Zur Verarbeitung pseudonymisierter Daten

Der EuGH hat die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte präzisiert. Das Urteil des EuG, mit dem die Entscheidung des Europäischen Datenschutzbeauftragten für nichtig erklärt wurde, wurde aufgehoben.

Der Sachverhalt:
Nach der Abwicklung von Banco Popular Español erließ der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) am 7.7.2017 eine vorläufige Entscheidung darüber, ob ehemaligen Anteilseignern und Gläubigern dieser Bank aufgrund ihrer Abwicklung eine Entschädigung gewährt werden müsse. Da die betroffenen Personen vor Erlass dieser Entscheidung nicht gehört wurden, führte der SRB zu einem späteren Zeitpunkt ein Verfahren durch, in dem diese Personen zu seiner vorläufigen Entscheidung Stellung nehmen konnten. Im Rahmen dieses Verfahrens übermittelte der SRB bestimmte Stellungnahmen als pseudonymisierte Daten an Deloitte, eine Wirtschaftsprüfungs- und Beratungsgesellschaft, die er mit der Durchführung einer Bewertung der Auswirkungen der Abwicklung auf die Anteilseigner und Gläubiger beauftragt hatte.

Mehrere betroffene Anteilseigner und Gläubiger legten beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerden ein, da der SRB sie nicht darüber informiert habe, dass sie betreffende Daten an Dritte, nämlich an Deloitte, übermittelt würden. Der EDSB vertrat die Auffassung, dass Deloitte im vorliegenden Fall eine Empfängerin personenbezogener Daten der Beschwerdeführer sei. Er stellte außerdem fest, dass der SRB gegen die in der DSGVO vorgesehene Informationspflicht verstoßen habe. Daraufhin erhob der SRB beim EuG Nichtigkeitsklage gegen die Entscheidung des EDSB.

Das EuG gab der Klage teilweise statt und erklärte die in Rede stehende Entscheidung für nichtig. Auf die Rechtsmittel des EDSB hob der EuGH das Urteil auf und verwies die Sache an das EuG zurück.

Die Gründe:
Das EuG hat einen Rechtsfehler begangen, als es festgestellt hat, dass der EDSB für die Schlussfolgerung, dass sich die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, i.S.d. DSGVO auf die Personen "bezögen", die diese Stellungnahmen abgegeben hätten, den Inhalt, den Zweck und die Auswirkungen dieser Stellungnahmen hätte prüfen müssen, obwohl unstreitig war, dass diese die persönliche Meinung oder Sichtweise ihrer Verfasser zum Ausdruck brachten. Die Auslegung des EuG verstößt nämlich gegen den besonderen Charakter von persönlichen Meinungen oder Sichtweisen, die als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft sind.

Im Übrigen hat das EuG zu Recht festgestellt, dass pseudonymisierte Daten für die Zwecke der Anwendung der DSGVO nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind. Aus den Bestimmungen der Verordnung in der Auslegung durch die Rechtsprechung ergibt sich nämlich, dass die Pseudonymisierung - je nach den Umständen des Falles - andere Personen als den Verantwortlichen tatsächlich daran hindern kann, die betroffene Person zu identifizieren, so dass diese für sie nicht oder nicht mehr identifizierbar ist. In diesem Zusammenhang ist ausdrücklich auf die Lehren aus der Rechtsprechung zur Beurteilung der Identifizierbarkeit der betroffenen Person in Situationen, in denen sich die zur Identifizierung dieser Person erforderlichen Informationen nicht in den Händen verschiedener Personen befanden, zu verweisen.

Schließlich hat das EuG mit der Feststellung, dass der EDSB für die Beurteilung, ob der SRB seine Informationspflicht erfüllt habe, hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten, einen Rechtsfehler begangen. Aus der Rechtsprechung ergibt sich, dass sich die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person wesentlich nach den Umständen der Datenverarbeitung im Einzelfall richtet. Zu dieser Informationspflicht ist darauf hinzuweisen, dass sie im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen besteht und ihr Gegenstand daher in den mit dieser Person zusammenhängenden Informationen in der Form besteht, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte. Folglich ist die Identifizierbarkeit der betroffenen Person zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen. Die dem SRB obliegende Informationspflicht entstand somit vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.

Mehr zum Thema:

Aufsatz
BGH soll zu Freispruch nach 4,3 Mio. € DSGVO-Bußgeld entscheiden - worum geht es?
Tim Wybitul / Isabelle Brams / Hannah Jürges, CR 2025, 500
CR0081971

Aufsatz
Sind pseudonymisierte Daten für den Empfänger einer Übermittlung immer personenbezogen?
Tom Hubert, IT-Recht Blog 2025
ITBLOG0007861

Beratermodul Datenschutzrecht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!