News
Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten
Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.
Die Entscheidung hat, auch wenn sie nicht direkt zur DSGVO, sondern der entsprechenden Verordnung zum Datenschutz bei EU-Institutionen ergangen ist, insbesondere für solche Fälle Praxisrelevanz, in denen Dienstleistern oder anderen Stellen nur pseudonymisierte Daten zur Verfügung gestellt werden.
Hintergrund
Die Verordnung (EU) 2018/1725 gilt für die Datenverarbeitung durch die Organe und Einrichtungen der Union (Art. 1 Abs. 1 und 2 Verordnung (EU) 2018/1725). Es handelt sich hierbei also um eine speziellere Verordnung, die abweichend von der allgemeineren DSGVO, gesondert die Verarbeitung personenbezogener Daten durch EU-Institutionen schützt (siehe auch Art. 2 Abs. 3 S. 1 DSGVO). Inhaltlich sind beide Verordnungen jedoch sehr ähnlich und zum Teil enthalten sie deckungsgleiche Regelungen.
Das EuG entschied im vorliegenden Fall über die Anwendung dieser spezielleren Verordnung. Zwar hat das EuG damit nicht konkret über Fragen der Personenbeziehbarkeit pseudonymisierter Daten nach der DSGVO entschieden. Jedoch handelt es sich, wie vorstehend erläutert, bei der Verordnung (EU) 2018/1725 um eine „der DSGVO verwandte Verordnung“, weshalb die Entscheidung auch in Bezug auf die DSGVO von einer gewissen Relevanz ist.
Sachverhalt
Der Europäische Datenschutzbeauftragte (EDSB) entschied auf Grundlage der Verordnung (EU) 2018/1725, dass der sog. Einheitliche Abwicklungsausschuss (SRB), ein Gremium zur Abwicklung von insolvenzbedrohten Finanzinstituten, personenbezogene Daten unrechtmäßig an Dritte übermittelt habe.
Dieser Entscheidung lag die Situation zugrunde, dass der SRB im Rahmen der Abwicklung eines Bankinstituts pseudonymisierte Daten an ein Beratungsunternehmen übermittelte.
Diese Pseudonymisierung fand wie folgt statt: In einer ersten Phase konnten sich Anteilseigner (der Bank) mit ihren Identitätsnachweisen beim SRB registrieren und eine Stellungnahme zur vorläufigen Entscheidung des SRB abgeben. In der darauffolgenden Konsultationsphase verglichen, ordneten und gewichteten Mitarbeiter die eingereichten Stellungnahmen. Während dieser Konsultationsphase enthielten die von den Anteilseignern eingereichten Stellungnahmen jedoch nur noch eine alphanumerische 33-stellige Identifikationsnummer. Die Mitarbeiter, die die Stellungnahmen verglichen, ordneten und gewichteten, konnten die Anteilseigner also nicht anhand ihrer konkreten Identifikationsnachweise identifizieren. Ein nicht näher relevanter Verfahrensschritt in der Abwicklung ergab es schließlich, dass einige der Stellungnahmen für eine weitere Bewertung an ein Beratungsunternehmen übermittelt werden mussten. Wichtig ist, dass das Beratungsunternehmen zu keiner Zeit über die Mittel verfügte, den jeweiligen Anteilseigner anhand der 33-stelligen Identifikationsnummer zu reidentifizieren. Über diese Möglichkeit verfügte stets nur SRB.
Entscheidungsgründe
Stein des Anstoßes war, dass das Beratungsunternehmen nicht in der Datenschutzerklärung vom SRB als Empfängerin aufgelistet war. Darin sah der EDSB einen Verstoß gegen die Informationspflichten nach Art. 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725. Gegen diese Entscheidung wandte sich der SRB an das EuG, um die Entscheidung des EDSB für nichtig erklären zu lassen.
Kern der Auseinandersetzung war dabei die Frage, ob es sich bei der alphanumerischen Identifikationsnummer überhaupt um personenbezogene Daten i. S. v. Art. 3 Nr. 1 und 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725 handelt. Wäre Letzteres nicht gegeben, so hätte der SRB auch nicht über das Beratungsunternehmen als Empfänger in seiner Datenschutzerklärung informieren müssen.
