30.05.2023 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Der Hintergrund des erstinstanzlich agierenden Gerichts, welches nicht mit dem Europäischen Gerichtshof verwechselt werden sollte, ist komplex. Es ging um Regelungen einer Verordnung (2018/1725) vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union zum freien Datenverkehr. Damit wurden die Regelungen der DSGVO auf die sog. supranationalen Einrichtungen der EU übertragen und nebenbei der Europäische Datenschutzbeauftrage als Aufsichtsbehörde installiert. Eine Institution der EU, das Single Resolution Board, ist zuständig für die Abwicklung von insolvenzbedrohten Finanzinstituten. Dort war man der Meinung, dass bei einem Formular für Gläubiger, deren dort erhobene Informationen an ein Beratungsunternehmen zur Auswertung gingen, keine Weitergabe von datenschutzrechtlichen Informationen nötig war. Denn für das Beratungsunternehmen seien der Code, mit dem die Namen der Gläubiger zuvor ersetzt worden seien, nicht rückführbar gewesen. Betroffene Gläubiger wandten sich an den Datenschutzbeauftragten. Der Europäische Datenschutzbeauftragte war anderer Meinung und sah wegen der fehlenden Information zur Weitergabe der Daten einen Datenschutzverstoß gegen entsprechende Informationspflichten.
Bei der Entscheidung des EuG (Urt. vom 26.04.2023, T 557/20) im anschließenden Rechtsstreit hierzu ging es um fast wortgleiche Regelungen zur Begriffsbestimmung der personenbezogenen Daten, wie sie die DSGVO vorsieht. Dabei spielt die Pseudonymisierung eine wichtige Rolle insbesondere als Maßnahme des Schutzes im eigenen Verarbeitungsbereich. Im Gegensatz zu anonymisierten Daten bleibt bei der Pseudonymisierung die Möglichkeit erhalten, die Daten wieder auf eine natürliche Person zurückzuführen. Sie ist meist aber nicht einfach möglich, sondern bildet bewusst eine Hürde für eine unrechtmäßige Verarbeitung, da der Verarbeiter intern Zugriff auf den Schlüssel, also die Identifikation oder Rückschlüsselung von Daten und auf die Daten selbst haben muss.
Ist denn das Datenschutzrecht anwendbar, wenn ein Dritter zuvor pseudonymisierte Daten erhält? Handelt es sich dabei für den Dritten nicht um anonyme Daten? Hier gibt es zwei Sichtweisen. Man kann darauf abstellen, ob es darauf ankommt, dass der Dritte die Möglichkeit hat, die Daten auf die Person zurückzuführen. Man kann aber auch die Sicht vertreten, dass generell eine Rückführbarkeit durch irgendjemanden immer dazu führt, dass das Datenschutzrecht Anwendung findet und eingehalten werden muss. Selbst mit strafrechtlich verfolgbaren Mitteln zu erlangende Rückführungen sollen ausreichen.
Der EuG wählte die praxisnahe Sichtweise und sieht sich im Einklang mit der Rechtsprechung des EuGH (zur Rechtssache C-582/14). Unter Bezug auf diese vor Geltung der DSGVO ergangene Entscheidung erläutert der EuG:
92…..Zu prüfen war nach Auffassung des Gerichtshofs jedoch, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 45).
93 Der Gerichtshof wies darauf hin, dass dies nicht der Fall gewesen wäre, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar gewesen wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 46).
Der SRB sei in der Situation des Internetzugangsanbieters bei der genannten Entscheidung. Dem Beratungsunternehmen, das nach Ansicht des EuG mit dem im EuGH-Urteil auf der anderen Seite behandelten Anbieters von Online-Mediendiensten vergleichbar sei, sei es nicht möglich gewesen, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte.
Die Entscheidung zur Sichtweise auf die Pseudonymisierung hat weitreichende Bedeutung für die Praxis. Es steht zu hoffen, dass der EuGH damit befasst wird und diese Sicht bestätigt. Dann kann differenziert werden hinsichtlich des Übermittlers, für den pseudonymisierte Daten aufgrund seiner Möglichkeiten der Rückführung immer personenbezogene Daten sind und hinsichtlich des Empfängers, bei dem zu prüfen ist, ob er (legale) Rückführungsmöglichkeiten hatte. Fehlen diese, dann ist weder ein Auftragsverarbeitungsverhältnis anzunehmen, noch sind Joint Controller Verhältnisse oder eine eigene Verantwortung des Empfängers denkbar. Eine solche Sicht kann in vielen Fällen überspitzten Anforderungen an den Datenschutz einen Riegel vorschieben. Natürlich bleibt der übermittelnde Verarbeiter verantwortlich auch für technische und organisatorische Maßnahmen zur Sicherung der Trennung von Daten und Schlüssel und des Zugriffs hierauf.
Bild: Towfiqu Barbhuiya (Pexels, Pexels Lizenz)