Das EuGH-Urteil in der Rechtssache EDSB vs. SRB (Rs. C‑413/23 P) und dessen Folgen für die Rechtsanwendung werden derzeit zu Recht kontrovers diskutiert. In dem Urteil geht es zwar um Bestimmungen aus der Verordnung 2018/1725, die für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Der EuGH hat aber ausdrücklich entschieden, dass der Begriff „personenbezogene Daten“ in dieser Verordnung und der DSGVO und der nicht mehr gültigen Richtlinie 95/46 EG identisch auszulegen ist (Rn. 52). Das Urteil ist für Unternehmen und mitgliedstaatliche Behörden gleichermaßen bedeutsam.

Das zuvor vom EuG gefällte Urteil, wurde vom EuGH aufgehoben (Rn. 118). Die Entscheidung vom EuGH ist mindestens in Bezug auf die Aussagen zu den Informationspflichten final (das EuG wird hierzu nicht noch einmal entscheiden; siehe Rn. 120). Der EuGH hat im Wesentlich entschieden, dass für einen Verantwortlichen personenbezogene, pseudonyme Daten zugleich für einen anderen Empfänger anonym sein können. Das ist zumindest in der Ausdrücklichkeit eine Neuheit in der EuGH-Rechtsprechung. Interessanterweise muss der Verantwortliche in solchen Fällen trotzdem in Datenschutzhinweisen den Empfänger der pseudonymisierten Daten angeben, obwohl die Daten für den Empfänger anonym sind. In der Praxis stellt sich jetzt u.a. die Frage, ob trotzdem Auftragsverarbeitungsvereinbarungen abzuschließen sind, wenn die Daten für den Empfänger anonym sind. Im Folgenden wird diese Frage beantwortet und es werden weitere Folgen für die Praxis und Konstellationen erläutert, in denen Pseudonyme für einen Empfänger anonym sein können.

Zum Personenbezug und der möglichen Anonymität von Pseudonymen

Das Urteil ist nicht lediglich neuer Wein in alten Schläuchen. Es ist nicht von der Hand zu weisen, dass einige Aussagen zur möglichen Anonymität von Pseudonymen fast schon bahnbrechend wirken. Während Pseudonyme für einen die Pseudonymisierung durchführenden Verantwortlichen, der noch über die „zusätzlichen Informationen“ i.S.v. Art. 4 Nr. 5 DSGVO verfügt, immer personenbezogen bleiben (siehe Rn. 76, 86 und 87), sind Pseudonyme nicht auch immer automatisch für die Empfänger personenbezogen. Pseudonyme müssen grundsätzlich auch anonyme Daten sein können, weil man sonst vollkommen außer Acht lassen würde, dass personenbezogene Daten sich zwar auf einen Menschen beziehen müssen, dieser Menschen aber auch gleichzeitig identifiziert oder zumindest identifizierbar sein muss (bspw. Rn. 79, 80 und 82). Für die Identifizierbarkeit ist eben maßgeblich, ob der Verantwortliche oder eine andere Person über nach allgemeinem Ermessen wahrscheinlich verwendete Mittel für die Identifizierung verfügen.

Unter den folgenden Voraussetzungen sind im Einklang mit dem neuen Urteil die von einem Verantwortlichen pseudonymisierten (personenbezogenen) Daten für den Empfänger dieser Daten keine personenbezogenen Daten:

• Option 1a: Es gibt technische und organisatorische Maßnahmen, die tatsächlich eine Zuordnung der Pseudonyme zu einer identifizierten oder identifizierbaren natürlichen Person wirksam verhindern, und der Empfänger ist nicht in der Lage, diese technischen und organisatorischen Maßnahmen aufzuheben (Rn. 77)
• Option 2a: Es ist für den Empfänger gesetzlich verboten oder praktisch nicht durchführbar (z.B. wegen eines unverhältnismäßigen Aufwands an Zeit, Kosten und Arbeitskraft), die Pseudonyme mit den natürlichen Personen in Verbindung zu bringen, obwohl dies theoretisch für den Empfänger machbar wäre (Rn. 82)

In den folgenden Fällen sind im Einklang mit dem EuGH-Urteil Pseudonyme doch personenbezogene Daten:

