Urteil : Kein Personenbezug bei fehlenden Mitteln des Datenempfängers zur Re-Identifizierung : aus der RDV 4/2023 Seite 254 bis 257
(EuG, Urteil vom 26. April 2023 – T-557/20 –)
- Sichtweisen und persönliche Meinungen stellen nicht per se personenbezogene Daten dar. Es ist vielmehr im Einzelfall zu prüfen, ob sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind.
- Werden pseudonymisierte Informationen an Dritte übermittelt, handelt es sich aus Sicht des Empfängers nur dann um personenbezogene Daten, wenn der Datenempfänger über Mittel verfügt, die betroffenen Personen zu reidentifizieren. Eine solche Identifizierbarkeit ist insbesondere dann abzulehnen, wenn die Identifizierung der betreffenden Person aus Sicht des Datenempfängers gesetzlich verboten oder praktisch nicht durchführbar ist.
(Nicht amtliche Leitsätze)
Zur Begründetheit:
Art. 3 Nr. 1 der Verordnung 2018/1725 bestimmt den Begriff personenbezogene Daten als „alle Informationen[,] die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen[, wobei] als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
Gemäß dieser Begriffsbestimmung sind Informationen u.a. dann personenbezogene Daten, wenn zwei kumulative Voraussetzungen erfüllt sind, nämlich zum einen die, dass sich diese Informationen auf eine natürliche Person „beziehen“, und zum anderen, dass dies eine „identifizierte oder identifizierbare“ Person ist. […]
Zur Voraussetzung nach Art. 3 Nr. 1 der Verordnung 2018/1725, wonach die Informationen sich auf eine natürliche Person „beziehen“ müssen
Nach der Rechtsprechung kommt in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ in Art. 3 Nr. 1 der Verordnung 2018/1725 das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (vgl. entsprechend Urt. v. 20. Dezember 2017, Nowak, C 434/16, EU:C:2017:994, Rn. 34).
Was diese letztgenannte Voraussetzung betrifft, so hat der Gerichtshof entschieden, dass sie erfüllt ist, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (Urt. v. 20. Dezember 2017, Nowak, C 434/16, EU:C:2017:994, Rn. 35).
In der überarbeiteten Entscheidung hat der EDSB aber weder den Inhalt noch den Zweck noch die Auswirkungen der an Deloitte übermittelten Informationen geprüft.
Vielmehr hat er sich auf den Hinweis beschränkt, dass die von den Beschwerdeführern während der Konsultationsphase eingereichten Stellungnahmen deren Meinungen oder Sichtweisen widerspiegelten, und kam allein auf dieser Grundlage zu dem Ergebnis, dass es sich bei den Stellungnahmen um Informationen über diese Personen handele, was für ihre Einstufung als personenbezogene Daten ausreiche. […]
Zwar kann nicht ausgeschlossen werden, dass persönliche Sichtweisen oder Meinungen personenbezogene Daten darstellen. Doch aus […] [dem Urteil des EuGH] vom 20. Dezember 2017, Nowak (C 434/16, EU:C:2017:994), geht hervor, dass eine solche Stellungnahme nicht auf eine Annahme wie die oben […] beschriebene gestützt werden darf, sondern auf der Prüfung beruhen muss, anhand deren bestimmt werden soll, ob eine Sichtweise aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist. […]
Zur Voraussetzung nach Art. 3 Nr. 1 der Verordnung 2018/1725, wonach die Informationen sich auf eine „identifizierte oder identifizierbare“ natürliche Person“ beziehen müssen. Gemäß dieser Vorschrift wird als „identifizierbare natürliche Person“ eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. […]
Da der 16. Erwägungsgrund der Verordnung 2018/1725 auf die Mittel Bezug nimmt, die vernünftigerweise entweder von dem Verantwortlichen oder von einem „Dritten“ eingesetzt werden könnten, ist sein Wortlaut ein Indiz dafür, dass es für die Einstufung eines Datums als „personenbezogenes Datum“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 nicht erforderlich ist, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. entsprechend Urt. v. 19. Oktober 2016, Breyer, C 582/14, EU:C:2016:779, Rn. 43).
Der Gerichtshof führte jedoch weiter aus, dass der Umstand, dass über die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht der Anbieter von Online-Mediendiensten verfügt, sondern der Internetzugangsanbieter dieses Nutzers, daher nicht auszuschließen vermag, dass die von einem Anbieter von OnlineMediendiensten gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten darstellen (Urt. v. 19. Oktober 2016, Breyer, C 582/14, EU:C:2016:779, Rn. 44).
