Besprechung der Entscheidung des EuG Urteils vom 26.04.2023, T-557/20
Angenommen, ich bin eine Forscherin, die im Alltag mit personenbezogenen Daten arbeitet. Früher oder später stellt sich mir die Frage, wie ich verhindere, dass diese Daten schutzlos und offen im Netz herumschwimmen.
Häufig ist da die Pseudonymisierung die gewählte Methode. Dabei werden identifizierende Merkmale eines Datensatzes von diesem getrennt und derart aufbewahrt, dass eine Reidentifizierung nicht ohne weiteres möglich ist. Dies ist auch eine von der DSGVO anerkannte Methode zur Gewährleistung eines erhöhten Datenschutzes.
Aber was passiert eigentlich, wenn ich meine pseudonymen Daten auf ein Repositorium lade. Sind sie dann für das Repositorium auch pseudonym? Oder sogar anonym? Dass diese Frage von großer Relevanz ist, zeigt sich, wenn man die Folgen von pseudonymen versus anonymen Daten betrachtet:
Erstere sind immer noch personenbezogene Daten. Die DSGVO bleibt weiterhin anwendbar und muss beachtet werden. In diesem Fall träfe die Repositoriumsbetreibenden bei Erhalt der pseudonymen Daten unter anderem ggf. eine Informationspflicht gegenüber dem Betroffenen.
Demgegenüber entfällt bei anonymen Daten durch das permanente Entfernen identifizierender Merkmale die Anwendung der DSGVO und damit auch die einhergehenden Pflichten.
Welchen Charakter pseudonyme Daten für Dritte haben, musste auch das EuG (= Gericht der Europäischen Union) entscheiden. Diesem wurde folgender Sachverhalt präsentiert:
Es gibt drei Akteure:
- Die SRB: eine EU-Institution, die die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten sicherstellen soll. Sie erstellte ein elektronisches Formular, mit dem Anteilseigner und Gläubiger dieser Institute Stellung nehmen konnten. Sie war Datenerheberin, verschlüsselte diese Daten, indem sie die Namen der Befragten durch einen Code ersetzte, und bewahrte den Schlüssel separat auf.
- Deloitte: ein Wirtschaftsunternehmen. Es erhielt als unabhängige Gutachterin die verschlüsselten Daten, nicht jedoch den Identifizierungsschlüssel.
- Der Europäische Datenschutzausschuss (EDSP): er befasste sich mit dem Fall und befand, dass die an Deloitte weitergegebenen Daten für das Unternehmen ebenfalls personenbezogene Daten darstellen, weil theoretisch für Deloitte ein Zugriff auf den Identifizierungsschlüssel und damit eine Reidentifizierung der Personen möglich wäre.
Das EuG musste sich dann damit auseinandersetzen, ob die an Deloitte gegebenen Daten für diese nun pseudonym oder anonym waren. In seiner Entscheidung widersprach er dem EDSP und begründete dies wie folgt:
Wenn sich identifizierbares Zusatzwissen ausschließlich in den Händen des ursprünglichen Verantwortlichen (also hier der SRB) befindet, liegt für den Empfänger der verschlüsselten Daten kein Personenbezug vor, da es auf dessen Verständnis ankommt. Kann dieser weder – wenn auch nur hypothetisch – in rechtlicher Hinsicht noch auf technische Weise auf den Verschlüsselungscode zugreifen stellen die pseudonymisierten Daten für ihn anonyme Daten dar.
Im konkreten Fall hatte Deloitte nicht die rechtliche Befugnis, auf den Schlüssel zuzugreifen. Da der Schlüssel zudem auf einem separaten Rechner gespeichert wurde, konnte Deloitte auch faktisch nicht mit vernünftigen Mitteln daran gelangen.
Wenn wir jetzt die Forscherin in die Position der SRB und die Repositoriumsbetreibenden in die von Deloitte stellen, ergibt sich folgendes: Dürfen die Repositoriumsbetreibenden nicht auf den
Verschlüsselungscode zugreifen und/oder können dies nicht, so sind für sie die hochgeladenen Daten nicht nur pseudonym, sondern anonym. Das hat zur Folge, dass die Betreibenden oder auch diejenigen, die die Daten von dem Repositorium weiter nutzen, keine Vorschriften der DSGVO zu beachten haben.
Praktisch, oder?