• Option 1b: Durch Abgleich mit anderen, im Internet (oder anderweitig öffentlich) verfügbaren Informationen ist es möglich herauszufinden, auf wen sich pseudonymisierte Daten (bspw. Aussagen in einer Pressemitteilung ohne namentliche Erwähnung) beziehen (Rn. 81)
• Option 2b: Ein Akteur verfügt über rechtliche Möglichkeiten, von Dritten (bspw. zuständige Behörden, Internetzugangsanbieter oder Mitglieder eines Verbands) zusätzliche Informationen zu verlangen, die eine Identifizierung der natürlichen Personen erlauben (Rn. 83) – das ist u.a. der Fall, wenn ein Gesetz dem Verantwortlichen so ein Recht einräumt (bspw. Möglichkeit zur Kontaktaufnahme mit der zuständigen Behörde, die von einem anderen Dritten Informationen erlangen kann) oder dem Verantwortlichen ein solches Recht vertraglich zusteht (bspw. im Fall von IAB Europe gegenüber den Mitgliedern des Verbands)
• Option 3b: Ein über für ihn anonyme Pseudonyme verfügender Verantwortlicher überlässt die Pseudonyme einem Dritten, der jedoch wiederum über Informationen verfügt, mit denen die Zuordnung von Pseudonymen zu natürlichen Personen theoretisch möglich ist (Rn. 84 und 85) – in dem Fall sind die Pseudonyme für den Verantwortlichen (trotz der Anonymität vor der Weitergabe) und den Dritten ab der Weitergabe durch den Verantwortlichen gleichermaßen personenbezogene Daten
• Option 4b: Ein über für ihn anonyme Pseudonyme verfügender Verantwortlicher überlässt die Pseudonyme einem Dritten und es kann nicht ausgeschlossen werden, dass der Dritte in der Lage ist, die Pseudonyme einer natürlichen Person zuzuordnen (bspw. durch einen Abgleich mit anderen zur Verfügung stehenden Daten) – in dem Fall sind sowohl die Bereitstellung der Pseudonyme an den Dritten und die nachgelagerte Verarbeitung der Pseudonyme durch den Dritten eine Verarbeitung personenbezogener Daten (Rn. 85)

Der EuGH hat auch die besondere Natur von Sichtweisen und Meinungen von Menschen hervorgehoben. Diese sind immer zwangsläufig mit der diese Sichtweisen oder Meinungen äußernden natürlichen Person eng verknüpft. Diese Daten „beziehen“ sich immer auf eine natürliche Person. Bei Sichtweisen und Meinungen muss für das Vorliegen von personenbezogenen Daten nicht geprüft werden, ob die Informationen sich auf eine natürliche Person „beziehen“, sondern es kommt nach Rn. 58 bis 60 und 80 nur darauf an, ob die natürlichen Personen identifiziert oder identifizierbar (in dem Fall sind es personenbezogene Daten) oder nicht einmal identifizierbar sind (in dem Fall sind es keine personenbezogenen Daten).

Zu Informationspflichten

Im Urteil geht es nicht nur um den Personenbezug. Der Gerichtshof hat auch ausdrücklich entschieden, welche Folgen sich für die Informationspflichten (unter der DSGVO nach Art. 13 DSGVO) ergeben, wenn Pseudonyme für den Empfänger anonym sind. In dem Kontext stellt sich die Frage, ob der die Daten erhebende Verantwortliche über einen Empfänger informieren muss, wenn die Daten für den Empfänger anonym sind. Der EuGH hat entschieden, dass es für die Zwecke der Informationspflichten bei der Direkterhebung ausschließlich darauf ankommt, ob die Daten für den die Erhebung durchführenden Verantwortlichen personenbezogen sind (Rn. 111 bis 113). Der Gerichtshof begründet dies vor allem damit, dass die Informationspflicht zum Zeitpunkt der Erhebung sofort und deswegen stets vor einer Weitergabe an Dritte besteht (Rn. 110 und 114) und durch das Verhältnis zwischen Verantwortlichen und betroffenen Personen geprägt ist (Rn. 109, 110 und 114). Unternehmen müssen also auch solche Stellen als Empfänger in Datenschutzhinweisen benennen, für welche die empfangenen Daten an sich gar keinen Personenbezug haben, wenn die weitergegebenen Daten für den Verantwortlichen bei der Erhebung personenbezogen sind.

