Paul C. Johannes
Robin L. Mühlenbeck, Anonyme und pseudonyme Daten,
Baden-Baden (Nomos) 2023, ISBN 978-3-7560-0225-2, 119 EUR
ZD-Aktuell 2024, 04504 Mühlenbeck ist als (Mit-)Autor in mehreren anerkannten Kommentaren und Lehrbüchern zum Datenschutzrecht (zB Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, 2020; Schwartmann/Pabst (Hrsg.), Landesdatenschutzgesetz, Nordrhein-Westfalen 2020), ausgewiesener Datenschutzexperte. Seine Dissertation ist als 66. Band der von Prof. Dr. Spiecker genannt Döhmann herausgegebenen Buchreihe Frankfurter Studien zum Datenschutz erschienen. Es ist zwar nicht so, dass sich noch kein anderer der Bände der Reihe mit der Frage des Personenbezugs und der Anonymität und Pseudonymität von Daten beschäftigtet hätte. Eigentlich tun sie das an irgendeiner Stelle alle. Keiner hat dies aber so konsequent und verdichtet hinsichtlich der DS-GVO betrachtet wie die hier besprochene Dissertation. Eine zusammenhängende Betrachtung ist notwendig, da die Begriffe einander bedingen: Anonyme Daten haben keinen Personenbezug; Daten, denen der Personenbezug entfernt wurde, sind anonymisiert; pseudonymisierte Daten haben für den Verantwortlichen in der Regel noch Personenbezug usw.
Der grundrechtliche Datenschutz, sei es nach Art. 8 GRCh oder nach Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG, steht und fällt mit dem Personenbezug von Daten (Roßnagel ZD 2021, 188 (191), Hornung/Wagner ZD 2020, 223 (225)). Dies bedingt den Anwendungsbereich des einfachgesetzlichen Datenschutzrechts (s. nur Art. 2 Abs. 1 DS-GVO). Mühlenbeck versteht dies als „Gretchenfrage“ (S. 38): Wann ist ein Datum personenbezogen und wie weit reicht diese Bewertung (S. 39)? Wie verhält sich dies im Kontext der gesetzliche definierten Pseudonymisierung (Art. 4 Nr. 5)? Diese Forschungsfrage will er, wenn nicht allgemein, wenigsten in Bezug auf die DS-GVO klären. Die Untersuchung ist dann auch auf die DS-GVO beschränkt. Neueres europäisches Datenrecht, wie zB der Data Governance Act (2022/868) und der Data Act (2023/2854) und ihr Verhältnis zum Personenbezug sowie anonymisierten und pseudonymisierten Daten wird nicht betrachtet (dazu aber zB Geminn/Johannes (Hrsg.), Europäisches Datenrecht, in Vorbereitung für 2024). Auf Besonderheiten des Landesrechts, das in Umsetzung der DS-GVO erlassen wurde, geht der Autor jedoch kursorisch ein, genauso wie auf das Grundrecht auf Datenschutz und das auf informationelle Selbstbestimmung.
Der Gang der Untersuchung ist erfreulich gradlinig: Ausgehend von der Forschungsfrage (Kapitel 1) wird die Reichweite des Personenbezugs nach DS-GVO dargestellt (Kapitel 2). Aufbauend darauf wird die Pseudonymisierung und Pseudonymität von Daten untersucht (Kapitel 3). Anschließend wird die Anonymisierung und Anonymität von Daten (Kapitel 4) untersucht. Die aus den Untersuchungen gewonnenen Ergebnisse werden sodann zu Thesen verdichtet (Kapitel 5).
