Perspective Matters
Überblick
Das (erstinstanzliche) Gericht der Europäischen Union (EuG), nicht zu verwechseln mit dem Europäischen Gerichtshof (EuGH), hat am 26.4.2023 ein Urteil (Az: T-557/20) in der Rechtssache Einheitlicher Abwicklungsausschuss (Single Resolution Board, nachfolgend „SRB“) gegen den Europäischen Datenschutzbeauftragten (nachfolgend „EDSB“) gefällt.
Das Gericht entschied, dass pseudonymisierte Daten, die an einen Datenempfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Datenempfänger nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren. Das Gericht stellte auch klar, dass die Meinungen einer Person nicht per se als personenbezogene Daten angesehen werden können – stattdessen ist eine Einzelfallprüfung erforderlich.
Gegenstand des Verfahrens waren Normen der Verordnung 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union (nachfolgend „Verordnung 2018/1725“), welche das geltende Datenschutzrecht, insbesondere der DSGVO, auf die supranationalen Einrichtungen der EU überträgt. Die zentralen streitgegenständlichen Normen des Verfahrens, Art. 3 Nr. 1 und Art. 15 Abs. 1 lit. d Verordnung 2018/1725, sind nahezu wortgleich mit Art. 4 Nr. 1 beziehungsweise Art. 13. Abs. 1 lit. e DSGVO.
Anonym oder Pseudonym
Das Vorliegen personenbezogener Daten ist notwendige Voraussetzungen für die Eröffnung des sachlichen Anwendungsbereichs der DSGVO. Nach Erwägungsgrund 26 S. 5 DSGVO gelten die Grundsätze des Datenschutzes nicht für anonyme Informationen, also für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Grundsätzlich gilt, dass natürliche Personen bei pseudonymen Daten – im Gegensatz zu anonymen Daten -re-identifizierbar bleiben, weil die Auflösung des Pseudonyms durch Heranziehung zusätzlicher, separat aufbewahrter, Informationen möglich ist.
Die Pseudonymisierung ermöglicht also unter Zuhilfenahme eines Schlüssels die Zuordnung von Daten zu einer Person, was ohne diesen Schlüssel nicht oder nur schwer möglich ist, da Daten und Identifikationsmerkmale getrennt sind. Entscheidend ist also grundsätzlich, dass eine Zusammenführung von Person und Daten grundsätzlich noch möglich ist.
Absoluter und relativer Personenbezug
Was als „noch möglich“ betrachtet wird, hängt davon ab, ob man von einem absoluten oder relativen Verständnis des Personenbezuges ausgeht. Zur Bestimmung, ob eine Person ermittelbar ist, sind gemäß Erwägungsgrund 26 S. 3 DSGVO alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person (!) nach allgemeinem Ermessen wahrscheinlich hierfür verwendet werden können.
Vertreten wird, ausgehend von einem absoluten Verständnis des Personenbezuges, dass bereits eine allein aufseiten eines Dritten bestehende Identifizierungsmöglichkeit zur Personenbeziehbarkeit des jeweiligen Datums führt, es also nicht nur auf die Möglichkeiten des Verantwortlichen ankommt, sondern darauf, welche Möglichkeiten irgendein Dritter vernünftigerweise zur Herstellung des Personenbezugs anwenden könnte – danach muss sich die verantwortliche Stelle das abstrakt verfügbare Drittwissen und die für Dritte zur Verfügung stehenden Mittel zurechnen lassen (Simitis/Hornung/Spiecker gen. Döhmann/Karg, Datenschutzrecht, DSGVO Art. 4 Nr. 1 Rn. 61). Selbst illegale Möglichkeiten der Wissensermittlung sollen unter Umständen zu berücksichtigen sein (Bergt, ZD 2015, 365 (370)).
Folgt man mit der Rechtsprechung des EuGH (Urteil vom 19.10.2016 – C-582/14)einem relativen Verständnis der Personenbezuges, so ist die Aufhebung des Personenbezuges nicht gleichzusetzen mit einer absoluten Anonymität, also der absoluten Unmöglichkeit der Re-Identifizierung für jeden erdenklichen Verarbeiter. Eine Einschränkung wird durch das Wahrscheinlichkeitskriterium des Erwägungsgrundes 26 DSGVO vorgenommen. Es darf demnach ein geringes (theoretisches) Restrisiko der Re-Identifizierung verbleiben und die Daten können dennoch als anonym qualifiziert werden. Nach dem EuGH kommt es hierbei auf die rechtliche Möglichkeit zur Re-Identifizierung durch den jeweiligen Verantwortlichen an, wobei Wissen und Mittel Dritter nur mit einzubeziehen sind, wenn rechtliche Mittel bestehen, um das Wissen zu erlangen (Kühling/Schildbach, NZS 2020, 41 (45)).
