News
Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten
Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.
Die Entscheidung hat, auch wenn sie nicht direkt zur DSGVO, sondern der entsprechenden Verordnung zum Datenschutz bei EU-Institutionen ergangen ist, insbesondere für solche Fälle Praxisrelevanz, in denen Dienstleistern oder anderen Stellen nur pseudonymisierte Daten zur Verfügung gestellt werden.
Hintergrund
Die Verordnung (EU) 2018/1725 gilt für die Datenverarbeitung durch die Organe und Einrichtungen der Union (Art. 1 Abs. 1 und 2 Verordnung (EU) 2018/1725). Es handelt sich hierbei also um eine speziellere Verordnung, die abweichend von der allgemeineren DSGVO, gesondert die Verarbeitung personenbezogener Daten durch EU-Institutionen schützt (siehe auch Art. 2 Abs. 3 S. 1 DSGVO). Inhaltlich sind beide Verordnungen jedoch sehr ähnlich und zum Teil enthalten sie deckungsgleiche Regelungen.
Das EuG entschied im vorliegenden Fall über die Anwendung dieser spezielleren Verordnung. Zwar hat das EuG damit nicht konkret über Fragen der Personenbeziehbarkeit pseudonymisierter Daten nach der DSGVO entschieden. Jedoch handelt es sich, wie vorstehend erläutert, bei der Verordnung (EU) 2018/1725 um eine „der DSGVO verwandte Verordnung“, weshalb die Entscheidung auch in Bezug auf die DSGVO von einer gewissen Relevanz ist.
Sachverhalt
Der Europäische Datenschutzbeauftragte (EDSB) entschied auf Grundlage der Verordnung (EU) 2018/1725, dass der sog. Einheitliche Abwicklungsausschuss (SRB), ein Gremium zur Abwicklung von insolvenzbedrohten Finanzinstituten, personenbezogene Daten unrechtmäßig an Dritte übermittelt habe.
Dieser Entscheidung lag die Situation zugrunde, dass der SRB im Rahmen der Abwicklung eines Bankinstituts pseudonymisierte Daten an ein Beratungsunternehmen übermittelte.
Diese Pseudonymisierung fand wie folgt statt: In einer ersten Phase konnten sich Anteilseigner (der Bank) mit ihren Identitätsnachweisen beim SRB registrieren und eine Stellungnahme zur vorläufigen Entscheidung des SRB abgeben. In der darauffolgenden Konsultationsphase verglichen, ordneten und gewichteten Mitarbeiter die eingereichten Stellungnahmen. Während dieser Konsultationsphase enthielten die von den Anteilseignern eingereichten Stellungnahmen jedoch nur noch eine alphanumerische 33-stellige Identifikationsnummer. Die Mitarbeiter, die die Stellungnahmen verglichen, ordneten und gewichteten, konnten die Anteilseigner also nicht anhand ihrer konkreten Identifikationsnachweise identifizieren. Ein nicht näher relevanter Verfahrensschritt in der Abwicklung ergab es schließlich, dass einige der Stellungnahmen für eine weitere Bewertung an ein Beratungsunternehmen übermittelt werden mussten. Wichtig ist, dass das Beratungsunternehmen zu keiner Zeit über die Mittel verfügte, den jeweiligen Anteilseigner anhand der 33-stelligen Identifikationsnummer zu reidentifizieren. Über diese Möglichkeit verfügte stets nur SRB.
Entscheidungsgründe
Stein des Anstoßes war, dass das Beratungsunternehmen nicht in der Datenschutzerklärung vom SRB als Empfängerin aufgelistet war. Darin sah der EDSB einen Verstoß gegen die Informationspflichten nach Art. 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725. Gegen diese Entscheidung wandte sich der SRB an das EuG, um die Entscheidung des EDSB für nichtig erklären zu lassen.
Kern der Auseinandersetzung war dabei die Frage, ob es sich bei der alphanumerischen Identifikationsnummer überhaupt um personenbezogene Daten i. S. v. Art. 3 Nr. 1 und 15 Abs. 1 lit. d) Verordnung (EU) 2018/1725 handelt. Wäre Letzteres nicht gegeben, so hätte der SRB auch nicht über das Beratungsunternehmen als Empfänger in seiner Datenschutzerklärung informieren müssen.
