In seinem Urteil stellt der Europäische Gerichtshof klar, dass die Pflicht zur Information über die Weitergabe von Daten aus der Perspektive des Verantwortlichen zum Zeitpunkt der Erhebung zu beurteilen ist. Pseudonymisierte Daten bleiben zwar nicht für jeden Empfänger automatisch personenbezogen, doch die ursprüngliche Transparenzpflicht gegenüber den Betroffenen kann dadurch nicht umgangen werden. Persönliche Meinungen sind dabei grundsätzlich als personenbezogene Daten zu werten.
1. Einleitung und Hintergrund des Falles
Der Kern des Rechtsstreits liegt in der Frage, ob pseudonymisierte Daten, die von einer EU-Behörde an einen externen Dienstleister übermittelt werden, als "personenbezogene Daten" im Sinne der Verordnung (EU) 2018/1725 (die der DSGVO für EU-Institutionen entspricht) anzusehen sind.
Der Fall entstand nach der Abwicklung der spanischen Bank Banco Popular Español durch den Einheitlichen Abwicklungsausschuss (SRB). Im Anschluss leitete der SRB ein Verfahren ein, um ehemaligen Aktionären und Gläubigern das Recht auf Anhörung zu gewähren, bevor über eine mögliche Entschädigung entschieden wird. Im Rahmen dieses Verfahrens sammelte der SRB Stellungnahmen der Betroffenen. Für die Auswertung eines Teils dieser Stellungnahmen beauftragte der SRB das Beratungsunternehmen Deloitte.
Der SRB übermittelte 1.104 Stellungnahmen an Deloitte, nachdem er sie pseudonymisiert hatte: Jede Stellungnahme war mit einem einzigartigen alphanumerischen Code versehen, aber alle direkt identifizierenden Informationen wurden entfernt. Nur der SRB besaß die "zusätzlichen Informationen" (den Schlüssel), um die Codes wieder den konkreten Personen zuzuordnen.
Mehrere Betroffene beschwerten sich daraufhin beim Europäischen Datenschutzbeauftragten (EDSB), da sie in der Datenschutzerklärung des SRB nicht darüber informiert worden waren, dass ihre Daten an Deloitte weitergegeben würden – ein potenzieller Verstoß gegen die Informationspflicht aus Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725.
2. Die vorangegangenen Entscheidungen
a) Entscheidung des EDSB: Der EDSB kam zu dem Schluss, dass die an Deloitte übermittelten Daten pseudonymisierte Daten und somit personenbezogene Daten seien. Er argumentierte, dass die Daten nicht anonym seien, da der SRB weiterhin die Möglichkeit zur Re-Identifizierung besaß. Folglich sei Deloitte ein "Empfänger" personenbezogener Daten. Da der SRB Deloitte nicht in seiner Datenschutzerklärung genannt hatte, stellte der EDSB einen Verstoß gegen die Informationspflicht fest.
b) Urteil des Gerichts der Europäischen Union (EuG): Der SRB focht die Entscheidung des EDSB vor dem EuG an und bekam Recht. Das EuG erklärte die Entscheidung des EDSB für nichtig und begründete dies mit zwei zentralen Rechtsfehlern:
- Fehlende Prüfung des Personenbezugs: Das EuG urteilte, der EDSB hätte prüfen müssen, ob die Informationen aufgrund ihres Inhalts, Zwecks oder ihrer Auswirkungen mit einer Person verknüpft seien.
- Falsche Perspektive bei der Identifizierbarkeit: Das EuG befand, dass die Frage, ob Daten "identifizierbar" sind, aus der Perspektive des Empfängers (Deloitte) beurteilt werden müsse.
3. Das Urteil des Europäischen Gerichtshofs (EuGH)
Der EuGH hob das Urteil des EuG auf und korrigierte dessen Rechtsauffassung in entscheidenden Punkten.
a) Zum Kriterium "bezieht sich auf eine Person": Der EuGH widersprach dem EuG deutlich. Er stellte fest, dass persönliche Meinungen oder Ansichten als Ausdruck des Denkens einer Person zwangsläufig eng mit dieser Person verknüpft sind.
b) Zur Natur pseudonymisierter Daten: Der EuGH bestätigte, dass "personenbezogen" keine absolute Eigenschaft von Daten ist. Dieselben pseudonymisierten Daten können für den Empfänger, der den Schlüssel nicht besitzt, als nicht-personenbezogen gelten, während sie für den Sender personenbezogen bleiben.
c) Zur maßgeblichen Perspektive bei der Informationspflicht: Dies ist der zentrale Punkt des Urteils. Für die Verpflichtung, Betroffene über Empfänger ihrer Daten zu informieren, ist die Identifizierbarkeit zum Zeitpunkt der Erhebung der Daten und aus der Sicht des Verantwortlichen (hier: des SRB) zu beurteilen. Die Pflicht zur Transparenz entsteht, bevor die Daten verarbeitet oder pseudonymisiert werden.
4. Implikationen und Bedeutung der Entscheidung
Das Urteil des EuGH hat weitreichende Konsequenzen für den Umgang mit pseudonymisierten Daten im Geltungsbereich der DSGVO.
1. Stärkung der Transparenzpflicht: Verantwortliche können ihre Informationspflichten nicht umgehen, indem sie argumentieren, dass die Daten nach der Übermittlung für den Empfänger nicht mehr personenbezogen seien. Maßgeblich ist der Status der Daten zum Zeitpunkt der Erhebung.
2. Klarstellung zum Personenbezug von Meinungen: Der EuGH schafft Rechtsklarheit, indem er feststellt, dass persönliche Meinungen per se einen Personenbezug aufweisen.
3. Bestätigung des relativen Datenbegriffs: Gleichzeitig bestätigt das Urteil, dass "personenbezogen" keine absolute Eigenschaft ist. Die datenschutzrechtlichen Pflichten (abgesehen von der initialen Informationspflicht) können sich somit für Sender und Empfänger unterscheiden.
Ergebnis: Der EuGH hob das Urteil des EuG auf. Da das EuG nicht alle Klagegründe geprüft hatte, wurde die Sache zur erneuten Entscheidung an das EuG zurückverwiesen.
