datenrecht.ch

EuG, Rs. T‑557/20: Rela­ti­ver Ansatz bestä­tigt, Bekannt­ga­be pseud­ony­mer Daten daher kei­ne Bekannt­ga­be von Personendaten

Das Gericht der Euro­päi­schen Uni­on (EuG), das frü­he­re Gericht erster Instanz, hat am 26. April 2023 eine will­kom­me­ne und inhalt­lich sicher rich­ti­ge Ent­schei­dung im Zusam­men­hang mit dem Begriff der per­so­nen­be­zo­ge­nen Daten gefällt.

Hin­ter­grund ist die Abwick­lung der Ban­co Popu­lar Espa­ñol. Im ent­spre­chen­den Ver­fah­ren konn­ten betrof­fe­nen Anteils­eig­ner und Gläu­bi­ger Ansprü­che beim “ein­heit­li­chen Abwick­lungs­aus­schuss SRB” gel­tend machen; der SRB ist die für die Abwick­lung zustän­di­ge Behör­de der Euro­päi­schen Ban­ken­uni­on. Die ein­ge­ge­be­nen Ansprü­che wur­den zur Begut­ach­tung an Deloit­te über­mit­telt, wobei Per­so­nen­da­ten pseud­ony­mi­siert waren.

Auf Beschwer­den eini­ger Gläu­ber hat­te der Euro­päi­sche Daten­schutz­be­auf­trag­te EDSB, die für die Orga­ne der EU zustän­di­ge Daten­schutz­be­hör­de, eine Ver­let­zung der Infor­ma­ti­ons­pflicht nach der DSGVO fest­ge­stellt, weil über die Bekannt­ga­be an Deloit­te nicht infor­miert wor­den war.

Der EuG sieht dies anders. Er beruft sich auf den bekann­ten Brey­er-Fall und hält im Anschluss dar­an fest, dass bei der Bestim­mung des Per­so­nen­be­zugs von der Per­spek­ti­ve von Deloit­te aus­zu­ge­hen war:

Zu prü­fen war nach Auf­fas­sung des Gerichts­hofs […], ob die Mög­lich­keit, eine dyna­mi­sche IP-Adres­se mit den Zusatz­in­for­ma­tio­nen zu ver­knüp­fen, über die der Inter­net­zu­gangs­an­bie­ter ver­fügt, ein Mit­tel dar­stellt, das ver­nünf­ti­ger­wei­se zur Bestim­mung der betref­fen­den Per­son ein­ge­setzt wer­den kann […] […] Doch geht aus dem Urteil [Brey­er] auch her­vor, dass für die Bestim­mung, ob es sich bei den an Deloit­te über­mit­tel­ten Infor­ma­tio­nen um per­so­nen­be­zo­ge­ne Daten han­del­te, auf das Ver­ständ­nis abzu­stel­len ist, das Deloit­te bei der Bestim­mung der Fra­ge hat­te, ob die ihr über­mit­tel­ten Infor­ma­tio­nen sich auf „iden­ti­fi­zier­ba­re Per­so­nen“ beziehen.

Damit bestä­tigt der EuG den rela­ti­ven Ansatz. Das ist nicht über­ra­schend, weil die­ser Ansatz in Brey­er deut­lich zum Aus­druck kam (auch wenn damit nicht unbe­dingt viel gewon­nen ist, weil der Mas­stab an den Iden­ti­fi­zie­rungs­auf­wand dort sehr nied­rig ange­setzt wur­de, d.h. auch eine recht theo­re­ti­sche Iden­ti­fi­ka­ti­ons­mög­lich­keit kann für einen Per­so­nen­be­zug ausreichen).

Wei­ter ist der EuG der Ansicht, dass die Situa­ti­on hier jener von Brey­er ver­gleich­bar ist:

Zwei­tens kann zum einen die Situa­ti­on von Deloit­te mit der des Anbie­ters von Online-Medi­en­dien­sten […] ver­gli­chen wer­den, soweit sie über Infor­ma­tio­nen […] ver­füg­te, bei denen es sich nicht um Infor­ma­tio­nen han­del­te, die sich auf eine „iden­ti­fi­zier­te natür­li­che Per­son“ bezo­gen, da es nicht mög­lich war, anhand des auf jeder Ant­wort ver­merk­ten alpha­nu­me­ri­schen Codes unmit­tel­bar die natür­li­che Per­son zu iden­ti­fi­zie­ren, die den Fra­ge­bo­gen aus­ge­füllt hatte.

Dem­zu­fol­ge stell­te die Bekannt­ga­be pseud­ony­mer Daten an Deloit­te kei­ne Bekannt­ga­be von Per­so­nen­da­ten dar:

Wie aber aus [Brey­er] her­vor­geht, war vom EDSB fest­zu­stel­len, ob es sich bei der Mög­lich­keit, die an Deloit­te über­mit­tel­ten Infor­ma­tio­nen mit den dem SRB vor­lie­gen­den zusätz­li­chen Infor­ma­tio­nen zu kom­bi­nie­ren, um ein Mit­tel han­del­te, das von Deloit­te ver­nünf­ti­ger­wei­se zur estim­mung der Ver­fas­ser der Kom­men­ta­re ein­ge­setzt wer­den konn­te. […] Somit durf­te der EDSB […] nicht zu dem Ergeb­nis gelan­gen, dass die an Deloit­te über­mit­tel­ten Infor­ma­tio­nen sich auf eine „iden­ti­fi­zier­ba­re natür­li­che Per­son“ […] beziehen.

Ent­spre­chend kas­sier­te der EuG die Ent­schei­dung des EDSB. – Die Erwä­gun­gen des EuG rei­chen über die­sen Fall hin­aus – nicht nur, weil sie den rela­ti­ven Ansatz bestä­ti­gen, son­dern auch, weil sie dar­aus Kon­se­quen­zen ablei­ten. Wenn die Bekannt­ga­be pseud­ony­mi­sier­ter Daten – bei denen der Emp­fän­ger kei­nen Per­so­nen­be­zug her­stel­len kann – kei­ne Bekannt­ga­be von Per­so­nen­da­ten ist, ent­fällt inso­weit nicht nur die Infor­ma­ti­ons­pflicht. Auch die Beschrän­kun­gen über die Aus­lands­be­kannt­ga­be kön­nen dann nicht zur Anwen­dung kom­men. Ein Arzt, der eine Blut­pro­be mit einem Bar­code an ein US-Labor schickt, muss ent­spre­chend weder die Stan­dard­klau­seln schlie­ssen noch ein Trans­fer Impact Assess­ment durch­füh­ren. Auch ist ein Dienst­lei­ster, der pseud­ony­mi­sier­te Daten ver­ar­bei­tet, kein Auf­trags­be­ar­bei­ter, und mit ihm muss kei­ne ADV geschlos­sen wer­den (auch wenn natür­lich Zweck­bin­dung und Ver­trau­lich­keit ver­ein­bart wer­den sollten).

Nach schwei­ze­ri­schem Recht fällt die Ana­ly­se nicht anders aus. Das folgt zum einen aus dem Logi­step-Urteil des Bun­des­ge­richts, das inso­fern kor­rekt ist, und zum ande­ren aus einem Urteil des Han­dels­ge­richts Zürich.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter