Es kann im Einzelfall schon eine Herausforderung sein, zwischen pseudonymisierten und anonymisierten Daten zu unterscheiden. Oft verfügen Unternehmen über Daten, bei denen eine Re-Identifizierung der betroffenen Person kaum realisierbar ist. Behörden nehmen jedoch häufig an, dass eine Re-Identifizierung mit Hilfe von Informationen Dritter dennoch möglich ist, und gehen daher von einer Pseudonymisierung aus. Wie kompliziert diese Unterscheidung sein kann, verdeutlicht das Urteil des EuGH im Fall C-582/14 (Urteil vom 19.10.2016, Breyer, C-582/14, ECLI:EU:C:2016:779). Laut diesem Urteil gelten IP-Adressen, die von einem Online-Medienanbieter gespeichert werden, als personenbezogene Daten, wenn der Anbieter mit zusätzlichen Informationen des Internetproviders die betroffene Person identifizieren kann.

Am 26. April 2023 veröffentlichte das Gericht erster Instanz der Europäischen Union (EuG) seine Entscheidung in dem Fall T-557/20 (Entscheidung vom 26.04.2023, SRB gegen EDSB, T-557/20, ECLI:EU:T:2023:219). Hierbei äußerte es sich zugleich zur Unterscheidung zwischen pseudonymisierten und anonymisierten Daten. Der Kerngegenstand der Entscheidung war die Überlegung, ob pseudonymisierte Daten, die an Dritte weitergegeben werden, immer noch als personenbezogene Daten betrachtet werden sollten, selbst wenn der Empfänger nicht in der Lage ist, diese Daten zu dekodieren.

Der Single Resolution Board (SRB), oder auf Deutsch Einheitlicher Abwicklungsausschuss, setzte ein digitales Formular ein, über das sich relevante Stakeholder zu bestimmten Themen äußern konnten. Die gesammelten Rückmeldungen wurden an eine Beratungsfirma weitergeleitet. Vor der Weiterleitung tauschte der SRB jedoch die Namen der Teilnehmenden durch eine Codierung aus. In der Folge mehrerer Reklamationen kam der Europäische Datenschutzbeauftragte (EDSB) zu dem Schluss, dass der SRB in pseudonymisierter Form personenbezogene Daten an die Beratungsfirma gesendet hatte, ohne die betreffenden Individuen über diese Datenübertragung in Kenntnis zu setzen. Der SRB hingegen argumentierte, dass eine solche Benachrichtigung überflüssig sei, da die übermittelten Daten seiner Meinung nach als anonym betrachtet werden sollten und demzufolge nicht als personenbezogene Daten im Sinne des Empfängers gewertet werden konnten. Im Fall der Weitergabe von pseudonymisierten Daten muss geprüft werden, ob der Datenempfänger in der Lage ist, eine Re-Identifikation durchzuführen. Wenn der Empfänger nicht über zusätzliche Informationen verfügt, die eine Re-Identifikation ermöglichen, und keine andere Möglichkeit hat, rechtmäßig an solche Informationen zu gelangen, können die übermittelten Daten als anonym betrachtet werden. Die Fähigkeit des Absenders, die Daten zu re-identifizieren, ist für die Beurteilung, ob es sich bei den empfangenen Daten um personenbezogene Daten handelt, nicht relevant.

Bei dieser Beurteilung muss nicht nur untersucht werden, ob eine faktische und/oder rechtliche Möglichkeit der Re-Identifikation gegeben ist, sondern auch, ob es vernünftigerweise zu erwarten ist, dass eine Re-Identifikation unter Berücksichtigung des damit verbundenen Aufwands stattfindet.

Da der EDSB diese umfassende Prüfung aus der Perspektive des beratenden Unternehmens, das die Daten empfängt, nicht durchgeführt hat, erklärte das Gericht die Entscheidung des EDSB für ungültig.

Das kürzlich gefällte Urteil des Gerichts der Europäischen Union könnte erhebliche Implikationen für die Auslegung und Anwendung der DSGVO haben, insbesondere hinsichtlich der Verwendung pseudonymisierter Daten. Interessant ist, dass durch dieses Urteil möglicherweise eine Vielzahl von Anwendungsfällen aus dem Anwendungsbereich der DSGVO herausfallen könnten.

Zum Beispiel könnte die Verwendung von Webfonts, wie Google Fonts, und das Einbinden externer Bibliotheken, bei denen normalerweise nur die IP-Adresse des Benutzers an Drittanbieter übermittelt wird, möglicherweise nicht mehr als Verarbeitung personenbezogener Daten angesehen werden. Ebenso könnten Content Delivery Networks (CDNs), die in der Regel auf IP-Adressen basieren, um Ressourcen effizient bereitzustellen, von dieser Neubewertung betroffen sein.

Des Weiteren könnten Webserver-Logs, die oft nur die IP-Adresse von Nutzern protokollieren und für Netzwerksicherheit und Performance-Monitoring verwendet werden, sowie Traffic-Analysen, bei denen IP-Adressen zur Optimierung des Netzwerkflusses herangezogen werden, ebenfalls außerhalb des Anwendungsbereichs der DSGVO fallen.

Ähnliche Überlegungen könnten auch für Anycast-Routing-Verfahren, DDoS-Abwehrmaßnahmen und IP-adressenbasierte Zugriffsbeschränkungen gelten, bei denen keine weiteren personenbezogenen Daten außer der IP-Adresse verarbeitet werden.

Die damit einhergehende Erleichterung könnte Millionen von Webseitenbetreibern die Rechtssicherheit geben, die der Gesetzgeber nach Safe Habour und Privacy Shield den Adressaten der DSGVO weitestgehend schuldig geblieben ist.

Es ist jedoch wichtig zu betonen, dass dieses Urteil derzeit noch nicht rechtskräftig ist und daher mit Bedacht betrachtet werden sollte. Sollte es aber endgültig bestätigt werden, könnte dies weitreichende Folgen für die Interpretation und Anwendung der DSGVO haben und möglicherweise zu mehr Klarheit in einem Bereich führen, der bislang durch Unsicherheiten geprägt war. Unternehmen und Webseitenbetreiber sollten die Entwicklung genau verfolgen und gegebenenfalls ihre Datenschutzpraktiken anpassen.