Europäisches Gericht Erster Instanz (EuG) erweitert Spielraum für Anonymisierung
In einer Entscheidung der Achten erweiterten Kammer des Europäischen Gerichts Erster Instanz (EuG) vom 26. April 2023 hat dieses den Spielraum für die Anonymisierung erweitert. Danach kommt es für die Annahme der Anonymisierung bei Datenempfängern maßgeblich auf die Mittel desjenigen an, der die Daten empfangen hat. Diese Entscheidung kann für Unternehmen in der Praxis weitreichende Folgen haben, da hierdurch Anonymisierungen und damit sekundären Datennutzungen erleichtert werden.
Gegenstand des Verfahrens
Der Entscheidung lag eine Klage des Einheitlichen Abwicklungsausschusses (SRB), eines europäischen Ausschusses zur Gewährleistung der ordnungsgemäßen Abwicklung von insolvenzbedrohten Finanzinstituten, gegen eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) zugrunde. Der SRB nutzte bei der Abwicklung einer spanischen Bank ein elektronisches Formular, damit Interessenten ihre Ansichten äußern konnten und leitete die erhaltenen Antworten an eine Beratungsfirma weiter. Vor der Weitergabe der Antworten ersetzte der SRB den Namen jedes Antwortenden durch eine 33 stellige eindeutige Identifikationsnummer. Nach einer Reihe von Beschwerden entschied der EDSB, dass es sich bei diesen Daten um pseudonymisierte Daten handele, die als personenbezogene Daten gemäß DSGVO gelten. Diese habe der SRB ohne Datenschutzinformation der betroffenen Personen nach Art 13 DSGVO weitergegeben. Der SRB betrachtete die Bereitstellung dieser Information als nicht erforderlich, da die übermittelten Daten seiner Ansicht nach anonymisiert waren und daher für den Datenempfänger nicht als personenbezogene Daten betrachtet werden konnten.
Die Gründe
Das Europäische Gericht entschied, dass übermittelte Daten beim Empfänger dann nicht als personenbezogene Daten betrachtet werden könnten, wenn der Datenempfänger nicht die Möglichkeit hat, die betroffenen Personen zu identifizieren. Auch im Lichte der Entscheidung des EuGH vom 19. Oktober 2016, Breyer (C 582/14, EU:C:2016:779) gelte: Sofern der Datenempfänger weder über zusätzliche Informationen verfüge, die ihm ermöglichen, die betroffenen Personen wieder zu identifizieren, noch rechtliche Mittel habe, um auf solche Informationen zuzugreifen, könnten die übermittelten Daten nicht mehr nur als pseudonymisiert, sondern müssten vielmehr als anonymisiert betrachtet werden. Sie fallen danach nicht unter die Kategorie personenbezogener Daten.
Handlungsempfehlungen/Fazit
Die Abgrenzung zwischen pseudonymisierten und anonymisierten Daten spielt in der Praxis eine große Rolle, da nur anonymisierte Daten nicht unter den Anwendungsfall der DSGVO fallen. Die Entscheidung des EuG dürfte Unternehmen Auftrieb bei der Entwicklung datengetriebener Geschäftsmodelle geben, sofern darin eine sekundäre Nutzung beabsichtigt wird.
Bei einer Anonymisierung müssen Unternehmen dabei eine erhebliche Sorgfalt darauf verwenden, der Rechenschaftspflicht zu genügen: Alle Entscheidungen zur Annahme einer Anonymisierung sollten dokumentiert und begründet werden. Darüber hinaus sollten Unternehmen im Rahmen ihres Datenschutzmanagements Leitlinien zur Prüfung und Umsetzung von Anonymisierungen etablieren. Zur praktischen Umsetzung der Anonymisierung siehe auch unseren Blogbeitrag zum Praxisleitfaden der Stiftung Datenschutz.