Zu prüfen war nach Auffassung des Gerichtshofs jedoch, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann (Urt. v. 19. Oktober 2016, Breyer, C 582/14, EU:C:2016:779, Rn. 45).
Der Gerichtshof wies darauf hin, dass dies nicht der Fall gewesen wäre, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar gewesen wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre (Urt. v. 19. Oktober 2016, Breyer, C 582/14, EU:C:2016:779, Rn. 46). […]
Wie der EDSB […] ausführt, schließt die Tatsache, dass nicht Deloitte, sondern der SRB über die zur Identifizierung der Verfasser der während der Konsultationsphase abgegebenen Stellungnahmen erforderlichen zusätzlichen Informationen verfügte, zwar nicht von vornherein aus, dass es sich bei den an Deloitte übermittelten Informationen für Deloitte um personenbezogene Daten handelte.
Doch geht aus dem Urt. v. 19. Oktober 2016, Breyer (C 582/14, EU:C:2016:779), auch hervor, dass für die Bestimmung, ob es sich bei den an Deloitte übermittelten Informationen um personenbezogene Daten handelte, auf das Verständnis abzustellen ist, das Deloitte bei der Bestimmung der Frage hatte, ob die ihr übermittelten Informationen sich auf „identifizierbare Personen“ beziehen. […]
Somit war es gemäß […] des Urt. v. 19. Oktober 2016, Breyer (C 582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren. […]
Somit durfte der EDSB, weil er nicht geprüft hat, ob Deloitte das Recht hatte, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 beziehen.
Anmerkung zum EuG-Urteil
Die Entscheidung nimmt zur Frage der anonymisierenden Wirkung einer Pseudonymisierung Stellung und bejaht diese Möglichkeit im Ergebnis grundsätzlich. Das Gericht der Europäischen Union (EuG) ist ein eigenständiges europäisches Gericht, das dem Europäischen Gerichtshof (EuGH) nachgeordnet ist, und unter anderem für direkte Klagen natürlicher oder juristischer Personen gegen Maßnahmen oder Unterlassen von Maßnahmen der Gemeinschaftsorgane zuständig ist.
1. Bedeutung der Entscheidung für die Datenschutzpraxis
Die Entscheidung ergeht zu einer Entscheidung des europäischen Datenschutzbeauftragten (EDSB) gegen eine europäische Behörde. Rechtsentscheidend sind daher hauptsächlich Bestimmungen der Verordnung (EU) 2018/1725, die nach deren Art. 2 Abs. 1 für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union gilt. Sie geht als speziellere Norm der DS-GVO vor und ersetzt die dort noch in Art. 2 Abs. 3 genannte Verordnung (EG) Nr. 45/2001. Die DS-GVO sieht ihrerseits die Anpassung der Verordnung (EG) Nr. 45/2001 vor, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten.
Zwar nimmt die Entscheidung nicht direkt zu Bestimmungen der DS-GVO Stellung, sie ist dennoch inhaltlich von Bedeutung, da die streitentscheidenden Normen der Verordnung (EU) 2018/1725 wortgleich zu den entsprechenden Normen der DS-GVO sind. Ohnehin diente die DS-GVO der Verordnung (EU) 2018/1725 in Inhalt und Wortlaut als Vorbild, was eine reibungslose parallele Anwendung der Normen ermöglichen sollte (Erwägungsgrund 4 VO 2018/1725). Insbesondere wortgleich sind die Begriffsdefinitionen „personenbezogene Daten in Art. 3 Nr. 1 VO 2018/1725 respektive Art. 4 Nr. 1 DS-GVO und „Pseudonymisierung“ in Art. 3 Nr. 6 VO 2018/1725 respektive Art. 4 Nr. 5 DS-GVO. Wortgleich sind auch Erwägungsgrund 16 VO 2018/1725 und Erwägungsgrund 26 DS-GVO, die die Relativität des Personenbezugs betreffen und klarstellen, dass die jeweiligen Verordnungen keine anonymen Daten betreffen.
Die Entscheidung setzt sich auch ausführlich mit der BreyerEntscheidung des EuGH auseinander (ECLI:EU:C:2016:779 = RDV 6/2016), die wesentliche Hinweise für die grundrechtkonforme Auslegung von unionalen Datenschutzbestimmungen enthält und auch zum Begriff des Personenbezugs Stellung nimmt [Rn. 88 ff.]. Auch wenn sich jenes Urteil noch auf die Datenschutz-Richtlinie (RL 1995/46/EG – DS-RL) bezog, haben die dort getroffenen Erwägungen Gewicht, insbesondere weil die Definition in Art. 2 lit. a DS-RL sowie Erwägungsgrund 26 fast wortgleich in die DS-GVO respektive die VO 2018/1725 übernommen worden sind.