Dieses Szenario kann man aber auch einem umgekehrten Blickwinkel betrachten: Würde ein Fall vorliegen, bei dem die Daten bei der Erhebung noch anonym waren (Option 3b und 4b), und diese Daten würden erst nachgelagert wegen einer Weitergabe an Dritte personenbezogen werden, dann greift die Informationspflicht bei der Erhebung nicht. Zu dem Zeitpunkt waren die Daten noch anonym und die DSGVO war in der Gänze nicht anwendbar. Das ändert sich erst mit der Weitergabe an den Dritten, der über zusätzliche Informationen verfügt, die für die Zuordnung der Pseudonyme zu natürlichen Personen notwendig sind. In so einem Fall muss der Empfänger der Daten erst nach Art. 14 DSGVO informieren und als Quelle die Stelle benennen, welche die Daten ursprünglich anonym erhoben hatte. Es besteht dann aber keine Informationspflicht nach Art. 13 DSGVO. Der EuGH ist ausdrücklich der Ansicht, dass die Erfüllung der Informationspflichten bei der Direkterhebung voraussetzt, dass die betroffenen Personen für die der Informationspflicht unterliegenden Stelle identifizierbar sind (Rn. 89). Deswegen wird man bspw. in Zukunft mit noch schlagkräftigeren Argumenten als zuvor vertreten können, dass mit Dashcams ausgestattete Fahrzeuge keine Aufkleber oder QR-Codes o.ä. mit Informationen nach Art. 13 DSGVO benötigen (bspw. anders noch die DSK hier und der LfD Niedersachsen hier). Schließlich können die Fahrer die Halter der vorbeifahrenden Fahrzeuge und vorbeilaufenden Personen nicht identifizieren.

Unter Verweis auf die Entscheidung in der Rs. C‑154/21 (dort in Rn. 36) wird häufiger vertreten, dass in Datenschutzhinweisen auch die Benennung von Empfängerkategorien ausreicht, während bei einem Auskunftsersuchen die konkreten Empfänger mitzuteilen sind. Aus dem neuen Urteil wird nicht direkt erkennbar, ob Deloitte an sich als Empfänger hätte in Datenschutzhinweisen benannt werden müssen oder ob eine zu Deloitte passende Empfängerkategorie auch ausgereicht hätte. Die Aussagen in Rn. 111 lassen zumindest vermuten, dass der EDSB wohl eine ausdrückliche Benennung von Deloitte als Empfänger verlangt hat.

Der EuGH schreibt der Benennung des Empfängers in Rn. 109 zwei unterschiedliche Funktionen zu: i) Verteidigung der Rechte des Betroffenen gegenüber dem Empfänger und ii) die Intervenierbarkeit des Betroffenen (auf Basis der Informationen aus Datenschutzhinweisen) vor dem Erfolgen einer Datenweitergabe an einen Empfänger. Der EuGH geht wegen der Verwendung von „insbesondere“ in Rn. 109 wohl davon aus, dass ii) die Hauptfunktion und i) eher eine Nebenfunktion ist. Für die Intervenierbarkeit ist demzufolge das zeitliche Element (Informationserteilung zum Zeitpunkt der Erhebung) besonders relevant, sofern der Betroffene unabhängig von dem konkreten Empfänger intervenieren wollen würde. Unter Verweis auf die herausgehobene Relevanz der zeitlichen Komponente könnte man dafür argumentieren, dass weiterhin die Benennung von Empfängerkategorien ausreichen kann. Genauso wird man aber auch dagegen argumentieren können, weil es für das Treffen der Entscheidung zum Intervenieren und die Funktion i) auch auf den konkreten Empfänger ankommen könnte. Diesbezüglich besteht nach dem neuen Urteil insgesamt nicht wirklich mehr Klarheit als zuvor.

