Das Gericht der Europäischen Union (EuG), das frühere Gericht erster Instanz, hat am 26. April 2023 eine willkommene und inhaltlich sicher richtige Entscheidung im Zusammenhang mit dem Begriff der personenbezogenen Daten gefällt.
Hintergrund ist die Abwicklung der Banco Popular Español. Im entsprechenden Verfahren konnten betroffenen Anteilseigner und Gläubiger Ansprüche beim “einheitlichen Abwicklungsausschuss SRB” geltend machen; der SRB ist die für die Abwicklung zuständige Behörde der Europäischen Bankenunion. Die eingegebenen Ansprüche wurden zur Begutachtung an Deloitte übermittelt, wobei Personendaten pseudonymisiert waren.
Auf Beschwerden einiger Gläuber hatte der Europäische Datenschutzbeauftragte EDSB, die für die Organe der EU zuständige Datenschutzbehörde, eine Verletzung der Informationspflicht nach der DSGVO festgestellt, weil über die Bekanntgabe an Deloitte nicht informiert worden war.
Der EuG sieht dies anders. Er beruft sich auf den bekannten Breyer-Fall und hält im Anschluss daran fest, dass bei der Bestimmung des Personenbezugs von der Perspektive von Deloitte auszugehen war:
Zu prüfen war nach Auffassung des Gerichtshofs […], ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann […] […] Doch geht aus dem Urteil [Breyer] auch hervor, dass für die Bestimmung, ob es sich bei den an Deloitte übermittelten Informationen um personenbezogene Daten handelte, auf das Verständnis abzustellen ist, das Deloitte bei der Bestimmung der Frage hatte, ob die ihr übermittelten Informationen sich auf „identifizierbare Personen“ beziehen.
Damit bestätigt der EuG den relativen Ansatz. Das ist nicht überraschend, weil dieser Ansatz in Breyer deutlich zum Ausdruck kam (auch wenn damit nicht unbedingt viel gewonnen ist, weil der Masstab an den Identifizierungsaufwand dort sehr niedrig angesetzt wurde, d.h. auch eine recht theoretische Identifikationsmöglichkeit kann für einen Personenbezug ausreichen).
Weiter ist der EuG der Ansicht, dass die Situation hier jener von Breyer vergleichbar ist:
Zweitens kann zum einen die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten […] verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte.
Demzufolge stellte die Bekanntgabe pseudonymer Daten an Deloitte keine Bekanntgabe von Personendaten dar:
Wie aber aus [Breyer] hervorgeht, war vom EDSB festzustellen, ob es sich bei der Möglichkeit, die an Deloitte übermittelten Informationen mit den dem SRB vorliegenden zusätzlichen Informationen zu kombinieren, um ein Mittel handelte, das von Deloitte vernünftigerweise zur estimmung der Verfasser der Kommentare eingesetzt werden konnte. […] Somit durfte der EDSB […] nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ […] beziehen.
Entsprechend kassierte der EuG die Entscheidung des EDSB. – Die Erwägungen des EuG reichen über diesen Fall hinaus – nicht nur, weil sie den relativen Ansatz bestätigen, sondern auch, weil sie daraus Konsequenzen ableiten. Wenn die Bekanntgabe pseudonymisierter Daten – bei denen der Empfänger keinen Personenbezug herstellen kann – keine Bekanntgabe von Personendaten ist, entfällt insoweit nicht nur die Informationspflicht. Auch die Beschränkungen über die Auslandsbekanntgabe können dann nicht zur Anwendung kommen. Ein Arzt, der eine Blutprobe mit einem Barcode an ein US-Labor schickt, muss entsprechend weder die Standardklauseln schliessen noch ein Transfer Impact Assessment durchführen. Auch ist ein Dienstleister, der pseudonymisierte Daten verarbeitet, kein Auftragsbearbeiter, und mit ihm muss keine ADV geschlossen werden (auch wenn natürlich Zweckbindung und Vertraulichkeit vereinbart werden sollten).
Nach schweizerischem Recht fällt die Analyse nicht anders aus. Das folgt zum einen aus dem Logistep-Urteil des Bundesgerichts, das insofern korrekt ist, und zum anderen aus einem Urteil des Handelsgerichts Zürich.