Zur Beantwortung der gestellten Frage legt das Gericht die vorstehende Verordnung und die Rechtsprechung des EuGH recht trickreich aus.
Es bezieht sich dabei auf das Urteil des EuGH in der Rechtssache Breyer. Der EuGH hatte in dieser Entscheidung geurteilt, dass es für die Frage, ob es sich bei übermittelten Informationen um personenbezogene Daten handelt, auch auf das Verständnis des Empfängers ankommt, das dieser von den übermittelten Daten hat. Der EuG stellt weiter fest, dass der EDSB hätte untersuchen müssen, ob das empfangende Beratungsunternehmen anhand der übermittelten Informationen deren Verfasser (= Anteilseigner) rückidentifizieren kann und ob diese Rückidentifizierung hinreichend wahrscheinlich ist. Allein der Umstand, dass der SRB über zusätzliche Informationen verfüge, mit denen eine Rückidentifizierung möglich ist, reiche demnach nicht für die Annahme des EDSB aus, dass die an die Empfängerin übermittelten Informationen personenbezogene Daten sind. Dies ist deshalb relevant, da nur der SRB über den Schlüssel zur Reidentifizierung der Nutzer verfügt, nicht aber das Beratungsunternehmen. Da das empfangende Beratungsunternehmen also nicht über den Depseudonymisierungsschlüssel verfügt, handelte es sich bei den übermittelten Daten für dieses Unternehmen auch nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725.
Schlussfolgerungen & Empfehlungen
Das Urteil ist deshalb bemerkenswert, da es ebenso wie in ErwG 26 S. 2 DSGVO auch in ErwG 16 S. 2 Verordnung (EU) 2018/1725 heißt, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten. Anders ausgedrückt: Obwohl das Gericht nicht bestreitet, dass es sich um pseudonymisierte Daten handelt, sollen solche hier nicht vorliegen, da das empfangende Beratungsunternehmen nicht über den Reidentifizierungsschlüssel verfügt.
Pseudonymisierte Daten (und damit personenbezogene Daten) liegen danach also nur für jene Stelle vor, die auch tatsächlich über die Mittel verfügt, die Depseudonymisierung vorzunehmen.
Zukünftig könnten Unternehmen als datenschutzrechtlich Verantwortliche, die z. B. Dienstleister einsetzen, die „nur“ verschlüsselte / pseudonymisierte Daten für sie verarbeiten, auf der Basis dieses Urteils mglw. argumentieren, dass der Abschluss eines Auftragsverarbeitungsvertrags nicht erforderlich ist. Denn nach der Argumentation des EuG handelt es sich gerade nicht um personenbezogene Daten für den Auftragsverarbeiter, wenn dieser nicht über den Entschlüsselungsschlüssel verfügt.
Trotzdessen sollten Verantwortliche nun nicht gleich auf den Abschluss von Auftragsverarbeitungsverträgen oder sonstigen Datenschutzvereinbarungen verzichten. Denn es gilt zu bedenken, dass es sich „lediglich“ um eine Entscheidung des EuG handelt. Dieses Gericht bildet die erste Instanz auf europäischer Ebene. Der Europäische Gerichtshof (EuGH) bildet dagegen die zweite Instanz. Er ist zum einen Berufungsinstanz sowie zum anderen zuständig für institutionelle Fragen. Das letzte bzw. höchstrichterliche Wort zum Thema pseudonymisierte Daten und Personenbezug ist daher noch nicht gesprochen.