Zur Pflicht zum Abschluss einer Auftragsverarbeitungsvereinbarung

Eine weitere, sehr praxisrelevante Frage ist, ob zwischen einem Verantwortlichen, der für ihn personenbezogene Pseudonyme an einen Dienstleister (der bei Anwendbarkeit der DSGVO ggf. ein Auftragsverarbeiter wäre) weitergibt, und dem Dienstleister in jedem Fall ein Auftragsverarbeitungsvereinbarung nach Art. 28 DGSVO abgeschlossen werden muss. Analog zur Informationspflicht ist als erstes festzustellen, dass die Daten für den Verantwortlichen personenbezogen sind und die DSGVO für ihn in Gänze gilt. Allerdings ist ein Akteur, der nur anonyme Daten verarbeitet, wohl gar kein Auftragsverarbeiter, weil ein Auftragsverarbeiter gemäß der Definition aus Art. 4 Nr. 8 DSGVO „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Wenn der Empfänger der Pseudonyme aber aus eigener Perspektive betrachtet keine personenbezogenen Daten verarbeitet, kann eigentlich auch keine Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen erfolgen. Schließlich ist die DSGVO dann für den Auftragsverarbeiter nicht anwendbar.

Die Datenschutzbehörden haben in der Vergangenheit nachvollziehbarerweise immer betont, dass die Pflicht zum Abschluss einer Auftragsverarbeitungsvereinbarung sowohl den Verantwortlichen als auch den Auftragsverarbeiter gleichermaßen adressiert (siehe etwa hier in Rn. 103). Wenn der „unechte“ Auftragsverarbeiter jedoch nicht der DSGVO unterfällt, dann wird man von diesem nicht verlangen können, dass er eine Auftragsverarbeitungsvereinbarung abschließt (siehe auch Rn. 89 und Rn. 58 der Schlussanträge). Dasselbe gilt ebenfalls aus Perspektive des Verantwortlichen. Wenn der „unechte“ Auftragsverarbeiter unter Verweis auf die für ihn nicht geltende DSGVO keine Vereinbarung abschließt, dann ist es für den Verantwortlichen schließlich in gewisser Weise unmöglich, mit so einem Akteur eine Vereinbarung nach Art. 28 Abs. 3 DSGVO abzuschließen. Der EuGH geht zumindest in Bezug auf die Informationspflichten von einer Art Unmöglichkeit der Pflichtenerfüllung aus. Das könnte man auf die Pflichten aus Art. 28 DSGVO und wohl auch weitere DSGVO-Vorgaben übertragen. Außerdem könnte der Verantwortliche auch mit dem allgemeinen Rechtsgrundsatz des Unionsrechts „impossibilium nulla obligatio est“ argumentieren (siehe zu dem Grundsatz beispielhaft das EuG-Urteil hier in Rn. 79), wenn der unechte Auftragsverarbeiter nicht der DSGVO unterfällt.

Nach dem Urteil gibt es jedenfalls neue Argumente dafür, dass insgesamt betrachtet in weniger Fällen eine Auftragsverarbeitungsvereinbarung abzuschließen ist. Wenn bspw. die Daten vom Verantwortlichen stark verschlüsselt werden und diese Daten in verschlüsselter Form an einen Dienstleister weitergegeben werden (bspw. für die Speicherung und Bereitstellung der verschlüsselten Daten), dann wird man häufig von für den Dienstleister anonymen Daten ausgehen können. In dem Fall kann man nun gut begründet argumentieren, dass der Abschluss einer Auftragsverarbeitungsvereinbarung nicht verpflichtend ist. Etwas anderes würde gelten, wenn der Dienstleister die Daten erst selbst verschlüsseln würde, denn dann sind die Daten in jedem Fall mindestens vor der Verschlüsselung für den Auftragsverarbeiter ebenfalls noch personenbezogen.