Die rechtlichen Betrachtungen und Auslegungen werden erfreulicherweise, insbesondere im Kapitel 3 und 4, durch plastische Beschreibungen von Techniken zur Pseudonymisierung und Anonymisierung untermauert. Dies fördert die Darstellung sehr, setzt sie die rechtlichen Bewertungen doch in einen verständlicheren Kontext. Dies unterstützt Mühlenberg weiter durch die Bildung und Bewertung von Praxisbeispielen (zB „Pseudonymisierung von Gesundheitsdaten in der medizinischen Forschung“, S. 262). Wermutstropfen ist hier allenfalls, dass auch im Rahmen der Praxisbeispiele die Bewertung von verbleiben Risiken der Re-Identifizierung nicht spezifisch genug erfolgt und nur angerissen werden (S. 275). Auf Grund der Vielzahl möglicher Fallgestaltungen sind allgemeingültige Aussagen nämlich nur begrenzt möglich (Mühlenbeck, S. 356). Gerade deswegen ist die Bewertung konkreter Sachverhalte und deren Abgrenzung voneinander erforderlich (dazu mit einem Sachverhalt aus der Hämatologie und Fremdlaboren Johannes/Geminn, Medizinrecht 2023, 368).
Die Ergebnisse der Arbeit sind dennoch insgesamt sehr überzeugend und jeweils fundiert belegt:
- Anonymisierung und Pseudonymisierung sind Verarbeitungsvorgänge iSd DS-GVO. Ihr Ziel ist die Schaffung von anonymisierten respektive pseudonymisierten Daten. Daneben existieren, bezogen auf den einzelnen Verantwortlichen, auch originär anonyme respektive pseudonyme Daten.
- Mit Rspr. und hM ist hinsichtlich der DS-GVO von einem erweiterten relativen Begriff des Personenbezugs auszugehen, der auf das Wissen und die dem Verantwortlichen zur Verfügung stehenden Mittel abstellt. Dies folgt aus Wortlaut und Sinn und Zweck der Verordnung und wird insbesondere durch deren Erwägungsgrund 26 bestätigt.
- Die Pseudonymisierung dient als technische Maßnahme dem Schutz von Daten iSv Art. 5 Abs. 1 lit. f DS-GVO und Art. 32 DS-GVO. Ihr kommt aber auch eine Ermöglichungsfunktion zu, indem sie Rechtsmäßigkeit einer Datenverarbeitung stützen kann, zB bei Abwägungen iRv Art. 6 Abs. 1 S. 1 lit. f DS-GVO und Art. 9 Abs. 2 lit. b, lit. d, lit. g, lit. i und lit. j DS-GVO.
- Der Personenbezug pseudonymer oder pseudonymisierter sowie anonymer oder anonymisierter Daten ist differenziert und zu betrachten. Zu Fragen ist nach der (Re-)Identifizierungsmöglichkeit durch den jeweiligen Verantwortlichen.
- Die Relativität des Personenbezugs führt konsequenterweise zu der Bewertung, dass Daten, die durch die eine Stelle pseudonymisiert wurden, für die andere Stelle anonym sein können, solange diese nicht über Mittel zur Re-Identifizierung verfügt.
- Ob eine Stelle über die Mittel zur (Re-)Identifizierung verfügt, bedarf einer risikoorientierten Abwägung und Prüfung im Einzelfall.
Mühlenbeck kommt bei letzteren Punkten zu dem Ergebnis, zu dem jüngst auch der EuG in vergleichbarer Sache gekommen ist (EuG RDV 2023, 254 mAnm Johannes = ZD 2023, 399, wobei dieses Urteil in der Dissertation wohl noch nicht bewertet werden konnte). Dieses Urteil wurde vom europäischen Datenschutzbeauftragten vor dem EuGH angefochten (Az. C-413/23) und die höchstrichterliche Klärung der „Grechtenfragen“ zur Reichweite des Personenbezugs und der anonymisierenden Wirkung der Pseudonymisierung wird mit Spannung erwartet.
Zusammenfassend ist festzuhalten, dass es sich bei dem Buch um eine sehr anspruchsvolle, vertiefte Auseinandersetzung mit Rechtsfragen des Personenbezugs, der Anonymisierung und der Pseudonymisierung nach DS-GVO handelt, die im Hinblick auf das Datenschutzrecht eine sehr große Bedeutung haben. Das Werk zeichnet sich durch eine gelungene Schwerpunktsetzung und eingängige Darstellung aus. Es wird mit Überzeugung empfohlen.
Paul C. Johannes ist Rechtsanwalt und geschäftsführender Gesellschafter der Datenrecht Beratungsgesellschaft. Er forscht in der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel.