Das Gericht der Europäischen Union (EuG) -vormals Gericht erster Instanz, (nicht der Europäischen Gerichtshof (EuGH)) erließ am 26.April 2023 in der Rechtssache Einheitlicher Abwicklungsausschuss (Single Resolution Board, nachfolgend „SRB“) gegen den Europäischen Datenschutzbeauftragten („EDSB“) ein Urteil (Az: T-557/20).
Das Gericht judizierte, dass pseudonymisierte Daten, die an einen Empfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Datenempfänger nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren.
Gegenstand des Verfahrens
Der einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) ist die Abwicklungsbehörde für bedeutende Banken und andere grenzüberschreitende Gruppen innerhalb der europäischen Bankenunion.
Der Entscheidung lag eine Klage des SRB zugrunde. Der SRB nutzte ein elektronisches Formular, mit dem Interessenten ihre Ansichten/Meinungen äußern konnten und leitete die erhaltenen Antworten an eine Beratungsfirma weiter.
Vor der Weitergabe der Antworten ersetzte der SRB den Namen jedes Antwortenden durch eine 33 stellige eindeutige Identifikationsnummer.
Nach einer Reihe von Beschwerden entschied der Europäische Datenschutzbeauftragte, dass es sich bei diesen Daten lediglich um pseudonymisierte Daten handele, die als personenbezogene Daten gemäß DSGVO gelten. Diese habe der SRB ohne Datenschutzinformation an die betroffenen Personen gem. Art 13 DSGVO weitergegeben.
Der SRB betrachtete seinerseits die Bereitstellung dieser Information als nicht erforderlich, da die übermittelten Daten seiner Ansicht nach anonymisiert waren und daher für den Datenempfänger nicht als personenbezogene Daten betrachtet werden konnten.
Anonym oder Pseudonym
Das Europäische Gericht entschied, dass übermittelte Daten beim Empfänger dann nicht als personenbezogene Daten betrachtet werden könnten, wenn der Datenempfänger nicht die Möglichkeit hat, die betroffenen Personen zu identifizieren. Sofern der Datenempfänger weder über zusätzliche Informationen verfüge, die es ihm ermöglichen, die betroffenen Personen wieder zu identifizieren, noch rechtliche Mittel habe, um auf solche Informationen zuzugreifen, könnten die übermittelten Daten nicht mehr nur als pseudonymisiert gelten, sondern müssten vielmehr als anonymisiert betrachtet werden. Sie fallen in diesem Fall nicht unter die Kategorie personenbezogener Daten. Die Tatsache, dass der Datenübermittler über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt, ist irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind.
Das Gericht stellte ferner fest, dass persönliche Ansichten oder Meinungen zwar personenbezogene Daten darstellen können, dies aber nicht generell gilt. Stattdessen ist eine Einzelfallbewertung erforderlich, “die auf der Prüfung der Frage beruht, ob eine Ansicht aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person verbunden ist”.
Fazit
Die Abgrenzung zwischen pseudonymisierten und anonymisierten Daten spielt in der Praxis eine große Rolle, da nur anonymisierte Daten nicht unter den Anwendungsfall der DSGVO fallen. Bei einer Anonymisierung muss eine erhebliche Sorgfalt darauf verwenden werden, um der Rechenschaftspflicht zu genügen: Alle Entscheidungen zur Annahme einer Anonymisierung sollten dokumentiert und begründet werden. Darüber hinaus sollten im Rahmen des Datenschutzmanagements Leitlinien zur Prüfung und Umsetzung von Anonymisierungen etabliert sein.
Weitere Informationen/Quellen: