Im Datenschutz wird zwischen der Verarbeitung von personenbezogenen Daten und anonymen Daten unterschieden. Während personenbezogene Daten (auch pseudonyme Daten) dem Schutz der DSGVO unterliegen ist der Anwendungsbereich der DSGVO für anonyme nicht eröffnet.
Doch genau hier liegt das Problem – Wann sind Daten anonym? (wir berichteten).
Nachdem der EuGH bereits im Jahr 2016 (Urteil in der Rechtssache Breyer – C-582/14) davon ausging, dass keine absolute Anonymität derart gefordert ist, dass die Re-Identifizierung für jedermann ausgeschlossen/unmöglich ist, wird diese Ansicht in der Entscheidung des EuG (Urteil vom 26.04. 2023 – T-557/20) ebenfalls betont. Die Beurteilung möglicher Mittel zur Re-Identifizierung beurteilt sich zudem aus Sicht des Datenempfängers. Dies bedeutet, dass Mittel des Verantwortlichen nur einzubeziehen sind, wenn der Datenempfänger die Möglichkeit hat, auf diese zuzugreifen.
Lassen Sie uns einen genaueren Blick darauf werfen:
Zusammenfassung des Streitgegenstandes
Hintergrund des Urteils (T-557/20) war eine Streitigkeit zwischen dem Einheitlichen Abwicklungsausschusses (SRB), welcher die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten gewährleistet, und dem Europäischen Datenschutzbeauftragten (EDSB).
Im Rahmen des Abwicklungsverfahrens einer Bank räumte die SRB Gläubigern und Anteilseigner die Möglichkeit ein, im Rahmen eines Online-Fragebogens ihre Meinung zur Abwicklung zu äußern (Anhörungsverfahren). Dabei beauftragte die SRB das Beratungsunternehmen Deloitte mit der Auswertung der relevanten Stellungnahmen um diese in einem unabhängigen Gutachten zu bewerten. Die Stellungnahmen waren dabei mit einem alphanumerischen Code versehen, sodass die an Deloitte übermittelten Stellungnahmen keine direkten Identifikatoren mehr enthielten. Deloitte hatte und hat nach Angabe von SRB keinen Zugriff auf die Datenbank von SRB, welche Informationen zu den jeweiligen Urhebern der Stellungnahme enthält. Auch rechtlich bestehe keine Handhabe Seitens Deloitte sich die erforderlichen Informationen zur Re-Identifizierung vorgelegen zu lassen. Eine Zuordnung Seitens Deloitte sei daher unter Berücksichtigung der verfügbaren Mittel nicht hinreichend wahrscheinlich.
Aus diesem Grund sah sich der SRB nicht in der Pflicht Deloitte in der Datenschutzerklärung als Datenempfänger auszuweisen. Hierin sah der EDSB einen Verstoß gegen Art. 15 DSGVO, da er die Ansicht vertritt, dass es sich bei den in Rede stehenden Daten um pseudonyme Daten, nicht jedoch um anonyme Daten handle. Damit sei der Anwendungsbereich der DSGVO eröffnet, sodass die Betroffenen entsprechend zu informieren gewesen wären.
Entscheidung
Der EuG bestätigt in seiner Entscheidung die bereits in der Rechtssache Breyer (2016) vom EuGH geteilte Rechtsauffassung, dass der Unionsgesetzgeber keine absolute Anonymität derart fordert, dass die Re-Identifizierung für jedermann ausgeschlossen/unmöglich ist.
Dabei macht er außerdem deutlich, dass die Beurteilung der Anonymität von Daten aus der jeweiligen Sicht des Datenempfängers vorzunehmen ist. Die Tatsache, dass der Datenübermittler die Möglichkeit zur Re-Identifizierung der betroffenen Personen hat, ist für den Datenempfänger irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind. Demnach scheint die Anonymität keine Eigenschaft, welche dem Datensatz anhaftet, sondern ist vielmehr individuell aus der Sicht des Datenempfängers zu beurteilen. Während die Daten für den einen lediglich als pseudonym eingestuft werden können, können sie aus Sicht eines anderen Datenempfängers anonym sein und damit nicht mehr dem Anwendungsbereich der DSGVO unterliegen.
Maßgeblicher Entscheidungsfaktor soll dabei sein, ob es für den in Reden stehenden Datenempfänger hinreichend wahrscheinlich ist, dass eine Rückidentifizierung der Betroffenen Person vorgenommen wird. Folgt man der Rechtsprechung Breyer, sind im Rahmen dieser Beurteilung objektive Kriterien wie Kosten, Arbeitsaufwand und bestehende gesetzlichen Erlaubnisse zur Identifizierung der Person heranzuziehen.
Fazit
Die Entscheidung ist aufgrund der immer wieder präsenten Unsicherheit im Rahmen des „Anonymitätsverständnisses“ zu begrüßen. Dennoch ist zu berücksichtigen, dass es sich hierbei um keine höchstrichterliche Rechtsprechung des EuGH handelt. Eine solche Entscheidung wäre nur durch Einreichung des entsprechenden Rechtsmittels zu erlangen. Wobei die Begründung im Einklang mit der vom EuGH in der Rechtssache Breyer getroffenen Entscheidung im Einklang steht und die darin vertretenen Ansicht fortführt.
Um den Anwendungsbereich der DSGVO nicht auszuhöhlen ist nach der hier vertretenen Ansicht jedoch ein strenger Maßstab bei der Beurteilung der zu Verfügung stehenden Mittel des Dateninhabers heranzuziehen. Hiervon umfasst sollten auch Informationen sein, welche dem Datenempfänger aus anderen Quellen bereitstehen und im Rahmen einer Re-Identifizierung herangezogenen werden können. Es bedarf damit immer auch der Unterstützung des Datenempfängers um beurteilen zu können, ob sich die Daten aus dessen Perspektive als anonym oder doch pseudonym einordnen lassen.
23. Mai 2023 @ 16:37
Bedarf es dann eines AVV mit einem Tool-Anbieter, der ausschließlich die IP-Adresse auf der Website des Kunden erhebt?
23. Mai 2023 @ 16:25
Danke für den Artikel. Wenn es aus Sicht des Datenempfängers betrachtet wird: Wenn ein Verantwortlicher auf seiner Website ein Tool (z.B. zur Website-Analyse) einsetzt, welches ausschließlich die deutsche IP-Adresse einer Person in die USA überträgt, da der Dienst in den USA sitzt – wer kann da den Personenbezug herstellen? Der Toolbetreiber wird es in der Regel nicht können. Und wenn kein Personenbezug aus Sicht des Datenempfängers hergestellt werden kann, dann hätte man hier doch anonyme Daten und damit keine Schrems-II-Problematik. Wie ist hier die Meinung?