News

Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten

Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.

Die Entscheidung hat, auch wenn sie nicht direkt zur DSGVO, sondern der entsprechenden Verordnung zum Datenschutz bei EU-Institutionen ergangen ist, insbesondere für solche Fälle Praxisrelevanz, in denen Dienstleistern oder anderen Stellen nur pseudonymisierte Daten zur Verfügung gestellt werden.

Hintergrund

Die Verordnung (EU) 2018/1725 gilt für die Datenverarbeitung durch die Organe und Einrichtungen der Union (Art. 1 Abs. 1 und 2 Verordnung (EU) 2018/1725). Es handelt sich hierbei also um eine speziellere Verordnung, die abweichend von der allgemeineren DSGVO, gesondert die Verarbeitung personenbezogener Daten durch EU-Institutionen schützt (siehe auch Art. 2 Abs. 3 S. 1 DSGVO). Inhaltlich sind beide Verordnungen jedoch sehr ähnlich und zum Teil enthalten sie deckungsgleiche Regelungen.

Das EuG entschied im vorliegenden Fall über die Anwendung dieser spezielleren Verordnung. Zwar hat das EuG damit nicht konkret über Fragen der Personenbeziehbarkeit pseudonymisierter Daten nach der DSGVO entschieden. Jedoch handelt es sich, wie vorstehend erläutert, bei der Verordnung (EU) 2018/1725 um eine „der DSGVO verwandte Verordnung“, weshalb die Entscheidung auch in Bezug auf die DSGVO von einer gewissen Relevanz ist.

Sachverhalt

Der Europäische Datenschutzbeauftragte (EDSB) entschied auf Grundlage der Verordnung (EU) 2018/1725, dass der sog. Einheitliche Abwicklungsausschuss (SRB), ein Gremium zur Abwicklung von insolvenzbedrohten Finanzinstituten, personenbezogene Daten unrechtmäßig an Dritte übermittelt habe.

Dieser Entscheidung lag die Situation zugrunde, dass der SRB im Rahmen der Abwicklung eines Bankinstituts pseudonymisierte Daten an ein Beratungsunternehmen übermittelte.

Diese Pseudonymisierung fand wie folgt statt: In einer ersten Phase konnten sich Anteilseigner (der Bank) mit ihren Identitätsnachweisen beim SRB registrieren und eine Stellungnahme zur vorläufigen Entscheidung des SRB abgeben. In der darauffolgenden Konsultationsphase verglichen, ordneten und gewichteten Mitarbeiter die eingereichten Stellungnahmen. Während dieser Konsultationsphase enthielten die von den Anteilseignern eingereichten Stellungnahmen jedoch nur noch eine alphanumerische 33-stellige Identifikationsnummer. Die Mitarbeiter, die die Stellungnahmen verglichen, ordneten und gewichteten, konnten die Anteilseigner also nicht anhand ihrer konkreten Identifikationsnachweise identifizieren. Ein nicht näher relevanter Verfahrensschritt in der Abwicklung ergab es schließlich, dass einige der Stellungnahmen für eine weitere Bewertung an ein Beratungsunternehmen übermittelt werden mussten. Wichtig ist, dass das Beratungsunternehmen zu keiner Zeit über die Mittel verfügte, den jeweiligen Anteilseigner anhand der 33-stelligen Identifikationsnummer zu reidentifizieren. Über diese Möglichkeit verfügte stets nur SRB.

Entscheidungsgründe

Stein des Anstoßes war, dass das Beratungsunternehmen nicht in der Datenschutzerklärung vom SRB als Empfängerin aufgelistet war. Darin sah der EDSB einen Verstoß gegen die Informationspflichten nach Art. 15 Abs. 1 lit. d)  Verordnung (EU) 2018/1725. Gegen diese Entscheidung wandte sich der SRB an das EuG, um die Entscheidung des EDSB für nichtig erklären zu lassen.

