EuG: Anonymisierende Wirkung der Pseudonymisierung
EuG: Anonymisierende Wirkung der Pseudonymisierung

EuG: Anonymisierende Wirkung der Pseudonymisierung

Was der Eine pseudonymisiert, kann für den Anderen anonym sein. So könnte man eine Entscheidung des europäischen Gerichts zusammenfassen. Die Entscheidung des EuG (Urteil vom 26. April 2023 – T‑557/20, ECLI:EU:T:2023:219) hat unser geschäftsführender Gesellschafter Rechtsanwalt Paul C. Johannes kommentiert und seine Bedeutung für die Praxis eingeordnet (Veröffentlicht als Urteilsanmerkung in RDV 4/2023, 254).

Die Leitsätze der Entscheidung können wie Folgt zusammengefasst werden:

1. Pseudonymisierte Daten, die ein Verarbeiter an einen anderen Datenempfänger übermittelt, sind keine personenbezogene Daten, wenn der Datenempfänger nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren (Rn. 94 ff).

2. Ob der Datenempfänger über die Mittel zur Re-Identifizierung verfügt, bedarf einer risikoorientierten Abwägung und Prüfung im Einzelfall (Rn. 78 ff.)

3. Persönliche Sichtweisen oder Meinungen ohne identifizierende Merkmale sind nicht grundsätzlich personenbezogene Daten. Im Einzelfall können sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sein, wodurch sie personenbezug haben können (Rn. 73).

Anmerkung
Die Entscheidung nimmt zur Frage der anonymisierenden Wirkung einer Pseudonymisierung Stellung und bejaht diese Möglichkeit im Ergebnis grundsätzlich. Das Gericht der Europäischen Union (EuG) ist ein eigenständiges europäisches Gericht, das dem Europäischen Gerichtshof (EuGH) nachgeordnet ist, und unter anderem für direkte Klagen natürlicher oder juristischer Personen gegen Maßnahmen oder Unterlassen von Maßnahmen der Gemeinschaftsorgane zuständig ist.

Die Entscheidung ergeht zu einer Entscheidung des europäischen Datenschutzbeauftragten (EDSB) gegen eine europäische Behörde. Rechtsentscheidend sind daher hauptsächlich Bestimmungen der Verordnung (EU) 2018/1725, die nach deren Art. 2 Abs.1 für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union gilt. Sie geht als speziellere Norm der DS-GVO vor und ersetzt die dort noch in Art. 2 Abs. 3 genannte Verordnung (EG) Nr. 45/2001. Die DS-GVO sieht ihrerseits die Anpassung der Verordnung (EG) Nr. 45/2001 vor, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten.

Das Konzept der anonymisierenden Wirkung der Pseudonymisierung verbreitet in der Praxis mitunter große Unsicherheit. Dies folgt aus der Komplexität der Konstruktion und dem seit langem bestehendem Streit um das Konzept an sich. Bezogen auf die anonymisierende Wirkung der Pseudonymisierung bestehen wirksame Instrumente in Form von technischen und organisatorischen Maßnahmen, um die verbleibenden Risiken zu adressieren können. Auch im Kontext der Anonymisierung geht es nicht um eine Reduktion bestehender Risiken auf null. Ein Restrisiko der Re-Identifizierung besteht hier wie da, insbesondere mit Blick auf möglicherweise in der Zukunft entstehende Auswertungsmethoden (Johannes/Geminn, MedR 2023, 368, 372). Bisher finden sich in der Judikatur nur wenig vergleichbaren Fälle oder Entscheidungen, die im Anwendungsbereich der DS-GVO spielen (vgl. z.B. VG Hamburg, ZD 2023, 300 m. Anm. Petri). Es ist davon auszugehen, dass sich das zukünftig ändern wird, da die Weitergabe von pseudonymisierten Daten ein verbreitetes Phänomen der Datenwirtschaft ist und sich nicht alle diese Weitergaben durch eine Auftragsverarbeitung lösen lassen können. Die vorliegende Entscheidung des EuG gibt einen Hinweis darauf, wie diese Konstellationen zu bewerten sind: Nicht mittels pauschalierter Bewertungen, sondern durch einzelfallbezogene Prüfungen und Risikobewertungen.

Zwar nimmt die Entscheidung nicht direkt zu Bestimmungen der DS-GVO Stellung, sie ist dennoch inhaltlich von Bedeutung, da die streitentscheidenden Normen der Verordnung (EU) 2018/1725 wortgleich zu den entsprechenden Normen der DS-GVO sind. Ohnehin diente die DS-GVO der Verordnung (EU) 2018/1725 in Inhalt und Wortlaut als Vorbild, was eine reibungslose parallele Anwendung der Normen ermöglichen sollte (Erwägungsgrund 4 VO 2018/1725). Insbesondere wortgleich sind die Begriffsdefinitionen „personenbezogene Daten in Art. 3 Nr. 1 VO 2018/1725 respektive Art. 4 Nr. 1 DS-GVO und „Pseudonymisierung“ in Art. 3 Nr. 6 VO 2018/1725 respektive Art. 4 Nr. 5 DS-GVO. Wortgleich sind auch Erwägungsgrund 16 VO 2018/1725 und Erwägungsgrund 26 DS-GVO, die die Relativität des Personenbezugs betreffen und klarstellen, dass die jeweiligen Verordnungen keine anonymen Daten betreffen.

Die Entscheidung setzt sich auch ausführlich mit der Breyer-Entscheidung des EuGH auseinander (ECLI:EU:C:2016:779), die wesentliche Hinweise für die grundrechtskonforme Auslegung von unionalen Datenschutzbestimmungen enthält und auch zum Begriff des Personenbezugs Stellung nimmt [Rn. 88 ff.]. Auch wenn sich jenes Urteil noch auf die Datenschutz-Richtlinie (RL 1995/46/EG – DS-RL) bezog, haben die dort getroffenen Erwägungen Gewicht, insbesondere weil die Definition in Art. 2 lit. a DS-RL sowie Erwägungsgrund 26 fast wortgleich in die DSGVO respektive die VO 2018/1725 übernommen worden sind.

Zu beachten ist jedoch, dass der europäische Datenschutzbeauftragte am 5. Juli 2023 Rechtsmittel gegen das Urteil des EuG beim EuGH eingelegt hat (dort Rechtssache C-413/23 P). Er macht geltend, dass der EuG Art. 3 Nrn. 1 und 6 der Verordnung (EU) 2018/1725 (1), wie er durch die Rechtsprechung des Gerichtshofs ausgelegt werde, fehlerhaft ausgelegt habe, da der EDSB selbst prüfen sollte, ob es sich bei den in dieser Rechtssache in Rede stehenden Informationen aus Empfängersicht um persönliche Daten handele, und da der Begriff Pseudonymisierung nicht berücksichtigt worden sei. Außerdem habe der EuG Art. 4 Abs. 2 und Art. 26 Abs. 1 der Verordnung 2018/1725 fehlerhaft ausgelegt, da das Gericht den Grundsatz der Rechenschaftspflicht außer Acht gelassen und festgestellt habe, dass der EDSB hätte nachweisen müssen, dass der SRB die von ihm verarbeiteten Daten tatsächlich anonymisiert habe. Es bleibt abzuwarten, ob und inwieweit der EuGH die Entscheidung des aufhebt, bestätigt oder konkretisiert. .