2. Anonymisierende Wirkung der Pseudonymisierung
a) Pseudonymisieren
Pseudonymisieren ist nach Art. 3 Nr. 6 VO 2018/1725 respektive Art. 4 Nr. 5 DS-GVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Fraglich ist insbesondere, ob eine Pseudonymisierung durch einen Verarbeiter für einen Dritten eine anonymisierende Wirkung hat, so dass die Daten an jenen übermittelt werden können. Anonyme oder anonymisierte Daten unterliegen nicht (mehr) der VO 2018/1725, der DS-GVO oder den Datenschutzgesetzen des Bundes und der Länder. Der EuG bejaht diese Möglichkeit in der vorliegenden Entscheidung i.E. grundsätzlich. Der EuG nimmt damit insbesondere die Aufsichtsbehörde, aber auch Verarbeiter in die Pflicht, zu prüfen, ob die an Ditte übermittelten pseudonymisierten Daten für den Dritten tatsächlich personenbeziehbar sind [Rn. 100].
Die anonymisierende Wirkung der Pseudonymisierung ist nicht unumstritten. Nach einem Teil der Literatur soll Pseudonymisierung keinen Einfluss auf die Personenbeziehbarkeit eines Datums haben (Eckhardt/Kramer, DuD 2013, 287 (288 f.); Karg, DuD 2015, 520 (521f.); PDK Hessen § 2 Rn.17; Schild, in: BeckOK DatenschutzR, 42. Ed. 01.11.2022, DS-GVO, Art. 4, Rn. 77; Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl 2021, Art.4 Rn.40; Piltz, K&R 2016, 557 (562); Klar/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art.4 Rn. 26 ff., 31.; nach Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-DS-GVO und BDSG, 2. Aufl. 2020, Art. 4 Rn. 80, soll die Datenverarbeitung weiterhin der DS-GVO unterliegen soll, wenn die Re-Identifizierung nicht absolut ausgeschlossen ist). Pseudonymisierung sei bestenfalls eine technisch-organisatorische Maßnahme zum Schutz der weiterhin personenbezogenen Daten (Karg, DuD 2015, 520 (521f.); Albrecht/Jotzo, DatenschutzR, 2017, Teil 3, Rn. 4, Teil 5, Rn. 8).
Die zutreffende herrschende Meinung liegt jedoch auf der Argumentationslinie des EuGH. Nach ihr kann einer Pseudonymisierung eine anonymisierende Wirkung gegenüber Dritten zukommen (mit weiteren Nennungen, insb. zum BDSG aF, Ziebarth, in: Sydow/Marsch (Hrsg.), DS-GVO/BDSG, 2022, Art. 4 Rn. 97 f.; s.a. Bischoff, PharmR 2020, 309 (314); Roßnagel, ZD 2018, 243 (245f.); Eßer, in: Eßer/Kramer/Lewinski (Hrsg.), DS-GVO/ BDSG, 7. Aufl. 2020, Art. 4, Rn. 71; Gierschmann, ZD 2021, 482 (483); Hofmann/Johannes, ZD 2017, 221 (224); Johannes, in: Roßnagel (Hrsg.), Das neue Datenschutzrecht, 2018, § 7 Rn. 249; Johannes/Geminn MedR 2023, 368; Pötters, in: Gola/Heckmann (Hrsg.), DS-GVO/BDSG, 3. Aufl. 2022, Art. 89 Rn. 13). Die Bewertung der Anonymität bestimmter Daten ist dann vom konkreten Verarbeitungskontext abhängig. Zunächst darf der Dritte die Zuordnungsregel nicht kennen. Außerdem darf er nicht über Zusatzwissen verfügen, die eine Re-Identifizierung zuließe.
Dies liegt im Einklang mit Breyer-Entscheidung des EuGH, zu der der EuGH in der vorliegenden Entscheidung ausführlich Stellung nimmt und sichtlich bemüht ist Einklang herzustellen. In jener Entscheidung hatte der EuGH allgemein festgestellt, dass das Wissen anderer Personen oder Stellen für den Verantwortlichen ein Mittel darstellt, das dieser „vernünftigerweise“ zur Bestimmung der betreffenden Person einsetzen kann, wenn er über rechtliche Möglichkeiten verfügt, um an das identifizierende Zusatzwissen zu gelangen. Ein Mittel kann dagegen nicht „vernünftigerweise“ zur Bestimmung einer natürlichen Person eingesetzt werden, wenn die Identifizierung der Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko einer Identifizierung de facto vernachlässigbar erschiene (s.a. Johannes/Geminn MedR 2023, 368).
