EuGH stärkt Datenschutz: Pseudonymisierung allein reicht nicht immer

Der Europäische Gerichtshof (EuGH) hat in einem am Donnerstag verkündeten Urteil klargestellt, dass pseudonymisierte Daten auch dann als personenbezogene Informationen gelten können, wenn sie an Dritte übermittelt werden. Die Entscheidung betrifft einen Fall zwischen dem Einheitlichen Abwicklungsausschuss (SRB), einer EU-Agentur für die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten, und dem EU-Datenschutzbeauftragten (EDSB), Wojciech Wiewiórowski. Sie dürfte weitreichende Konsequenzen für den Umgang mit Daten im digitalen Raum entfalten.

Vor der Auseinandersetzung wollte der SRB nach der Abwicklung des spanischen Finanzhauses Banco Popular Español herausfinden, ob ehemalige Anteilseigner und Gläubiger Anspruch auf Entschädigung haben. Dafür holte er in einem Anhörungsverfahren Stellungnahmen von den Betroffenen ein. Anschließend übermittelte die Behörde diese Stellungnahmen in pseudonymisierter Form an das Beratungsunternehmen Deloitte, das sie mit einer Bewertung beauftragt hatte. Mehrere Betroffene beschwerten sich daraufhin beim EDSB, weil sie nicht über die Weitergabe ihrer Daten informiert worden waren.

Wiewiórowski kam zu dem Schluss, dass der SRB seine Informationspflicht verletzt habe. Er sah Deloitte als Empfänger von personenbezogenen Daten an und verlangte, dass die Betroffenen über die Weitergabe in Kenntnis gesetzt werden. Der SRB klagte daraufhin gegen die Entscheidung des EDSB und bekam vor dem Gericht der Europäischen Union (EuG) recht. Dieses befand, die Aufsicht hätte prüfen müssen, ob die Daten auch aus Sicht von Deloitte personenbezogen seien.

Informationspflicht bei Datentransfer

Gegen dieses Urteil legte Wiewiórowski Berufung ein – und der EuGH schlug sich in der Rechtssache C-413/23 P nun auf seine Seite. Er hob das Urteil der niederen Instanz auf und verwies den Fall an diese zurück. Der Gerichtshof stützt seine Entscheidung auf drei zentrale Punkte: Er stellte klar, dass persönliche Meinungen und Ansichten, die in den Stellungnahmen ausgedrückt wurden, zwangsläufig eng mit der Person verknüpft sind. Das EuG habe sich geirrt, als es verlangte, dass der EDSB den Inhalt und Zweck der Stellungnahmen genauer prüfen müsse, um die Personenbeziehbarkeit festzustellen.

Ferner bestätigte die Berufungsinstanz, dass pseudonymisierte Daten nicht automatisch als nicht-personenbezogen gelten. Die Identifizierbarkeit hängt ihr zufolge von den jeweiligen Umständen ab. Es muss geprüft werden, ob andere Personen als der Datenverantwortliche subjektiv die betroffene Person tatsächlich identifizieren können. Der Wirtschaftsrechtler Alexander Golland interpretiert das andererseits so: Werden pseudonymisierte Daten übermittelt, handele es sich aus Sicht des Empfängers grundsätzlich um anonyme Informationen.

Wichtigster Punkt des Urteils ist, dass die maßgebliche Sichtweise für die Beurteilung der Identifizierbarkeit die des Datenverantwortlichen – hier: des SRB – zum Zeitpunkt der Datenerhebung ist. Die Informationspflicht entsteht, bevor die Daten an Dritte weitergegeben werden. Es spielt also keine Rolle, ob die Informationen für Deloitte nach der Pseudonymisierung noch personenbezogen waren. Der SRB hätte die Betroffenen bereits vor der Übermittlung über die geplante Weitergabe informieren müssen, unabhängig davon, ob diese Daten für den Empfänger noch identifizierbar waren oder nicht.

Pseudonymisierung ist nicht Anonymisierung

Das Urteil stärkt die Position des EDSB und betont, dass die Verantwortung für den Schutz personenbezogener Daten hauptsächlich beim primär Verarbeitenden liegt. Unternehmen und Behörden können sich nicht darauf berufen, dass Daten nach einer Pseudonymisierung für Dritte nicht mehr identifizierbar seien, um ihrer Informationspflicht zu entgehen. Der EuGH unterstreicht so die Wichtigkeit von Transparenz im Umgang mit Daten. Er zeigt, dass die Pseudonymisierung eine wichtige Datenschutzmaßnahme ist. Dieses technische Hilfsmittel allein reicht aber nicht aus, um die Rechte der betroffenen Personen zu wahren.

Schon 2016 entschied der EuGH auf Klage des Juristen und Aktivisten Patrick Breyer hin: Pseudonymisierte Daten – wie eine dynamische IP-Adresse – sind nicht automatisch anonym. Solange die Möglichkeit besteht, die Identität der Person durch „zusätzliche Informationen“ wiederherzustellen, bleiben die Informationen personenbezogen. Die entscheidende Frage ist, ob der Datenverantwortliche über die Mittel zur Re-Identifizierung verfügt. Dies schließt auch die Option der Zusammenarbeit mit Dritten wie Internetprovidern oder Behörden ein.

(mho)