EU-Gericht: Wann gelten pseudonymisierte Daten als personenbezogene Daten?

3. Mai 2023

Am 26. April 2023 erließ das Gericht der Europäischen Union sein Urteil in der Rechtssache T-557/20, SRB gegen EDSB. Das Gericht stellte dabei fest, dass pseudonymisierte Daten, die an einen Datenempfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Datenempfänger nicht über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt. Das Gericht stellte auch klar, dass die Meinungen einer Person nicht als personenbezogene Daten angesehen werden können; vielmehr ist eine Einzelfallprüfung erforderlich.

Hintergrund

Der einheitliche Abwicklungsausschuss (Single Resolution Board – SRB) verwendete ein elektronisches Formular, mit dem interessierte Parteien ihre Meinung äußern konnten, und gab die eingegangenen Antworten an ein Beratungsunternehmen weiter. Bevor die Antworten weitergegeben wurden, ersetzte der SRB den Namen jedes Befragten durch einen Code. Nach einer Reihe von Beschwerden entschied der Europäische Datenschutzbeauftragte (EDSB), dass der SRB pseudonymisierte personenbezogene Daten an das Beratungsunternehmen weitergegeben hatte, ohne die betroffenen Personen über diese Weitergabe zu informieren. Der SRB vertrat die Auffassung, dass diese Information nicht notwendig war, da die übermittelten Daten anonymisiert waren und folglich nicht als personenbezogene Daten für den Datenempfänger angesehen werden konnten.

Pseudonyme oder anonyme Daten?

Das Gericht betonte, dass im Einklang mit der Entscheidung des Gerichtshofs in der Rechtssache Breyer bei der Feststellung, ob pseudonymisierte Informationen, die an einen Datenempfänger übermittelt werden, personenbezogene Daten darstellen, die Perspektive des Datenempfängers zu berücksichtigen ist. Verfügt der Datenempfänger über keine zusätzlichen Informationen, die es ihm ermöglichen, die betroffenen Personen zu reidentifizieren, und hat er keine rechtlichen Möglichkeiten, auf solche Informationen zuzugreifen, können die übermittelten Daten als anonymisiert und somit nicht als personenbezogene Daten betrachtet werden. Die Tatsache, dass der Datenübermittler über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt, ist irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind.

Stellungnahme des Gerichts

Das Gericht stellte ferner fest, dass persönliche Ansichten oder Meinungen zwar personenbezogene Daten darstellen können, dies aber nicht vorausgesetzt werden kann. Stattdessen ist eine Einzelfallbewertung erforderlich, “die auf der Prüfung der Frage beruht, ob eine Ansicht aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person verbunden ist”.