Zur Beantwortung der gestellten Frage legt das Gericht die vorstehende Verordnung und die Rechtsprechung des EuGH recht trickreich aus.
Es bezieht sich dabei auf das Urteil des EuGH in der Rechtssache Breyer. Der EuGH hatte in dieser Entscheidung geurteilt, dass es für die Frage, ob es sich bei übermittelten Informationen um personenbezogene Daten handelt, auch auf das Verständnis des Empfängers ankommt, das dieser von den übermittelten Daten hat. Der EuG stellt weiter fest, dass der EDSB hätte untersuchen müssen, ob das empfangende Beratungsunternehmen anhand der übermittelten Informationen deren Verfasser (= Anteilseigner) rückidentifizieren kann und ob diese Rückidentifizierung hinreichend wahrscheinlich ist. Allein der Umstand, dass der SRB über zusätzliche Informationen verfüge, mit denen eine Rückidentifizierung möglich ist, reiche demnach nicht für die Annahme des EDSB aus, dass die an die Empfängerin übermittelten Informationen personenbezogene Daten sind. Dies ist deshalb relevant, da nur der SRB über den Schlüssel zur Reidentifizierung der Nutzer verfügt, nicht aber das Beratungsunternehmen. Da das empfangende Beratungsunternehmen also nicht über den Depseudonymisierungsschlüssel verfügt, handelte es sich bei den übermittelten Daten für dieses Unternehmen auch nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725.
Schlussfolgerungen & Empfehlungen
Das Urteil ist deshalb bemerkenswert, da es ebenso wie in ErwG 26 S. 2 DSGVO auch in ErwG 16 S. 2 Verordnung (EU) 2018/1725 heißt, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten. Anders ausgedrückt: Obwohl das Gericht nicht bestreitet, dass es sich um pseudonymisierte Daten handelt, sollen solche hier nicht vorliegen, da das empfangende Beratungsunternehmen nicht über den Reidentifizierungsschlüssel verfügt.
Pseudonymisierte Daten (und damit personenbezogene Daten) liegen danach also nur für jene Stelle vor, die auch tatsächlich über die Mittel verfügt, die Depseudonymisierung vorzunehmen.
Zukünftig könnten Unternehmen als datenschutzrechtlich Verantwortliche, die z. B. Dienstleister einsetzen, die „nur“ verschlüsselte / pseudonymisierte Daten für sie verarbeiten, auf der Basis dieses Urteils mglw. argumentieren, dass der Abschluss eines Auftragsverarbeitungsvertrags nicht erforderlich ist. Denn nach der Argumentation des EuG handelt es sich gerade nicht um personenbezogene Daten für den Auftragsverarbeiter, wenn dieser nicht über den Entschlüsselungsschlüssel verfügt.
Trotzdessen sollten Verantwortliche nun nicht gleich auf den Abschluss von Auftragsverarbeitungsverträgen oder sonstigen Datenschutzvereinbarungen verzichten. Denn es gilt zu bedenken, dass es sich „lediglich“ um eine Entscheidung des EuG handelt. Dieses Gericht bildet die erste Instanz auf europäischer Ebene. Der Europäische Gerichtshof (EuGH) bildet dagegen die zweite Instanz. Er ist zum einen Berufungsinstanz sowie zum anderen zuständig für institutionelle Fragen. Das letzte bzw. höchstrichterliche Wort zum Thema pseudonymisierte Daten und Personenbezug ist daher noch nicht gesprochen.
News
Hinweisgeberschutz und das Recht auf Auskunft auf Kollisionskurs – Herausforderungen bei der parallelen Anwendung von Hinweisgeberschutz und Art. 15 DSGVO
Der Erlass und die Anwendbarkeit des deutschen Umsetzungsgesetzes zur Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist endlich absehbar. Das bedeutet auch, dass die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für sehr viele deutsche Unternehmen (alle mit in der Regel mindestens 250 Beschäftigten) immer näher rückt.
Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten
Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.
NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit
Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.
Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema
Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.
Digital Markets Acts (DMA): Was geht uns das an?
Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).
Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.