Am 06.02.2025 hat der Gerichtshof der Europäischen Union (EuGH) die Schlussanträge des Generalanwalts Spielmann in der Rechtssache C-413/23 veröffentlicht. Die Stellungnahme befasst sich mit Fragen zur Pseudonymisierung und Informationspflichten bei Datenübermittlungen nach Verordnung (EU) 2018/1725. Die Schlussanträge enthalten insbesondere Klarstellungen zu den Voraussetzungen, unter denen pseudonymisierte Daten als personenbezogen gelten. Hiernach bestünde im Rahmen von Pseudonymisierung kein datenschutzrechtlicher Schutz bei einem nur geringen, also unbedeutenden, oder gar nicht vorhandenem Identifizierungsrisiko.
Hintergrund des Falls
Die Schlussanträge beziehen sich auf einen Fall (T-557/20), indem sich der Europäische Datenschutzbeauftragte (EDSB) mit dem Einheitliche Abwicklungsausschuss (Single Resolution Board (SRB)) stritt. Bei letzterem handelt es sich um die zentrale Abwicklungsbehörde der Europäischen Bankenunion.
In diesem Zusammenhang hatte der SRB personenbezogene Daten von von einem Abwicklungsfall betroffenen Aktionären und Gläubigern in „pseudonymisierter“ Form an eine Beratungsfirma weitergegeben. Von der Datenübertragung Betroffene reichten hiergegen Beschwerde beim EDSB ein. Dieser Entschied, dass der SRB gegen Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725 zum Datenschutz durch EU-Institutionen verstoßen habe, da er die Betroffenen nicht über die Datenübertragung informiert hatte. Das Europäische Gericht (EuG) sprach den Daten jedoch ihre Personenbezogenheit ab und hob die Entscheidung des EDSB auf. Das Beratungsunternehmen hätte keine Möglichkeit gehabt, die Daten Individuen zu zuordnen oder die hierfür erforderlichen Informationen zu erlangen.
Gegen diese Entscheidung geht der EDSB nun vor dem EuGH vor. Es dreht sich um die zentrale Frage, ob pseudonymisierte Daten automatisch als personenbezogene Daten im Sinne der Datenschutzvorschriften gelten. Der Generalanwalt nimmt nun in seinen Schlussanträgen Stellung zur Definition und den Konsequenzen der Pseudonymisierung sowie zu den Pflichten der SRB hinsichtlich der Information der Betroffenen.
Pseudonymisierung: Wann bleiben Daten personenbezogen?
Ein zentraler Punkt der Schlussanträge betrifft die Frage, ob pseudonymisierte Daten stets als personenbezogene Daten im Sinne des Datenschutzrechts zu betrachten sind. Der Generalanwalt verweist dabei auf die Definition der Pseudonymisierung in Art. 3 Abs. 6 der Verordnung (EU) 2018/1725. Der Generalanwalt betont, dass diese Vorschrift zwar den Prozess der Pseudonymisierung definiert, aber nicht explizit den Begriff „pseudonymisierte Daten“ als eigenständige Kategorie festlegt. Dies lasse den Schluss zu, dass pseudonymisierte Daten nicht automatisch als personenbezogen zu qualifizieren sind.
Deshalb müsse die Identifizierbarkeit der betroffenen Person im Einzelfall bewertet werden. Solange eine Identifizierung theoretisch möglich bleibt, fallen die Daten unter den Schutz des Datenschutzrechts. Erst wenn das Risiko der Identifizierbarkeit nicht mehr besteht oder nur noch insignifikant ist, könnten sie aus dem Anwendungsbereich der Verordnung herausfallen. Damit stellt sich der Generalanwalt gegen die Auffassung des EDSB, wonach bereits eine potenzielle Re-Identifizierbarkeit zur Einstufung als personenbezogene Daten ausreicht.
Informationspflichten bei Datenübermittlungen
Ein weiterer zentraler Aspekt der Schlussanträge betrifft die Informationspflichten des SRB. Nach Ansicht des Generalanwalts bestand die Verpflichtung zur Information der betroffenen Personen unabhängig davon, ob pseudonymisierte Daten übertragen wurden. Bereits vor der Datenübertragung habe die Informationspflicht bestanden. Die Pflicht über die möglichen Empfänger der Daten informiert zu werden, bestünde bereits zum Zeitpunkt der Datenerhebung und nicht erst im Zuge einer späteren Verarbeitung oder Weitergabe. Insofern könnten die Daten beim Beratungsunternehmen zwar nicht personenbezogen sein, den SRB träffen aber trotzdem die datenschutzrechtliche Informationspflicht.
Fazit
Die Schlussanträge des Generalanwalts zeigen, dass im Rahmen von Pseudonymisierung kein Schutz bei nur geringen Identifizierungsrisiko bestehen könnte. Zwar bleibt abzuwarten, ob der EuGH den nicht bindenden Argumenten des Generalanwalts folgt, doch haben diese bereits jetzt wesentliche Implikationen. In der Vergangenheit hat sich der EuGH den Schlussanträgen schon häufig angeschlossen. Sobald der EuGH eine finale Entscheidung getroffen hat, erfahren Sie das hier auf datenschutzticker.de.
