung des EDSB für nichtig erklären zu lassen.

Kern der Auseinandersetzung war dabei die Frage, ob es sich bei der alphanumerischen Identifikationsnummer überhaupt um personenbezogene Daten i. S. v. Art. 3 Nr. 1 und 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725 handelt. Wäre Letzteres nicht gegeben, so hätte der SRB auch nicht über das Beratungsunternehmen als Empfänger in seiner Datenschutzerklärung informieren müssen.

Zur Beantwortung der gestellten Frage legt das Gericht die vorstehende Verordnung und die Rechtsprechung des EuGH recht trickreich aus.

Es bezieht sich dabei auf das Urteil des EuGH in der Rechtssache Breyer. Der EuGH hatte in dieser Entscheidung geurteilt, dass es für die Frage, ob es sich bei übermittelten Informationen um personenbezogene Daten handelt, auch auf das Verständnis des Empfängers ankommt, das dieser von den übermittelten Daten hat. Der EuG stellt weiter fest, dass der EDSB hätte untersuchen müssen, ob das empfangende Beratungsunternehmen anhand der übermittelten Informationen deren Verfasser (= Anteilseigner) rückidentifizieren kann und ob diese Rückidentifizierung hinreichend wahrscheinlich ist. Allein der Umstand, dass der SRB über zusätzliche Informationen verfüge, mit denen eine Rückidentifizierung möglich ist, reiche demnach nicht für die Annahme des EDSB aus, dass die an die Empfängerin übermittelten Informationen personenbezogene Daten sind. Dies ist deshalb relevant, da nur der SRB über den Schlüssel zur Reidentifizierung der Nutzer verfügt, nicht aber das Beratungsunternehmen. Da das empfangende Beratungsunternehmen also nicht über den Depseudonymisierungsschlüssel verfügt, handelte es sich bei den übermittelten Daten für dieses Unternehmen auch nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725.

Schlussfolgerungen & Empfehlungen

Das Urteil ist deshalb bemerkenswert, da es ebenso wie in ErwG 26 S. 2 DSGVO auch in ErwG 16 S. 2 Verordnung (EU) 2018/1725 heißt, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten. Anders ausgedrückt: Obwohl das Gericht nicht bestreitet, dass es sich um pseudonymisierte Daten handelt, sollen solche hier nicht vorliegen, da das empfangende Beratungsunternehmen nicht über den Reidentifizierungsschlüssel verfügt.

Pseudonymisierte Daten (und damit personenbezogene Daten) liegen danach also nur für jene Stelle vor, die auch tatsächlich über die Mittel verfügt, die Depseudonymisierung vorzunehmen.

Zukünftig könnten Unternehmen als datenschutzrechtlich Verantwortliche, die z. B. Dienstleister einsetzen, die „nur“ verschlüsselte / pseudonymisierte Daten für sie verarbeiten, auf der Basis dieses Urteils mglw. argumentieren, dass der Abschluss eines Auftragsverarbeitungsvertrags nicht erforderlich ist. Denn nach der Argumentation des EuG handelt es sich gerade nicht um personenbezogene Daten für den Auftragsverarbeiter, wenn dieser nicht über den Entschlüsselungsschlüssel verfügt.

Trotzdessen sollten Verantwortliche nun nicht gleich auf den Abschluss von Auftragsverarbeitungsverträgen oder sonstigen Datenschutzvereinbarungen verzichten. Denn es gilt zu bedenken, dass es sich „lediglich“ um eine Entscheidung des EuG handelt. Dieses Gericht bildet die erste Instanz auf europäischer Ebene. Der Europäische Gerichtshof (EuGH) bildet dagegen die zweite Instanz. Er ist zum einen Berufungsinstanz sowie zum anderen zuständig für institutionelle Fragen. Das letzte bzw. höchstrichterliche Wort zum Thema pseudonymisierte Daten und Personenbezug ist daher noch nicht gesprochen.