Das Verfahren
Der SRB ist eine europäische Institution, die die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten gewährleisten soll. Dazu verwendete der SRB im Abwicklungsverfahren gegen eine Bank ein elektronisches Formular, mit dem die hierzu berechtigten Anteilseigner und Gläubiger Stellung nehmen konnten und gab die eingegangenen Antworten an ein Beratungsunternehmen in der Funktion eines unabhängigen Gutachters weiter, um die relevanten Stellungnahmen auswerten zu lassen. Bevor die Antworten weitergegeben wurden, ersetzte der SRB den Namen jedes Befragten durch einen Code.
Nach einer Reihe von Beschwerden entschied der EDSB, dass die vom SRB weitergegebenen pseudonymisierten Daten personenbezogen waren, weil auch der Code geteilt wurde, anhand dessen die während der (Registrierungs‑)Phase eingegangenen Antworten mit denen der (Konsultations‑)Phase verknüpft werden konnten, obwohl dem Beratungsunternehmen die von den Teilnehmern während der (Registrierungs‑)Phase zwecks Identifizierung gemachten Angaben nicht mitgeteilt wurden. Zudem waren die Antworten nach Auffassung des EDSB selbst als personenbezogene Daten anzusehen, unabhängig davon, ob es sich um den Ausdruck einer eigenständigen und einzigartigen Sichtweise handele. Die Tatsache, dass das Beratungsunternehmen in der Datenschutzerklärung des SRB nicht als potenzieller Empfänger personenbezogener Daten genannt wurde, stellte nach Auffassung des EDSB einen Verstoß gegen die in Art. 15 Abs. 1 lit. d Verordnung 2018/1725 vorgesehene Informationspflicht über Empfänger personenbezogener Daten dar.
Der SRB vertrat die Auffassung, dass die Information über das Beratungsunternehmen als Empfänger personenbezogener Daten nicht notwendig war, da die übermittelten Daten durch die Mitteilung des Codes nicht pseudonymisiert, sondern anonym waren und folglich nicht als personenbezogene Daten für den Datenempfänger angesehen werden konnten. Eine Rückidentifizierung der Personen, die Stellungnahmen eingereicht hätten, sei anhand der den einzelnen Stellungnahmen zugewiesenen Codes nicht möglich. Die in Art. 3 Nr. 6 Verordnung 2018/1725 (wortgleich mit Art. 4 Nr. 5 DSGVO) erwähnten zusätzlichen Informationen bestünden aus der nur dem SRB zugänglichen, die Decodierung ermöglichenden Datenbank. Zum anderen habe das Beratungsunternehmen, was das Kriterium der hinreichenden Wahrscheinlichkeit der Zusammenführung von Informationen angehe, kein Recht gehabt, auf die zusätzlichen Informationen, die die Identifizierung ermöglichten, zuzugreifen.
Die Entscheidung des EuG
Das Gericht betont, dass im Einklang mit der Entscheidung des EuGH in der Rechtssache Breyer (Urteil vom 19.10.2016 – C-582/14) bei der Feststellung, ob pseudonymisierte Informationen, die an einen Datenempfänger übermittelt werden, personenbezogene Daten darstellen, die Perspektive des Datenempfängers zu berücksichtigen ist.
Verfügt der Datenempfänger über keine zusätzlichen Mittel, die es ermöglichen, die betroffenen Personen zu re-identifizieren und bestehen keine rechtlichen Möglichkeiten, auf solche Informationen zuzugreifen, können die übermittelten Daten aus Sicht des Empfängers nicht als personenbezogene Daten betrachtet werden. Die Tatsache, dass der Datenübermittler über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt, ist irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind.
Das Gericht stellt ferner fest, dass persönliche Ansichten oder Meinungen zwar personenbezogene Daten darstellen können, dafür jedoch stets eine Einzelfallbewertung dahingehend erforderlich ist, „ob eine Sichtweise aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“ (EuG, Urteil vom 26.4.2023 – T-557/20, Rn. 73).
