CR-online.de Blog

Sind pseudonymisierte Daten für den Empfänger einer Übermittlung immer personenbezogen?

avatar  Tom Hubert
Wiss.-Mit., Promotionsstudent - Forscht im IT-, IT-Sicherheits- und Datenschutzrecht
14.2.2025 – 18:40

Unter anderem um diese Frage geht es im Berufungsverfahren Europäischer Datenschutzbeauftragter (EDSB) vs. Ausschuss für die einheitliche Abwicklung (Single Resolution Board – SRB) in der Rechtssache C‑413/23. Dazu hat Generalanwalt Dean Spielmann beim EuGH letzte Woche am 6.2.2025 seine Schlussanträge vorgelegt und dem EuGH darin die Tür weit aufgemacht, die dogmatischen Kernfrage zu klären, wie die „angemessenen Mittel“ einer Identifizierung zu bestimmen sind.

Worüber wird gestritten?

Aus Anlass eines Insolvenzverfahrens hatte ein Single Resolution Board (SRB) die Firma Deloitte beauftragt, die Behandlung der Aktionäre und Gläubiger nach dem Abwicklungsplan des SRB mit einem regulären Insolvenzverfahren zu vergleichen. Danach gaben betroffene Aktionäre und Gläubiger in einer Anhörung gegenüber dem SRB Stellungnahmen und Kommentare zur Sache ab. Bei dieser Anhörung wurden in der Registrierungsphase personenbezogene Daten erfasst, darunter Identitätsnachweise und Eigentumsnachweise für Kapitalinstrumente der betroffenen Aktionäre und Gläubiger.

Nach der Filterung und Kategorisierung der Kommentare wurden die Daten an Deloitte weitergeleitet – jedoch nur mit einem alphanumerischen Code. Deloitte bekam zu keinem Zeitpunkt Zugang zu den Identifikationsdaten, mit denen die Aktionäre und Gläubiger hinter den Stellungnahmen und Kommentaren hätten identifiziert werden können. Diese verblieben in den Händen des SRB. Obwohl Deloitte zu keinem Zeitpunkt Zugang Daten hatte, stellte der EDSB einen Datenschutzverstoß des SRB fest. Der dagegen erhobenen Klage gab das EuG statt, weil der EDSB nicht geprüft habe, ob Deloitte die Möglichkeit hatte, die betroffenen Personen zu identifizieren.

Mit seiner Berufung vor dem Gerichtshof der Europäischen Union (EuGH) möchte der EDSB die Feststellung erreichen, dass die pseudonymisiert an Deloitte weitergegebenen Daten weiterhin personenbezogene Daten waren, weil die Identifikationsinformationen weiterhin vorhanden waren. Demgegenüber sind der SRB und die Kommission (und wohl auch das EuG) der Ansicht, es komme allein darauf an, ob Deloitte als Empfänger die betroffenen Personen identifizieren konnte.

Was sagt EuGH-Generalanwalt Spielmann?

Vor diesem Hintergrund widerspricht GA Spielmann der pauschalen Sichtweise des EDSB und stellt zunächst zutreffend fest, dass die Pseudonymisierung eine Verarbeitungstechnik sei, die das Risiko einer Identifizierung verringert, nicht aber die Möglichkeit der Identifizierung vollständig ausschließt. Gem. Art. 3 Nr. 6 VO (EU) 2018/1725 (wortgleich mit Art. 4 Nr. 5 DSGVO) blieben pseudonymisierte Daten personenbezogene Daten, wenn sie mit zusätzlichen Informationen wieder einer Person zugeordnet werden können. Das EuG habe jedoch nicht überprüft, ob Deloitte die Möglichkeit hatte, die Identität der betroffenen Personen zu entschlüsseln. Nach Auffassung des GA hätte geprüft werden müssen, ob Deloitte über „angemessene Mittel“ zur Identifizierung der Personen verfügte. Spielmann schließt mit dem Satz: „Da eine solche Prüfung unterblieben ist, ist die Entscheidung des Gerichts fehlerhaft.“ Nähere Ausführungen zur (dogmatischen) Begründung seiner Ansicht macht der Generalanwalt nicht.

Dabei ist zunächst fraglich, ob es in der vorliegenden Rechtssache überhaupt darauf ankommt, ob Deloitte eine Identifizierung der betroffenen Personen durchführen kann. Geht man aber mit GA Spielmann einmal davon aus, es komme beim Personenbezug der übermittelten Daten allein auf die Perspektive des Datenempfängers Deloitte an, stellt sich notwendigerweise die auch durch Spielmann gestellte (Folge-)Frage, wie die „angemessenen Mittel“ zur Identifizierung der hinter der Daten stehenden natürlichen Personen zu bestimmen sind. Leider enthalten die Schlussanträge dazu keine näheren Ausführungen. Es bleibt zu hoffen, dass der EuGH hier mehr „Licht ins Dunkle bringt“. GA Spielmann jedenfalls trägt dem EuGH die Frage nun explizit an.

Was gilt nun für die Identifizierbarkeit aus pseudonymisierten Daten?