Für die Feststellung einer Identifizierbarkeit der betroffenen Person ist nach Art. 3 Nr. 1 VO 2018/1725 respektive Art.4 Nr.1 DS-GVO zufolge maßgeblich, ob die vorhandene Information als solche bereits für eine Identifizierung ausreicht oder ob die Heranziehung oder Verknüpfung weiterer Informationen zur Bestimmung erforderlich ist. Hierbei sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die betroffene Person zu identifizieren.
b) Risikoprognose zur Re-Identifizierung
Ob eine Pseudonymisierung daher für Dritte eine anonymisierende Wirkung hat hängt also davon ab, ob der Dritte – als potenzieller weiterer Verantwortlicher – mittels der ihm zur Verfügung stehenden Mittel, Kenntnisse und Möglichkeiten die (Re-)Identifikation vornehmen kann. Die muss im Wege einer Risikoprognose bewertet werden. Diese muss sowohl das Interesse möglicher Datenverarbeiter als auch die von ihnen mobilisierbaren Mittel der Zuordnung berücksichtigen (siehe auch Schwartmann/Jaspers/Lepperhof/Weiß/Meier, Praxisleitfaden für die Anonymisierung personenbezogener Daten, 2022). Die Zuordnung der Daten zu einer identifizierbaren Person muss im Verhältnis zu dem dazu notwendigen Aufwand so unverhältnismäßig sein, dass eine Identifizierung nach allgemeiner Lebenserfahrung oder dem Stand der Wissenschaft und Technik nicht zu erwarten ist. Dabei muss das vorhandene oder erwerbbare Zusatzwissen des Verantwortlichen, die aktuelle und künftige technische Möglichkeiten der Verarbeitung sowie der mögliche Aufwand und die verfügbare Zeit berücksichtigt werden. Eine absolut sichere Unmöglichkeit der Zuordnung ist nicht erforderlich (siehe zum Beispiel. Art. 29-Datenschutzgruppe, Stellungnahme 5/2014 vom 10.04.2014, WP 216, S. 10; Gola, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl. 2022, Art. 4 Rn. 40; Ziebarth, in: Sydow/Marsch (Hrsg.), DS-GVO/BDSG, 2022, Art. 4 Rn. 97 f.; Husemann, in: Roßnagel (Hrsg.), Das neue Datenschutzrecht, 2018, § 3 Rn. 7; Roßnagel, in: Roßnagel (Hrsg.), HDSIG, 2021, § 2 Rn. 40 ff.; Roßnagel/Scholz, MMR 2000, 721 (723 f.).
Eine Risikoprognose muss die Gesamtumstände bewerten. Entscheidend kommt es auf das Wissen und die dem empfangendem Dritten zur Verfügung stehenden Mittel an. Das Risiko einer Re-Identifizierung lässt sich auch nie vollständig ausschließen. Aufdeckungen des Personenbezugs lassen sich insbesondere dann nicht ausschließen, wenn die Daten vielen Verantwortlichen mit unterschiedlichem mobilisierbarem Zusatzwissen zur Verfügung stehen und langfristig aufbewahrt und damit dem künftigen technischen Fortschritt ausgesetzt sein werden. Wenn ausreichendes Vertrauen in die Anonymisierung und damit in die wesentliche Voraussetzung gerade auch für das Trainieren, Testen und Evaluieren von KI-Systemen erreicht werden soll, müssen ergänzende – insbesondere rechtliche – Maßnahmen in die Beständigkeit der Anonymität ergriffen werden (Roßnagel/Geminn, ZD 2019, 487 (488), Johannes/Geminn, MedR 2023, 368).
Tatsachen, die für eine anonymisierende Wirkung der Pseudonymisierung sprechen sind u.a.:
- Den zu übermittelten Daten ist keine Information zur Identifizierung inhärent. Zum Beispiel sind Porträtaufnahmen, biometrische oder genetische Daten in der Regel eindeutig und aussagekräftig genug, um eine Person individualisierbar zu machen und zu identifizieren.
