Bei anonymisierten Daten ist keine Zuordnung zu einem personenbezogenen Datum möglich. Daher fallen anonymisierte Daten auch nicht in den Anwendungsbereich der DSGVO.

Art. 3 Ziff. 1 DSGVO: „personenbezogene Daten“ sind alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Wie ist es aber bei pseudonymisierten Daten?

Sachverhalt:

Kläger war der Einheitliche Abwicklungsausschuss (SRB), Beklagte der Europäische Datenschutzbeauftragte (EDSB).

Inhaltlich ging es um die Zulässigkeit der vom SRB im Rahmen einer Anhörung erhobenen Daten über Fragebögen. In zwei Schritten sortierte die SRB erst selbst die eingegangenen Stellungnahmen Identifikationsnummern und analysierte diese anschließend mit Blick auf ihre Erheblichkeit für das Verfahren. In einem dritten Schritt, der Prüfungsphase, wurden die Stellungnahmen zur vorläufigen Entscheidung vom SRB behandelt und dann über 1000 Stellungnahmen über einen gesicherten und vom SRB speziell dafür vorgesehenen virtuellen Server an Deloitte übermittelt. Der SRB lud die an Deloitte zu übermittelnden Dateien auf den virtuellen Server hoch und gab den Zugang dazu für eine beschränkte und kontrollierte Anzahl unmittelbar mit dem Projekt befasster Mitarbeiter von Deloitte frei.

Es wurden lediglich solche Stellungnahmen an D. übermittelt, die während der Konsultationsphase eingegangen und mit einem alphanumerischen Code versehen waren. Nur der SRB konnte anhand dieses Codes die Stellungnahmen mit den während der Registrierungsphase erhobenen Daten verbinden. Der alphanumerische Code wurde für Audit-Zwecke entwickelt, um nachprüfen und gegebenenfalls nachträglich beweisen zu können, dass jede Stellungnahme bearbeitet und ordnungsgemäß berücksichtigt wurde. Deloitte hatte und hat keinen Zugang zur Datenbank mit den während der Registrierungsphase erhobenen Daten.

Gegen diese Übertragung wurde von 5 Anteilseignern und Gläubigern Beschwerden eingelegt, da sie darüber nicht informiert worden seien. Dadurch habe der SRB gegen Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 verstoßen. Dieser lautet: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten … Informationen … [betreffend] … gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten [mit]“.

Der EDSB bejahte diese Frage (schließlich, nach einer Korrektur) und stellte einen Verstoß gegen die DSGVO fest.

Hiergegen klagte der SRB. Er stützt seine Klage auf zwei Gründe. Erstens sei Art. 3 Nr. 1 der Verordnung 2018/1725 verletzt, weil es sich bei den an Deloitte weitergegebenen Informationen nicht um personenbezogene Daten handele. Zweitens sei das in Art. 41 der Charta verankerte Recht auf eine gute Verwaltung verletzt.

Das Gericht prüfte (v.a.) die vom EDSB vorgenommene Beurteilung der Frage, ob die an Deloitte übermittelten Informationen sich auf eine „identifizierte oder identifizierbare“ natürliche Person (Art. 4 Nr. 1 DSGVO) bezogen.

Der SRB macht geltend, dass entgegen der Auffassung des EDSB die Mitteilung des alphanumerischen Codes an Deloitte nicht zu einer „Pseudonymisierung“ der Daten geführt habe. Diese seien anonym geblieben, da der SRB die Informationen, anhand deren eine Rückidentifizierung der Personen, von denen die Stellungnahmen stammten, möglich gewesen wäre, nicht mit Deloitte geteilt habe, vgl. Rn. 76 ff. des Urteils.

Der 16. Erwägungsgrund der Verordnung 2018/1725 sieht Folgendes vor:

„… Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. …“

Zu prüfen war nach Auffassung des Gerichtshofs im Breyer-Urteil (jedoch), ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 45).

Der Gerichtshof wies darauf hin, dass dies nicht der Fall gewesen wäre, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar gewesen wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 46).  Im vorliegenden Fall wird nicht bestritten, dass zum einen der in den an Deloitte übermittelten Informationen enthaltene alphanumerische Code als solcher nicht ausreichte, um die Verfasser der Stellungnahmen zu identifizieren, und zum anderen Deloitte keinen Zugang zu den Identifizierungsdaten hatte, die während der Registrierungsphase erhoben wurden und anhand deren dank des alphanumerischen Codes die Teilnehmer mit ihren Kommentaren in Verbindung gebracht werden konnten.

Der EDSB hat in der überarbeiteten Entscheidung darauf hingewiesen und in der mündlichen Verhandlung bestätigt, dass es sich bei den zur Identifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen um den alphanumerischen Code und die Identifizierungsdatenbank handelt.

Wie der EDSB im Hinblick auf Rn. 43 des oben in Rn. 90 erwähnten Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), ausführt, schließt die Tatsache, dass nicht Deloitte, sondern der SRB über die zur Identifizierung der Verfasser der während der Konsultationsphase abgegebenen Stellungnahmen erforderlichen zusätzlichen Informationen verfügte, zwar nicht von vornherein aus, dass es sich bei den an Deloitte übermittelten Informationen für Deloitte um personenbezogene Daten handelte.

Doch geht aus dem Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), auch hervor, dass für die Bestimmung, ob es sich bei den an Deloitte übermittelten Informationen um personenbezogene Daten handelte, auf das Verständnis abzustellen ist, das Deloitte bei der Bestimmung der Frage hatte, ob die ihr übermittelten Informationen sich auf „identifizierbare Personen“ beziehen.

Es war somit gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.

Der EDSB führt also unzutreffend aus, dass nicht untersucht werden müsse, ob Deloitte anhand der übermittelten Informationen deren Verfasser rückidentifizieren könne oder ob diese Rückidentifizierung hinreichend wahrscheinlich sei.

Der EDSB ging davon aus, dass für die Annahme, die an Deloitte übermittelten Informationen personenbezogene Daten seien, die Tatsache ausreiche, dass der SRB über die zusätzlichen Informationen verfüge, anhand deren eine Rückidentifizierung der Verfasser der Stellungnahmen möglich sei. Gleichzeitig stellte er aber auch fest, dass die während der Registrierungsphase erhobenen Identifizierungsdaten Deloitte nicht mitgeteilt worden seien.

Aus der überarbeiteten Entscheidung geht somit hervor, dass der EDSB sich auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht der von Deloitte) beschränkt hat.

Wie aber aus der oben in Rn. 92 angeführten Rn. 45 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), hervorgeht, war vom EDSB festzustellen, ob es sich bei der Möglichkeit, die an Deloitte übermittelten Informationen mit den dem SRB vorliegenden zusätzlichen Informationen zu kombinieren, um ein Mittel handelte, das von Deloitte vernünftigerweise zur Bestimmung der Verfasser der Kommentare eingesetzt werden konnte.

Somit durfte der EDSB, weil er nicht geprüft hat, ob Deloitte das Recht hatte, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 beziehen.

Nach alledem ist dem ersten Klagegrund stattzugeben und die überarbeitete Entscheidung für nichtig zu erklären, ohne dass es einer Prüfung des zweiten Klagegrundes bedarf.

Ergebnis: übermittelten Daten waren anonym!

Stand: 12.10.2023