Einordnung
Das EuG unterstreicht ein subjektives beziehungsweise relatives Verständnis des Personenbezuges. Dies ist zu begrüßen, da eine abstrakt-objektive Sichtweise den Anwendungsbereich des Datenschutzrechts bedenklich aufbläht und bei ernsthafter Einbeziehung der heute vorhandenen Technologie zu dem Ergebnis führen würde, dass praktisch jede Information, gegebenenfalls über mehrere Zwischenschritte, in Verbindung zu einer natürlichen Person gesetzt werden könnte und damit als personenbeziehbar zu qualifizieren wäre. Auch wenn das Urteil die Art. 3 Nr. 1 und Art. 15 Abs. 1 lit. d der Verordnung 2018/1725 zum Gegenstand hat, ist aufgrund des Gleichlaufs mit Art. 4 Nr. 1 beziehungsweise Art. 13. Abs. 1 lit. e DSGVO von einer jedenfalls vorläufigen Weichenstellung auszugehen. Aufgrund der grundsätzlichen Bedeutung wäre es begrüßenswert, dass gegen das Urteil ein Rechtsmittel beim EuGH eingelegt und die damit zusammenhängenden zentralen Fragen für die Datenwirtschaft so einer Klärung zugeführt werden.
Das Urteil enthält keine Ausführungen zu den datenschutzrechtlichen Rollen der beteiligten Akteure. Legt man jedenfalls das Verständnis zugrunde, dass die Übermittlung pseudonymer Daten, wie von Erwägungsgrund 26 S. 5 DSGVO angenommen, von der Anwendbarkeit der DSGVO ausgenommen ist, wenn für den Empfänger eben eine bloß theoretische Möglichkeit der Zusammenführung von Daten und Zusatzwissen besteht und die Daten daher als anonym gelten können, folgt daraus, dass dies unabhängig von der datenschutzrechtlichen Rollenverteilung zu gelten hat. Die bisher vor allem aus Perspektive des Verantwortlichen geführte Diskussion um die Annahme eines relativen oder absoluten Verständnisses des Personenbezuges ist somit auch für „andere[n] Personen“, wie von Erwägungsgrund 26 S. 3 DSGVO in den Blick genommen, relevant – beispielsweise im Verhältnis von Auftragnehmern zu Unterauftragnehmern. Die Bewertung der Personenbeziehbarkeit von Daten aus Perspektive von anderen Akteuren als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO dürfte mit der Entscheidung des EuG an Relevanz gewinnen, da zentraler Kritikpunkt des Gerichts an der Entscheidung des EDSB ist, dass dieser „sich auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht des Beratungsunternehmens) beschränkt hat“ (EuG, Urteil vom 26.4.2023 – T-557/20, Rn. 103).
Die Nicht-Anwendbarkeit der DSGVO im Verhältnis zwischen einem datenübermittelnden und einem datenempfangenden Akteur bedeutet zugleich, dass in Konstellationen, wie der dem Urteil zugrundeliegenden, hinsichtlich der datenschutzrechtlichen Rollenverteilung keine Auftragsverarbeitungskonstellation im Sinne von Art. 28 DSGVO oder eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO angenommen werden kann. Vielmehr sind die Daten – jedenfalls für den Empfänger – keinen datenschutzrechtlichen Restriktionen unterworfen.
Fazit
Es gilt in jedem Einzelfall zu prüfen, ob die Identifizierbarkeit natürlicher Personen für den Empfänger mit hinreichender Wahrscheinlichkeit und aufgrund der ihm zur Verfügung stehenden rechtlichen Mittel ausgeschlossen werden kann. Erst wenn dies der Fall ist, sind die sich aus dem Datenschutzrecht ergebenden Anforderungen zwischen Sender und Empfänger anonymer Daten nicht zwingend zu beachten.
Zudem muss die datenschutzrechtliche Rolle des datenübermittelnden Akteurs stets in den Blick genommen werden: ist dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO gemäß Art. 25 Abs. 1 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Datenschutzgrundsätze nach Art. 5 DSGVO zu erfüllen und die Rechte der betroffenen Person zu schützen (Buchholtz/Brauneck/Schmalhorst, NVwZ 2023, 206 (209), sollten auch dann, wenn die beteiligten Akteure zu dem Ergebnis kommen, dass übermittelte Daten für den Empfänger nicht personenbeziehbar sind, entsprechende vertragliche Regelungen vorgesehen werden, bei denen man sich zudem an dem Pflichtenkatalog des Art. 28 DSGVO orientieren kann.
HIER der Link zum Volltext des Urteils: