Der Europäische Gerichtshof (EuGH) hat mit dem „SRB“-Urteil eine wichtige Entscheidung zum datenschutzkonformen Umgang mit pseudonymisierten Daten getroffen, die insbesondere für Unternehmen in der AdTech-Branche von Bedeutung ist, aber auch für die digitale Medizin relevant ist. Im Mittelpunkt steht dabei die Frage, wann Daten als personenbezogen gelten und wann nicht. Der Ausgangspunkt ist dabei altbekannt: Während personenbezogene Daten Informationen sind, die sich direkt oder indirekt einer natürlichen Person zuordnen lassen, fallen anonyme Daten nicht unter die Datenschutz-Grundverordnung. Pseudonymisierte Daten nehmen hier eine Zwischenstellung ein: Sie können zwar nicht ohne Weiteres einer Person zugeordnet werden, sind jedoch theoretisch wieder identifizierbar, insbesondere für denjenigen, der die Pseudonymisierung vorgenommen hat.
Bisher wurde in der Praxis überwiegend der so genannte absolute Ansatz verfolgt, wonach Daten als personenbezogen gelten, sobald irgendeine Stelle sie mit vertretbarem Aufwand einer Person zuordnen kann. Der EuGH stellt im SRB-Urteil jedoch klar, dass es auf die Perspektive des jeweils Verantwortlichen ankommt. Im konkreten Fall betraf dies die Weitergabe pseudonymisierter Daten: Für den Empfänger waren diese Daten anonym, da er die Pseudonymisierung für sich nicht auflösen konnte. Für den Absender dagegen blieben die Daten personenbezogen, sodass er gegenüber den betroffenen Personen zur Information verpflichtet war. Damit hebt das Gericht hervor, dass pseudonymisierte Daten je nach Blickwinkel unterschiedlich eingestuft werden können, die Compliance-Pflichten jeweils aus Sicht des konkret Handelnden zu prüfen sind.
Für die AdTech-Branche bedeutet dies zunächst, dass Tracking-Daten wohl weiterhin in aller Regel als personenbezogen zu behandeln sind – obwohl sie nur Pseudonyme enthalten. Zwar sind Ausnahmekonstellationen denkbar, etwa bei der Tätigkeit von rein technischen Dienstleistern oder bei der Nutzung von Data Clean Rooms. Letztere können eine datenschutzfreundliche Lösung darstellen, da die pseudonymen Tracking-Daten für den Betreiber des Clean Rooms zumindest nach einer Maskierung der Identifier als anonym gelten können. Für die an einem solchen Datenaustausch teilnehmenden Unternehmen bleiben sie jedoch personenbezogen, sodass die Anforderungen an eine ausreichende Rechtsgrundlage, die Transparenz und die Wahrung der Betroffenenrechte fortbestehen. Der praktische Nutzen solcher Konstruktionen ist daher begrenzt.
Insgesamt bringt das SRB-Urteil deshalb keine grundlegende Änderung des anwendbaren Maßstabs, wohl aber eine wichtige Klarstellung: Unternehmen müssen den Personenbezug von Daten stets aus ihrer eigenen Perspektive prüfen und ihre Compliance-Pflichten entsprechend bewerten. Wer sich tatsächlich auf die Anonymität von Daten stützen möchte, sollte dies sorgfältig dokumentieren und argumentativ absichern.
(Dr. Lukas Mezger, UNVERZAGT Rechtsanwälte)