Das Gericht der Europäischen Union (EuG; nicht EuGH) hat entschieden, dass bei der Übermittlung an einen Dritten pseudonymisierte Daten nicht als personenbezogene Daten gelten, wenn der oder die Empfänger:in sie nicht einer Person wieder zuordnen kann. Rechtsanwalt Rolf Becker, ECC Clubmitglied und Partner bei Wienke & Becker, berichtet über die für die Praxis wichtige Entscheidung.
Informationspflicht bei Weitergabe von Daten
Die Entscheidung stammt vom erstinstanzlich agierenden Gericht, welches nicht mit dem Europäischen Gerichtshof verwechselt werden sollte. Die Regeln der DSGVO wurden in einer Verordnung auf die sog. supranationalen Einrichtungen der EU übertragen und nebenbei der Europäische Datenschutzbeauftrage als Aufsichtsbehörde installiert. Eine Institution der EU, das Single Resolution Board, ist zuständig für die Abwicklung von insolvenzbedrohten Finanzinstituten. Dort war man der Meinung, dass bei einem Formular für Gläubiger, dessen dort erhobene Informationen an ein Beratungsunternehmen zur Auswertung gingen, eine datenschutzrechtliche Information hierzu nicht notwendig sei. Denn für das Beratungsunternehmen seien der Code, mit dem die Namen der Gläubiger zuvor ersetzt worden seien, nicht rückführbar gewesen. Betroffene Gläubiger wandten sich an den Datenschutzbeauftragten. Der Europäische Datenschutzbeauftragte war anderer Meinung und sah wegen der fehlenden Information zur Weitergabe der Daten einen Datenschutzverstoß gegen entsprechende Informationspflichten.
Dem erteilte der EuG jetzt eine Absage mit für die Praxis interessanten Konsequenzen.
Pseudonymisierung und Anonymisierung
Bei der Entscheidung des EuG (Urt. vom 26.04.2023, T‑557/20) ging es um fast wortgleiche Regelungen zur Begriffsbestimmung der personenbezogenen Daten, wie sie die DSGVO vorsieht. Dabei spielt die Pseudonymisierung eine wichtige Rolle, insbesondere als Maßnahme des Schutzes im eigenen Verarbeitungsbereich. Im Gegensatz zu anonymisierten Daten bleibt bei der Pseudonymisierung die Möglichkeit erhalten, die Daten wieder auf eine natürliche Person zurückzuführen. Namen und andere Identifikationsmerkmale werden durch eine Kennung ersetzt. Die Rückführung der Pseudonymisierung ist in der Regel nicht einfach möglich. Durch die Trennung von ID-Kennungen und Namen wird bewusst eine Hürde für eine unrechtmäßige Verarbeitung gebildet, da der Verarbeiter intern Zugriff auf den Schlüssel, also die Identifikation oder Rückschlüsselung von Daten und auf die Daten selbst haben muss.
Pseudonymisierung und Datenübermittlung an Dritte
Gelten die Datenschutzregeln, wenn ein Dritter zuvor pseudonymisierte Daten erhält? Handelt es sich dabei für den Dritten nicht um anonyme Daten? Hier gibt es zwei Sichtweisen. Man kann darauf abstellen, ob es darauf ankommt, dass der Dritte die Möglichkeit hat, die Daten auf die Person zurückzuführen.
Man kann aber auch die Sicht vertreten, dass generell eine Rückführbarkeit durch irgendjemanden immer dazu führt, dass das Datenschutzrecht Anwendung findet und eingehalten werden muss. Selbst mit strafrechtlich verfolgbaren Mitteln zu erlangende Rückführungen sollen ausreichen.
Der EuG wählte die praxisnahe Sichtweise und sieht sich im Einklang mit der Rechtsprechung des EuGH (zur Rechtssache C-582/14).
Fazit:
Die Entscheidung zur Sichtweise auf die Pseudonymisierung hat weitreichende Bedeutung für die Praxis. Es steht zu hoffen, dass der EuGH damit befasst wird und diese Sicht bestätigt. Dann kann differenziert werden hinsichtlich des Übermittlers, für den pseudonymisierte Daten aufgrund seiner Möglichkeiten der Rückführung immer personenbezogene Daten sind und hinsichtlich des Empfängers, bei dem zu prüfen ist, ob er (legale) Rückführungsmöglichkeiten hatte. Fehlen diese, dann ist weder ein Auftragsverarbeitungsverhältnis anzunehmen, noch sind Joint Controller Verhältnisse oder eine eigene Verantwortung des Empfängers denkbar. Eine solche Sicht kann in vielen Fällen überspitzten Anforderungen an den Datenschutz einen Riegel vorschieben. Natürlich bleibt der übermittelnde Verarbeiter verantwortlich auch für technische und organisatorische Maßnahmen zur Sicherung der Trennung von Daten und Schlüssel und des Zugriffs hierauf.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!