News
Tracking und Auswertung von Leistungsdaten im Profisport
Die Datenerfassung im Leistungssport hat sich zu einem unverzichtbaren Instrument für moderne Sportorganisationen entwickelt. Vereine, Verbände und Unternehmen nutzen umfangreiche Datenanalysen zur Leistungsoptimierung und strategischen Entscheidungsfindung. Hierbei werden im Allgemeinen Leistungsdaten, aber mitunter auch sensible Gesundheitsdaten verarbeitet. Verantwortliche müssen die Anforderungen der DSGVO beachten und Rechtsgrundlagen für die Datennutzung nachweisen können. Dieser Beitrag beleuchtet, vor welchen rechtlichen Herausforderungen Vereine bei der Auswertung von Leistungs- und Gesundheitsdaten von Sportlern stehen und auf welche Rechtsgrundlagen sie diese Verarbeitung stützen können.
Der Beitrag von Dr. Carlo Piltz und Ilia Kukin aus dem DSB 10/2025 ist hier abrufbar.
Neue Entwicklungen im UN-Kaufrecht
Die zentrale Stellung des UN-Kaufrechts/CISG als juristische Basis für Export- und Importverträge wird heute nicht mehr infrage gestellt. Praktiker berichten von einer deutlichen Tendenz in den Unternehmen, ihre Außenhandelsgeschäfte gezielt auf das UN-Kaufrecht umzustellen. Ein Ausschluss des UN-Kaufrechts erklärt sich heute überwiegend mit mangelnder Vertrautheit mit seinen Inhalten und fehlender Neigung, diesem Zustand abzuhelfen, lässt sich angesichts der weitreichenden Dispositivität seiner Bestimmungen jedoch kaum mit nicht akzeptablen Lösungen des UN-Kaufrechts belegen. In Fortführung des Gliederungsschemas der vorangegangenen Berichtsaufsätze (zuletzt NJW 2023, 2542) wird die Liste der Vertragsstaaten aktualisiert und neben Hinweisen auf aktuelle Arbeitsmittel insbesondere die seit dem letzten Berichtsaufsatz bekannt gewordene in- und ausländische Rechtsprechung zum UN-Kaufrecht/CISG aufgearbeitet.
EuGH-Urteil zum Personenbezug und Informationspflichten – pseudonymisierte Daten können für den Empfänger auch anonym sein
Das EuGH-Urteil in der Rechtssache EDSB vs. SRB (Rs. C‑413/23 P) und dessen Folgen für die Rechtsanwendung werden derzeit zu Recht kontrovers diskutiert. In dem Urteil geht es zwar um Bestimmungen aus der Verordnung 2018/1725, die für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Der EuGH hat aber ausdrücklich entschieden, dass der Begriff „personenbezogene Daten“ in dieser Verordnung und der DSGVO und der nicht mehr gültigen Richtlinie 95/46 EG identisch auszulegen ist (Rn. 52). Das Urteil ist für Unternehmen und mitgliedstaatliche Behörden gleichermaßen bedeutsam.
Rechtswidrigkeit von (Gebühren) Bescheiden wegen DSGVO-Verstoß - Dürfen öffentliche Stellen ihre Verfahren automatisieren?
Automatisierte Entscheidungen unterliegen gem. Art. 22 DSGVO besonderen gesetzlichen Anforderungen, welche auch im Bereich der öffentlichen Verwaltung gelten. Zentrale Voraussetzung für die Zulässigkeit solcher Entscheidungen ist das Vorliegen einer entsprechenden Rechtsgrundlage. Fehlt diese, ist der Bescheid rechtswidrig. Wie die Verwaltungsgerichte damit umgehen, zeigt eine aktuelle Entscheidung des VG Bremen (Urt. v. 14.07.2025, 2 K 763/23).
Dürfen Datenschutzbehörden die Namen der sanktionierten Unternehmen veröffentlichen?
Sowohl die BfDI als auch die Landesdatenschutzbehörden informieren regelmäßig in Pressemitteilungen über aktuelle Bußgeldverfahren. Mitunter werden dabei auch die betroffenen Unternehmen namentlich genannt. Doch ist dieses Vorgehen überhaupt rechtlich zulässig und welche Grenzen haben die Behörden dabei einzuhalten? In anderen Rechtsgebieten existiert zu diesen Fragen durch umfangreiche Rechtsprechung - allerdings bislang nicht speziell im Bereich des Datenschutzrechts.
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.