Kern der Auseinandersetzung war dabei die Frage, ob es sich bei der alphanumerischen Identifikationsnummer überhaupt um personenbezogene Daten i. S. v. Art. 3 Nr. 1 und 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725 handelt. Wäre Letzteres nicht gegeben, so hätte der SRB auch nicht über das Beratungsunternehmen als Empfänger in seiner Datenschutzerklärung informieren müssen.

Zur Beantwortung der gestellten Frage legt das Gericht die vorstehende Verordnung und die Rechtsprechung des EuGH recht trickreich aus.

Es bezieht sich dabei auf das Urteil des EuGH in der Rechtssache Breyer. Der EuGH hatte in dieser Entscheidung geurteilt, dass es für die Frage, ob es sich bei übermittelten Informationen um personenbezogene Daten handelt, auch auf das Verständnis des Empfängers ankommt, das dieser von den übermittelten Daten hat. Der EuG stellt weiter fest, dass der EDSB hätte untersuchen müssen, ob das empfangende Beratungsunternehmen anhand der übermittelten Informationen deren Verfasser (= Anteilseigner) rückidentifizieren kann und ob diese Rückidentifizierung hinreichend wahrscheinlich ist. Allein der Umstand, dass der SRB über zusätzliche Informationen verfüge, mit denen eine Rückidentifizierung möglich ist, reiche demnach nicht für die Annahme des EDSB aus, dass die an die Empfängerin übermittelten Informationen personenbezogene Daten sind. Dies ist deshalb relevant, da nur der SRB über den Schlüssel zur Reidentifizierung der Nutzer verfügt, nicht aber das Beratungsunternehmen. Da das empfangende Beratungsunternehmen also nicht über den Depseudonymisierungsschlüssel verfügt, handelte es sich bei den übermittelten Daten für dieses Unternehmen auch nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725.

Schlussfolgerungen & Empfehlungen

Das Urteil ist deshalb bemerkenswert, da es ebenso wie in ErwG 26 S. 2 DSGVO auch in ErwG 16 S. 2 Verordnung (EU) 2018/1725 heißt, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten. Anders ausgedrückt: Obwohl das Gericht nicht bestreitet, dass es sich um pseudonymisierte Daten handelt, sollen solche hier nicht vorliegen, da das empfangende Beratungsunternehmen nicht über den Reidentifizierungsschlüssel verfügt.

Pseudonymisierte Daten (und damit personenbezogene Daten) liegen danach also nur für jene Stelle vor, die auch tatsächlich über die Mittel verfügt, die Depseudonymisierung vorzunehmen.

Zukünftig könnten Unternehmen als datenschutzrechtlich Verantwortliche, die z. B. Dienstleister einsetzen, die „nur“ verschlüsselte / pseudonymisierte Daten für sie verarbeiten, auf der Basis dieses Urteils mglw. argumentieren, dass der Abschluss eines Auftragsverarbeitungsvertrags nicht erforderlich ist. Denn nach der Argumentation des EuG handelt es sich gerade nicht um personenbezogene Daten für den Auftragsverarbeiter, wenn dieser nicht über den Entschlüsselungsschlüssel verfügt.

Trotzdessen sollten Verantwortliche nun nicht gleich auf den Abschluss von Auftragsverarbeitungsverträgen oder sonstigen Datenschutzvereinbarungen verzichten. Denn es gilt zu bedenken, dass es sich „lediglich“ um eine Entscheidung des EuG handelt. Dieses Gericht bildet die erste Instanz auf europäischer Ebene. Der Europäische Gerichtshof (EuGH) bildet dagegen die zweite Instanz. Er ist zum einen Berufungsinstanz sowie zum anderen zuständig für institutionelle Fragen. Das letzte bzw. höchstrichterliche Wort zum Thema pseudonymisierte Daten und Personenbezug ist daher noch nicht gesprochen.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte

Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.  

DSK zum datenschutzkonformen KI-Einsatz

Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.