In der Praxis wird es in Zukunft wichtig sein, Dienstleister vertraglich dazu zu verpflichten, technische und organisatorische Maßnahmen zu ergreifen, die tatsächlich eine Zuordnung der Pseudonyme zu einer identifizierten oder identifizierbaren natürlichen Person wirksam verhindern. In dem Fall sollte der Verantwortliche dokumentiert geprüft haben, wieso die Daten für den Empfänger anonym sind, und dies mit Nachweisen (bspw. durch Testate oder Zertifikate zu unabhängigen Audits) für die vom Dienstleister ergriffenen technischen und organisatorischen Maßnahmen auch ein Stück weit belegen können. Außerdem ist es denkbar, dass ein Dienstleister objektiv nachvollziehbar nachweist, dass eine Zuordnung der Pseudonyme zu einer identifizierten oder identifizierbaren natürlichen Person bspw. wegen eines unverhältnismäßigen Aufwands an Zeit, Kosten und Arbeitskraft praktisch nicht durchführbar ist. Auch hier ist es aus Sicht des der DSGVO weiterhin unterliegenden Verantwortlichen wichtig, die selbst vorgenommene Prüfung zu dokumentieren und die Aussagen des Dienstleisters ein Stück weit belegen zu können.

Relevanz der datenschutzrechtlichen Rollen für den Personenbezug aus Sicht des Empfängers

Im EuGH-Urteil wird nicht erwähnt, ob es für den Personenbezug einen Unterschied macht, ob entweder ein Auftragsverarbeiter oder ein getrennter oder gemeinsam Verantwortlicher der Empfänger von Pseudonymen ist. Aus dem EuGH-Urteil wird erkennbar, dass der EDSB davon ausgegangen war, dass Deloitte als Auftragsverarbeiter und nicht als Verantwortlicher agiert (Rn. 93). In Rn. 13 des EuGH-Urteils wird beschrieben, dass Deloitte mit der in Art. 20 Abs. 16 bis Abs. 18 der SRM-Verordnung vorgesehenen Bewertung beauftragt wurde. In Art. 20 Abs. 16 SRM-Verordnung wird geregelt, dass diese Bewertung durch „eine unabhängige Person“ vorgenommen wird. In Art. 20 Abs. 16 SRM-Verordnung wird auf die Bewertung nach „Abs. 1“ verwiesen, die wiederum von einer von „dem betroffenen Unternehmen unabhängige(n) Person“ vorgenommen wird. Das spricht neben dem Umstand, dass Deloitte eine Wirtschaftsprüfungsgesellschaft ist, für eine selbständige Verantwortlichkeit von Deloitte für etwaige Verarbeitungen personenbezogener Daten. Der EuGH verwendet jedoch im gesamten Urteil konsequent den Begriff des Dritten, ohne auf die datenschutzrechtliche Rolle von Deloitte abzustellen. Es ist daher gut denkbar, dass es überhaupt nicht auf die datenschutzrechtliche Rolle des Empfängers ankommt. Wenn die Daten aus Perspektive des Empfängers anonym sind, dann agiert so ein Empfänger eigentlich auch in gar keiner datenschutzrechtlichen Rolle , weil die DSGVO für den Empfänger schließlich nicht anwendbar ist.

Zusammenfassung der Folgen des Urteils

Obwohl das Urteil mitunter nur als neuer Wein in alten Schläuchen abgetan wird, haben die vorstehenden Erläuterungen gezeigt, dass die Entscheidung neue Erkenntnisse enthält, die auch in der Praxis einen Unterschied machen können. Schon der Umstand, dass Pseudonyme für einen Akteur personenbezogen und für einen Empfänger der Daten anonym sein können, war in der Deutlichkeit vorher nicht geklärt. Für die Rechtsanwendung ist ebenfalls relevant, dass Verantwortliche auch dann über Empfänger informieren müssen, wenn die Daten aus Sicht des Empfängers anonym sind. Außerdem gibt es nun (bspw. im Falle einer durch einen Dienstleister vorgenommenen verschlüsselten Aufbewahrung von Backups) mehr Argumentationsspielraum gegen die Notwendigkeit, immer eine Auftragsverarbeitungsvereinbarung abzuschließen. Gleichzeitig rücken andere vertragliche Abreden zu technischen und organisatorischen Maßnahmen in den Fokus, die eine Anonymität aus Perspektive des Empfängers auch wirksam sicherstellen. Dass die Erfüllung der Informationspflichten bei der Direkterhebung eine Identifizierbarkeit der betroffenen Personen voraussetzt, dürfte wohl auch überraschen und eventuell sogar noch zu weitreichenden Folgen für andere DSGVO-Pflichten führen.