EuG zur Relativität des Personenbezugs

EuG zur Relativität des Personenbezugs

In seinem Urteil vom 26.4.2023, Rs. T-557/20 hat sich der Europäische Gerichtshof (EuG) mit der Frage der Relativität des Personenbezugs beschäftigt. Das Urteil räumt mit einigen Missverständnissen auf, die im Zusammenhang mit dem bekannten „Breyer“-Urteil des EuGH zum Personenbezug von IP-Adressen (EuGH v. 19.10.2016, C 582/14) entstanden sind.

1. Pseudonymisierung und Anonymisierung von Daten

Wie kann man pseudonyme und anonyme Daten unterscheiden?

Pseudonyme Daten können nur unter Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die Zuordnung nicht bzw. nicht ohne weiteres erfolgen kann (Art. 4 Nr. 5 DSGVO). Pseudonymisierung bedeutet also, dass z. B. ein Name durch ein Pseudonym – einen Code, eine Nummer usw. – ersetzt wird. Allerdings können die Pseudonyme mit Hilfe von Zusatzinformationen wieder entschlüsselt und personenbeziehbar gemacht werden.

Bei anonymen Daten ist eine solche „Entschlüsselung“, also die Herstellung eines Personenbezugs, nicht oder nicht mit vertretbarem Aufwand möglich (vgl. Erwägungsgrund 26 der DSGVO). Anonyme Daten gelten deshalb nicht mehr als personenbezogene Daten und unterfallen nicht mehr der DSGVO.

2. Sachverhalt

In dem vom EuG entschiedenen Fall hatte der Einheitliche Abwicklungsausschuss (SRB) Daten an Deloitte weitergeleitet, bei denen personenidentifizierende Merkmale durch alphanumerische Codes ersetzt wurden. Der SRB konnte diese Codes konkreten Personen zuordnen. Deloitte hatte keinen Zugriff auf die Codes und konnte keinen Personenbezug der Daten herstellen.

Der Europäische Datenschutzbeauftragte (EDSB) hielt die Daten pauschal für personenbeziehbar. Nach Auffassung des EDSB sei der Umstand, dass Deloitte keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, unbeachtlich. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.

Dagegen klagte der SRB mit dem Argument, dass es sich zumindest für Deloitte nicht um personenbeziehbare Daten handele und die DSGVO insoweit nicht anwendbar sei.

3. Relativität des Personenbezugs

Im Kern geht es um die Frage, ob die „Personenbeziehbarkeit“ von Daten relativ oder absolut zu beurteilen ist – ob es also dem jeweils Verantwortlichen mit vertretbaren Mitteln möglich sein muss, einen Personenbezug herzustellen („relativer“ Personenbezug) oder ob es ausreicht, dass irgendjemand über diese Mittel verfügt („absoluter“ Personenbezug).

Der EuG hat sich im Ergebnis der Argumentation des SRB angeschlossen: es kommt darauf an, ob der jeweils Verantwortliche – hier also Deloitte – über die zusätzlichen Informationen verfügt, anhand deren eine Rückidentifizierung von Personen möglich ist.

Dies steht nicht im Widerspruch zum „Breyer“-Urteil des EuGH. Darin stellte sich die Frage, ob eine dynamische IP-Adresse für den Anbieter einer Website ein personenbezogenes Datum darstellt. Über die zur Identifizierung des Nutzers anhand einer IP-Adresse erforderlichen Zusatzinformationen verfügt üblicherweise nicht der Anbieter der Website, sondern der Internetzugangsanbieter des jeweiligen Nutzers. Zu prüfen war nach Auffassung des EuGH in diesem Fall, ob die Möglichkeit, eine IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise vom Website-Betreiber zur Bestimmung der betreffenden Person eingesetzt werden kann. Der EuGH ging also ebenfalls von der Relativität des Personenbezugs aus.

Der EuG führt aus (Rn. 99, 100 des Urteils):

[Es kann] die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten im Sinne des Urteils vom 19. Oktober 2016, Breyer (C582/14, EU:C:2016:779), verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte. Zum anderen kann die Situation des SRB mit der des Internetzugangsanbieters in jener Rechtssache verglichen werden, da feststeht, dass nur der SRB über die zusätzlichen Informationen – nämlich über den alphanumerischen Code und die Identifizierungsdatenbank – verfügte, anhand deren die betroffenen Anteilseigner und Gläubiger identifiziert werden können, die den Fragebogen ausgefüllt haben.

Somit war es gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.“

Diese Prüfung der Personenbeziehbarkeit der Daten aus Sicht von Deloitte hat der EDSB nicht vorgenommen. Der EuG hat damit der Klage des SRB stattgegeben. Ob vorliegend Deloitte tatsächlich über Mittel für eine Rückidentifizierung verfügte und diese hinreichend wahrscheinlich war, hat der EuG nicht mehr geprüft.

Autor

Carsten Gerlach
Carsten Gerlach

Partner, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gie­recht

TCI Rechts­an­wäl­te Ber­lin

  • Twitter
  • LinkedIn