Zunächst kann grundsätzlich festgestellt werden, dass die Pseudonymisierung von personenbezogenen Daten nicht gleichzusetzen ist, mit der Anonymisierung. Nur die Anonymisierung lässt den Personenzug eines Datums entfallen, wodurch auch die Anforderungen der DSGVO an die Verarbeitung nicht mehr bestehen. Bei der Pseudonymisierung entkoppelt der Verantwortliche die verarbeitete Information von der hinter ihr stehenden natürlichen Person und erhält sich dabei die Informationen zur „Re-Pseudonymisierung“, das heißt, er kann die Daten nach seinem Willen wieder an die natürliche Person (zurück)koppeln. Das der Verantwortliche bei der Verarbeitung von pseudonymisierten Daten daher weiterhin personenbezogene Daten verarbeitet, ergibt sich schon unmittelbar aus ErwG 26 S. 2 DSGVO: „Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“

Wahrscheinlichkeit

Dies folgt der Logik, dass eine Verarbeitung von Informationen mit Bezug zu einer natürlichen Person erst unter den Schutz der DSGVO fallen soll, wenn die natürliche Person auch (wenigstens theoretisch) identifiziert werden kann. Nur dann besteht überhaupt das Risiko einer Verletzung der Person in ihren Persönlichkeitsrechten. Ob ein Datum ein personenbezogenes Datum ist, bemisst sich in der Praxis daher oftmals an der Identifizierbarkeit der natürlichen Person. Und dazu führt Erwg. 26 S. 3 DSGVO weiter aus:

„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.“
(Hervorhebung hinzugefügt)

Es sollen also Identifizierungsmittel ermittelt und nach ihrer Nutzungswahrscheinlichkeit bewertet werden. Die Nutzungswahrscheinlichkeit bemisst sich wiederum an dem Aufwand, den eine Person auf sich nehmen muss, um die Identifizierung durchzuführen. Ist der Aufwand der Nutzung des Mittels zur Identifizierung der natürlichen Person verhältnismäßig, handelt es sich um ein „angemessenes Mittel“. Hier kommt der von GA Spielmann oben verwendete Begriff her.

Angemessene Mittel

Bei pseudonymisierten Daten ist diese Frage nun einfach zu beantworten: Derjenige, der über die Re-Pseudonymisierungsinformationen innerhalb der eigenen Organisation verfügt, kann unter sehr geringem Aufwand die Identifizierung der natürlichen Person durchführen. Die Re-Pseudonymisierungsinformationen sind für diesen Verantwortlichen „angemessene Mittel“ zur Identifizierung. Er verarbeitet mithin personenbezogene Daten. Derjenige, der über die Re-Pseudonymisierungsinformationen nicht in eigener Organisation verfügt, hat ggf. mehr Aufwand mit der Identifizierung, denn er muss entweder erst die Re-Pseudonymisierungsinformationen von der Stelle erlangen, die pseudonymisiert hat oder an andere Informationen gelangen, die allein oder in Kombination mit den verarbeiteten Informationen die zugehörige natürliche Person identifizierbar machen. Dieser Verantwortliche muss dazu möglicherweise sogar so viel Aufwand betreiben, dass es unwahrscheinlich erscheint, dass er die Identifizierung durchführen wird. Für diese Person sind die verarbeiteten Daten dann keine personenbezogenen Daten.

Abgrenzung

Damit stellt sich die Gretchenfrage: Was ist denn nun „viel“ (unverhältnismäßiger) Aufwand und was „wenig“ (verhältnismäßiger) Aufwand bei der Identifizierung einer natürlichen Person. Auch ist auf den ersten Blick nicht eindeutig, zu welchem Faktor der Aufwand überhaupt im Verhältnis stehen muss. Schließlich kommen neben den „Re-Pseudonymisierungsinformationen“ regelmäßig etliche weitere Informationsangebote als Identifizierungsmittel in Betracht, nicht zuletzt, weil das Internet jedem Verarbeiter von Daten täglich mehr Mittel zur Hand gibt, potentiell hinter den Daten stehende natürliche Personen zu identifizieren.

Orientierungshilfe

Allen diesen Fragen gehe ich in meinem Aufsatz: „Die Identifizierbarkeit i.S.d. Art. 4 Nr. 1 DSGVO insbesondere durch Informationen aus dem Internet – (Endlich) alles klar durch die Rechtsprechungslinie des EuGH zum Personenbezug?“ in CR 2025, 77 ausführlich nach und versuche Antworten zu entwickeln, soweit sich diese mit der bisherigen Rechtsprechungslinie des EuGH vertragen. Wer also – so wie ich auch – nicht auf eine finale Aussage des EuGH warten möchte, dem sei die Lektüre des Aufsatzes empfohlen. Ich beschäftige mich eingehender und auch wesentlich konkreter mit den Rechtsfragen als der GA Spielmann – versprochen!

 

Beitrag von Tom Hubert vom Р18:40. Rubrik: Datenschutz, Stichw̦rter: , , , , , , , , , . Lesezeichen: Permalink. Kommentare: RSS-Feed. Trackbacks sind deaktiviert, aber Sie k̦nnen einen Kommentar schreiben.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.


Twitter, Facebook, ...
Service
© Verlag Dr. Otto Schmidt, Köln