Es handelt sich um kein personenbezogenes Datum und die DSGVO nicht anwendbar bei Pseudonymen mit relativem Personenbezug, wenn der jeweilige Datenempfänger keine Mittel zur Re-Identifizierung hat (EuG, Urt. v. 26.03.2023 - Az.: T-557/20).
Inhaltlich ging es um eine Entscheidung der Europäischen Datenschutzbeauftragten (EDSB). Kläger war der Einheitliche Abwicklungsausschuss, der insolvenzbedrohte Banken (SRB) betreut. U.a. werden dazu Stellungnahmen von Betroffenen an den externen Wirtschaftsprüfer Deloitte übermittelt.
Die Übermittlung erfolgte über einen gesicherten und speziell dafür vorgesehenen virtuellen Server übermittelt. Die persönlichen Daten wurden durch einen alphanumerischen Code ersetzt, Zugang zu diesem Code hatte nur der Abwicklungsschuss, nicht jedoch Deloitte.
Nun stellte sich die Frage, ob es sich aus der Sicht von Deloitte um personenbezogene Daten handelt und die DSGVO anwendbar ist.
Der EuG entschied überraschenderweise: Nein.
Ein Personenbezug scheide immer dann, wenn der jeweilige Datenempfänger nicht über die Mittel verfüge, die betroffenen Personen zu re-identifizieren:
"Da der 16. Erwägungsgrund der Verordnung 2018/1725 auf die Mittel Bezug nimmt, die vernünftigerweise entweder von dem Verantwortlichen oder von einem „Dritten“ eingesetzt werden könnten, ist sein Wortlaut ein Indiz dafür, dass es für die Einstufung eines Datums als „personenbezogenes Datum“ (...) nicht erforderlich ist, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. entsprechend Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 43).
Der Gerichtshof führte jedoch weiter aus, dass der Umstand, dass über die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht der Anbieter von Online-Mediendiensten verfügt, sondern der Internetzugangsanbieter dieses Nutzers, daher nicht auszuschließen vermag, dass die von einem Anbieter von Online-Mediendiensten gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten darstellen (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 44).
Zu prüfen war nach Auffassung des Gerichtshofs jedoch, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 45).
Der Gerichtshof wies darauf hin, dass dies nicht der Fall gewesen wäre, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar gewesen wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 46).
Im vorliegenden Fall wird nicht bestritten, dass zum einen der in den an Deloitte übermittelten Informationen enthaltene alphanumerische Code als solcher nicht ausreichte, um die Verfasser der Stellungnahmen zu identifizieren, und zum anderen Deloitte keinen Zugang zu den Identifizierungsdaten hatte, die während der Registrierungsphase erhoben wurden und anhand deren dank des alphanumerischen Codes die Teilnehmer mit ihren Kommentaren in Verbindung gebracht werden konnten."
Und weiter:
"Der EDSB führt also unzutreffend aus, dass nicht untersucht werden müsse, ob Deloitte anhand der übermittelten Informationen deren Verfasser rückidentifizieren könne oder ob diese Rückidentifizierung hinreichend wahrscheinlich sei.
In der überarbeiteten Entscheidung ging der EDSB davon aus, dass für die Annahme, die an Deloitte übermittelten Informationen seien personenbezogene Daten, die Tatsache ausreiche, dass der SRB über die zusätzlichen Informationen verfüge, anhand deren eine Rückidentifizierung der Verfasser der Stellungnahmen möglich sei. Gleichzeitig stellte er aber auch fest, dass die während der Registrierungsphase erhobenen Identifizierungsdaten Deloitte nicht mitgeteilt worden seien.
Aus der überarbeiteten Entscheidung geht somit hervor, dass der EDSB sich auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht der von Deloitte) beschränkt hat.
Wie aber aus der oben in Rn. 92 angeführten Rn. 45 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), hervorgeht, war vom EDSB festzustellen, ob es sich bei der Möglichkeit, die an Deloitte übermittelten Informationen mit den dem SRB vorliegenden zusätzlichen Informationen zu kombinieren, um ein Mittel handelte, das von Deloitte vernünftigerweise zur Bestimmung der Verfasser der Kommentare eingesetzt werden konnte.
Somit durfte der EDSB, weil er nicht geprüft hat, ob Deloitte das Recht hatte, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 beziehen.
Nach alledem ist dem ersten Klagegrund stattzugeben und die überarbeitete Entscheidung für nichtig zu erklären, ohne dass es einer Prüfung des zweiten Klagegrundes bedarf."
Der EuG hat die Entscheidung der EDSB daher für nichtig erklärt.
Sollte sich die Rechtsansicht des EuG durchsetzen, dürfte dies ganz massive Auswirkungen für die Praxis haben, da hierdurch der Anwendungsbereich der DSGVO erheblich eingeschränkt werden würde.