- Der Dritte hat auch keine tatsächliche Möglichkeit zur Einsichtnahme der Daten bei dem pseudonymisierenden Verarbeiter, insbesondere nicht über die verwendeten IT-Anwendungen. ▪ Randomisierte Pseudonyme ermöglichen einen schwereren Rückschluss auf eine natürliche Person.
- Die Pseudonyme sind keiner anderen Stelle bekannt. So ist das Risiko einer Re-Identifizierung größer, je mehr Verarbeiter das Pseudonym einer bestimmten Person zuordnen können oder auch nur kennen. Das Risiko ist auch größer, je weiter verbreitet der pseudonymisierte Datensatz ist.
- Die Pseudonyme wurden vor Übermittlung an den Dritten vom Verarbeiter verschlüsselt, so dass der Dritte nur die verschlüsselten Pseudonyme kennen würde.
- Der Dritte verfügt auch über keine rechtlichen Mittel, an das Wissen zu den Pseudonymen zu gelangen. Es dürften, anders als zum Beispiel in der Breyer-Entscheidung zu IP-Adressen, keine gesetzlichen oder vertraglichen Auskunftsrechte gegenüber dem Verarbeiter oder Dritten bestehen, die eine Re-Identifizierung ermöglichen.
- Die Informationen zum Pseudonym unterliegen beim pseudonymisierenden Verarbeiter einer berufsrechtlichen Geheimhaltungspflicht.
- Zu berücksichtigen sind auch spezifische organisatorische Maßnahmen zur Wahrung der Interessen der betroffenen Person, die auch darauf abzielen das Risiko einer Re-Identifizierung weiter zu verringern. Konkrete Beispiele für Maßnahmen, die ein entsprechender Verarbeiter treffen könnte und mit einem Dritten vereinbaren könnte und die für eine Anonymität der pseudonymisierten Daten bei dem Dritten streiten würden sind zum Beispiel:
- die Verpflichtung von Mitarbeitern auf Wahrung von Geschäftsgeheimnissen und Datenschutz, die auch die Re-Identifizierung und ungenehmigte Weitergabe anonymisierter Daten umfassen;
- die Prüfung der an den Dritten übermittelten Daten durch den Dritten bei Eingang darauf, dass identifizierende Merkmale durch den übermittelnden Verarbeiter entfernt wurden; ▪ die Einschaltung eines Datentreuhänders oder Datenvermittlungsdienstes, der Zuordnungsschlüssel für Verarbeiter und Dritte verwaltet, die Qualität der Anonymisierung prüft und ggf. nicht benötigte identifizierende Merkmale entfernt und
- konkrete weitere Maßnahmen zur Anonymisierung der Datensätze bei Verarbeiter und/oder Drittem (auch nach Übermittlung), ggf. schrittweise oder nach bestimmten Fristablauf, zum Beispiel durch Löschung der ID zur Übernahme in KI-Trainingsdaten, Verschleierung oder Löschung von Metadaten zur Herkunft und Eingangszeitpunkt.
Fazit
Das Konzept der anonymisierenden Wirkung der Pseudonymisierung verbreitet in der Praxis mitunter große Unsicherheit. Dies folgt aus der Komplexität der Konstruktion und dem seit langem bestehendem Streit um das Konzept an sich. Bezogen auf die anonymisierende Wirkung der Pseudonymisierung bestehen wirksame Instrumente in Form von technischen und organisatorischen Maßnahmen, um die verbleibenden Risiken zu adressieren können. Auch im Kontext der Anonymisierung geht es nicht um eine Reduktion bestehender Risiken auf null. Ein Restrisiko der Re-Identifizierung besteht hier wie da, insbesondere mit Blick auf möglicherweise in der Zukunft entstehende Auswertungsmethoden (Johannes/Geminn, MedR 2023, 368, 372).
Bisher finden sich in der Judikatur nur wenig vergleichbare Fälle oder Entscheidungen, die im Anwendungsbereich der DS-GVO spielen (vgl. z.B. VG Hamburg, ZD 2023, 300 m. Anm. Petri). Es ist davon auszugehen, dass sich das zukünftig ändern wird, da die Weitergabe von pseudonymisierten Daten ein verbreitetes Phänomen der Datenwirtschaft ist und sich nicht alle diese Weitergaben durch eine Auftragsverarbeitung lösen lassen können. Die vorliegende Entscheidung des EuG gibt einen Hinweis darauf, wie diese Konstellationen zu bewerten sind: Nicht mittels pauschalierter Bewertungen, sondern durch einzelfallbezogene Prüfungen und Risikobewertungen.
(Paul C. Johannes, LL.M.)