Dr. Sebastian Kraska

80331, München
15.05.2023

Personenbezug pseudonymisierter Daten

Das Europäische Gericht (EuG), die gerichtliche Vorinstanz des Europäischen Gerichtshofs (EuGH), hat am 26. April 2023 in einem Rechtsstreit nach Art. 263 AEUV u.a. entschieden, dass es für die Frage, ob pseudonymisierte Daten bei einer Übermittlung unter den Begriff „personenbezogene Daten“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 fallen, darauf ankommt, ob dem Empfänger eine Re-Identifizierung möglich ist.

EuGH: „Breyer-Urteil“ – IP-Adresse als personenbezogenes Datum

Doch der Reihe nach: In seinem für den Schutz personenbezogener Daten grundlegenden Urteil vom 19. Oktober 2016 (C-582/14) hat sich der EuGH mit der Frage befasst, inwieweit eine dynamische Internetprotokoll-Adresse („IP-Adresse“) als „personenbezogenes Datum“ klassifiziert werden könne, obwohl es zur Identifizierung des Nutzers bestimmter Zusatzinformationen benötige, die lediglich dem Internetzugangsanbieter vorliegen, nicht dem Online-Mediendienst.

Der Umstand, dass der Anbieter von Online-Mediendiensten nicht über die zur Identifizierung des Nutzers einer Webseite erforderlichen Zusatzinformationen verfügt, schließt nicht aus, dass die gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten darstellen. Es ist im Zuge dessen jedoch zu prüfen, ob die Abfrage zusätzlicher Informationen vernünftigerweise erfolgen könne. Dies ist mit Blick auf potenzielle Cyberattacken zu bejahen, so dass letztlich festzuhalten ist, dass eine von einem Webseitenbetreiber gespeicherte dynamische IP-Adresse als personenbezogenes Datum zu qualifizieren ist.

EuG: Übermittlung pseudonymisierter Daten

Im vorliegenden Fall wurde der Beschwerdeführer (dem „Single Resolution Board“, kurz „SRB“) vom Europäischen Datenschutzbeauftragten („EDSB“) beschuldigt, personenbezogene Daten an Dritte weitergegeben zu haben, ohne zuvor ausreichend darüber zu informieren.

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten (…) Informationen (…) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten [mit].“ (Art 15 Abs. 1 lit. d der Verordnung 2018/1725)

Das SRB machte gegenüber dem EDSB zunächst geltend, es handle sich bei der Übermittlung nicht um personenbezogene Daten, was dieser zurückwies, indem er vortrug, dass pseudonymisierte Daten nicht aus dem Anwendungsbereich datenschutzrechtlicher Regelungen fielen. Das SRB erhob daraufhin Klage vor dem EuG.

Legaldefinition personenbezogener Daten

„[Für die Zwecke dieser Verordnung bezeichnet der Ausdruck] „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (…) identifiziert werden kann;“ (Art. 3 Nr. 1 der Verordnung 2018/1725)

Zwar bezog sich dieses Urteil auf die „Verordnung (EU) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Organe, Einrichtungen und sonstigen Stellen der Union“, jedoch ist diese in ihrer Definition von personenbezogenen Daten wortgleich zu Art. 4 Nr. 1 der Datenschutzgrundverordnung. Ebenfalls identisch ist in den Erwägungsgründen (in diesem Falle Nr. 16 anstatt Nr. 26 in der Datenschutzgrundverordnung):

„Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren (…).“

Das Gericht hat nun – ausgehend von der Legaldefinition – zu prüfen, ob sich die vom SRB übermittelten Informationen auf eine „bestimmte oder bestimmbare“ natürliche Person beziehen.

Sofern die übermittelten Informationen nicht allein eine Rückidentifizierung ermöglichen, kommt es darauf an, ob unter Berücksichtigung aller Mittel, die vernünftigerweise eingesetzt werden könnten, die direkte oder indirekte Identifizierung einer natürlichen Person möglich ist. Wichtig sei dabei, dass es auf die Sicht des Empfängers ankomme, nicht auf die Sicht des SRB.

Aus Sicht des EuG kommen für diesen jedoch keine Mittel in Betracht, die zu einer – vom EDSB zu Unrecht nicht berücksichtigten – Abfrage weiterer erforderlicher Informationen führen, so dass die übermittelten Informationen zwar nur pseudonymisiert, aber mangels Personenbezug dennoch nicht vom Anwendungsbereich der datenschutzrechtlichen Regelungen erfasst sind.

Absoluter versus relativer Anonymisierungsbegriff

Das EuG folgt mit seiner Entscheidung der Auffassung, dass es für den Personenbezug allein auf den Horizont des Datenhaltenden ankäme und nicht auf darüber hinausgehende generelle Re-Identifikationsmöglichkeiten.

Diese Überlegungen wurden bereits von der aktuellen Bundesregierung im Koalitionsvertrag von 2021 festgehalten, der davon sprach, dass nicht jede Re-Identifizierung ausgeschlossen werden dürfe, um eine Anonymisierung zu erreichen.

In einem Kurzbericht für den beck-Verlag zeigt Dr. Axel Spieß zudem weitere mögliche Konsequenzen eines solchen Urteils auf: Haben Trainingsdaten von Anwendungen künstlicher Intelligenz nach dieser Entscheidung tatsächlich noch einen Personenbezug?

Sollte diese Entscheidung nicht durch den EuGH als nächsthöhere Instanz verworfen werden, fänden sich deutlich mehr Anwendungsmöglichkeiten zum datenschutzkonformen Transfer personenbezogener Daten.

Wie beispielsweise ein solcher Weg aussehen könnte, haben wir in unserem Datenschutzpatent zur datenschutzkonformen Ereignis-Analyse dargestellt, die sich ebenfalls auf einen relativen Personenbezug beruht und den Zugriff auf die zur Identifikation notwendigen Zusatzinformationen technisch verhindert.

Fazit: Einfachere Handhabe für die Praxis

Wie es Andreas Lewald von Härting in seinem Bericht anschaulich darstellt, ist das Urteil insofern zu begrüßen, als es den Anwendungsbereich des Datenschutzrechts nicht unnötig so weit aufbläht, dass nahezu jede Information in den Anwendungsbereich des Datenschutzrechts fiele.

Wie bereits angedeutet, ist das letzte Wort in dieser Frage jedoch noch nicht gesprochen: Die Rechtsauffassung des EuGH könnte deutlich anders ausfallen. Außerdem wird noch in diesem Jahr ein Arbeitspapier des Europäischen Datenschutzausschusses („EDSA“) erwartet.

Wer nicht so lange warten möchte, sei im Übrigen auf die Veröffentlichungen der Stiftung Datenschutz zu diesem Thema hingewiesen.

Der Beitrag Personenbezug pseudonymisierter Daten erschien zuerst auf Das Datenschutz-Blog.