DSGVO nicht anwendbar bei relativen Pseudonymen ohne Re-Identifizierungsmöglichkeit

Die Datenschutz-Grundverordnung (DSGVO) ist aus dem europäischen Rechtsalltag nicht mehr wegzudenken. Kaum ein Unternehmen, das sich nicht mit Auskunftsansprüchen, Löschverlangen oder Betroffenenrechten herumschlagen muss. Dabei stellt sich häufig eine zentrale Frage: Wann liegt überhaupt ein personenbezogenes Datum vor?

Die Antwort scheint auf den ersten Blick einfach – doch der Teufel steckt im Detail. Besonders heikel wird es, wenn es um sogenannte Pseudonyme geht. Der Europäische Gerichtshof (EuG) hat mit Urteil vom 26. März 2023 (Az.: T-557/20) eine überraschend klare Grenze gezogen: Sind pseudonymisierte Daten für den Empfänger nicht re-identifizierbar, greift die DSGVO schlichtweg nicht.

Was wie ein unscheinbares Detail wirkt, könnte massive Auswirkungen auf den Anwendungsbereich der DSGVO haben – und damit auch auf Ihre tägliche Praxis. Wir zeigen Ihnen, was dahintersteckt.

Der konkrete Fall: Wer hat Zugang zu den Schlüsselinformationen?

Im Zentrum der Entscheidung stand der sogenannte Einheitliche Abwicklungsausschuss (SRB). Diese EU-Behörde ist zuständig für die geordnete Abwicklung von insolvenzgefährdeten Banken. Im Rahmen eines Abwicklungsverfahrens wurden Stellungnahmen von betroffenen Personen übermittelt – und zwar an den externen Wirtschaftsprüfer Deloitte, der die Rückmeldungen prüfen sollte.

Die Übermittlung erfolgte datenschutztechnisch hoch abgesichert über einen speziellen virtuellen Server. Dabei wurden alle identifizierenden Angaben durch alphanumerische Codes ersetzt, sodass Deloitte keine Kenntnis über die Identität der Verfasser hatte. Nur der SRB selbst konnte anhand interner Informationen den Personenbezug wiederherstellen.

Die zentrale Rechtsfrage: Sind das (noch) personenbezogene Daten?

Nach Ansicht des Europäischen Datenschutzbeauftragten (EDSB) ja: Schließlich konnte der SRB die Personen re-identifizieren – und das reiche aus.

Der EuG sah das grundlegend anders: Entscheidend sei allein die Perspektive des jeweiligen Datenempfängers – in diesem Fall Deloitte. Habe dieser keine rechtlich und tatsächlich umsetzbaren Mittel zur Identifizierung, handele es sich nicht um ein personenbezogenes Datum. Die DSGVO finde damit keine Anwendung.

Die rechtliche Begründung: Maßstab ist der Datenempfänger – nicht ein Dritter

Der EuG berief sich unter anderem auf das frühere Urteil des EuGH in der Rechtssache Breyer (C-582/14). Auch dort ging es um die Frage, ob Daten als personenbezogen gelten, wenn nicht der Verarbeiter, sondern ein Dritter über die Zusatzinformationen zur Identifikation verfügt.

Nach der Argumentation des Gerichts muss geprüft werden, ob die Kombination mit identifizierenden Zusatzdaten für den Empfänger tatsächlich durchführbar ist. Das ist nicht der Fall, wenn:

• der Zugriff gesetzlich untersagt ist
• die Identifizierung einen unverhältnismäßigen Aufwand an Zeit, Kosten und Ressourcen erfordert
• der Empfänger keine rechtliche Möglichkeit hat, an die Daten zu gelangen

Im aktuellen Fall stand fest:

• Der alphanumerische Code reichte für sich genommen nicht zur Identifikation aus
• Deloitte hatte keinen Zugang zu den Registrierungsdaten
• Es bestand kein Recht oder technischer Weg, diese Daten zu erhalten

Fazit: Kein identifizierbarer Personenbezug – keine Anwendung der DSGVO.

Kritik an der Entscheidung des EDSB: Falsche Perspektive gewählt

Besonders deutlich wurde der EuG, als er das Vorgehen des EDSB kritisierte. Die Datenschutzaufsicht habe bei ihrer Bewertung ausschließlich auf den SRB abgestellt, also den ursprünglichen Datenverarbeiter – nicht jedoch auf Deloitte als tatsächlichen Empfänger.

Das Gericht stellte klar: Entscheidend sei allein, ob Deloitte vernünftigerweise in der Lage gewesen wäre, die betroffenen Personen zu identifizieren. Da dies weder rechtlich noch technisch möglich war, dürfe die DSGVO nicht zur Anwendung kommen.

Auswirkungen für die Praxis: Das Ende des Datenschutz-Overkills?

Diese Entscheidung könnte maßgebliche Auswirkungen auf viele Bereiche der Datenverarbeitung haben. Denn bisher neigten Behörden und Gerichte dazu, den Begriff des personenbezogenen Datums sehr weit auszulegen. Nach dem EuG-Urteil gilt jedoch:

• Nicht jeder Datensatz, bei dem irgendwo ein Personenbezug rekonstruiert werden könnte, ist automatisch DSGVO-relevant.
• Maßgeblich ist, welche Informationen dem konkreten Empfänger tatsächlich zur Verfügung stehen – und ob eine Rückidentifizierung realistisch möglich ist.

Für Unternehmen und Behörden eröffnet das neue Spielräume – gerade bei der Zusammenarbeit mit Dienstleistern, Forschungsinstitutionen oder in der IT-Sicherheit. So könnte etwa eine pseudonymisierte Datenübermittlung an Externe erfolgen, ohne dass die DSGVO Anwendung findet – sofern sichergestellt ist, dass der Empfänger keinen Zugang zu identifizierenden Daten hat.

Fazit: DSGVO nicht immer – und das ist gut so

Die Entscheidung des EuG bringt Rechtsklarheit an einer entscheidenden Stelle. Sie zeigt: Datenschutz darf nicht ins Absurde kippen. Nur weil eine Re-Identifizierung theoretisch denkbar ist, heißt das nicht, dass jedes pseudonymisierte Datum unter die DSGVO fällt.

Wenn der Empfänger keine realistische Möglichkeit zur Identifikation hat, handelt es sich nicht um personenbezogene Daten. Damit wird der Anwendungsbereich der DSGVO sachgerecht eingegrenzt, ohne die Rechte Betroffener zu untergraben.

Für alle, die mit Daten arbeiten, bedeutet das: Weniger Unsicherheit, mehr Klarheit – und eine DSGVO, die ihrem eigentlichen Zweck wieder näherkommt.

Wenn Sie wissen möchten, ob bestimmte Datenverarbeitungen in Ihrem Unternehmen wirklich der DSGVO unterliegen, oder wenn Sie Ihre Prozesse sicher und rechtssicher gestalten möchten – sprechen Sie uns gerne an. Wir beraten Sie praxisnah und lösungsorientiert.