Die Auswirkungen der EU-Digital-Omnibus-Verordnung auf die Definition personenbezogener Daten in der DSGVO

Am 19. November legte die Europäische Kommission einen Verordnungsentwurf vor, der als „Digital Omnibus Regulation“ (Omnibus-Verordnung) bekannt ist und darauf abzielt, verschiedene digitale Gesetze innerhalb der EU zu vereinfachen und zu konsolidieren. Eine der bedeutendsten vorgeschlagenen Änderungen betrifft die Definition personenbezogener Daten in Artikel 4 Absatz 1 der EU-Datenschutz-Grundverordnung (DSGVO).

Der aktuelle Entwurf der Omnibus-Verordnung sieht vor, die Definition von personenbezogenen Daten gemäß der DSGVO um drei zusätzliche Sätze zu ergänzen. Die drei vorgeschlagenen Sätze bekräftigen die bereits in den Erwägungsgründen der DSGVO enthaltenen Grundsätze sowie die Rechtsprechung des Gerichtshofs der Europäischen Union dazu, was keine personenbezogenen Daten im Sinne der DSGVO sind (und daher nicht in den Anwendungsbereich der DSGVO fallen). 

Die drei vorgeschlagenen zusätzlichen Sätze lauten:

• „Informationen über eine natürliche Person sind nicht unbedingt personenbezogene Daten für jede andere Person oder Einrichtung, nur weil eine andere Einrichtung diese natürliche Person identifizieren kann.“ Diese Änderung macht deutlich, dass es nicht ausreicht, dass irgendwo auf der ganzen Welt jemand in der Lage ist, die betroffene Person zu identifizieren, damit Informationen als personenbezogene Daten gelten. Stattdessen sind Informationen nur dann personenbezogene Daten, wenn die Stelle, die die personenbezogenen Daten tatsächlich verarbeitet (Verantwortlicher oder Auftragsverarbeiter), die betroffene Person identifizieren kann. Was andere Personen möglicherweise tun können, um eine Person zu identifizieren, ist irrelevant.
• „Informationen gelten für eine bestimmte Einrichtung nicht als personenbezogen, wenn diese Einrichtung die natürliche Person, auf die sich die Informationen beziehen, unter Berücksichtigung der von dieser Einrichtung vernünftigerweise zu erwartenden Mittel nicht identifizieren kann.“ Dieser Satz ergibt sich natürlich aus der ersten Ergänzung und besagt lediglich, dass die Frage, ob Informationen personenbezogene Daten sind, davon abhängt, über welche weiteren Informationen die Einrichtung wahrscheinlich verfügt und welche weiteren Mittel sie vernünftigerweise einsetzen würde. Mit anderen Worten: Informationen sind nicht allein deshalb personenbezogene Daten, weil die Einrichtung extreme Maßnahmen ergreifen könnte, um die Person zu identifizieren. Vielmehr handelt es sich nur dann um personenbezogene Daten, wenn die Einrichtung, die die Informationen verarbeitet, über die Mittel verfügt, um auf die zusätzlichen Informationen zuzugreifen, und diese Mittel mit hinreichender Wahrscheinlichkeit einsetzen wird. Es bleibt abzuwarten, wie weit dies gehen wird, aber es könnte bedeuten, dass vertragliche Beschränkungen ausreichend sein könnten. Wenn beispielsweise ein Unternehmen personenbezogene Daten pseudonymisiert und vertraglich daran gehindert ist, den Schlüssel oder andere Informationen zur Re-Identifizierung bereitzustellen, kann eine Partei, die die pseudonymisierten Daten erhält, diese möglicherweise als nicht personenbezogene Daten betrachten. Bemerkenswert ist, dass dieses Konzept, wie in Erwägungsgrund 26 dargelegt, schon immer Teil der DSGVO war, aber von den Vertragsparteien in Datenschutz- und ähnlichen Vereinbarungen oft ignoriert wurde.
• „Solche Informationen werden für dieses Unternehmen nicht allein deshalb zu personenbezogenen Daten, weil ein potenzieller späterer Empfänger über Mittel verfügt, mit denen die natürliche Person, auf die sich die Informationen beziehen, mit hinreichender Wahrscheinlichkeit identifiziert werden kann.“ Dies ist eine weitere Änderung, die deutlich macht, dass personenbezogene Daten im sprichwörtlichen „Auge des Betrachters“ (oder sollten wir sagen: im Auge des Dateninhabers) liegen. Einfach ausgedrückt: Wenn eine Stelle eine betroffene Person anhand der ihr vorliegenden Informationen nicht identifizieren kann, diese Informationen jedoch an einen Dritten weitergibt, der dazu in der Lage ist, handelt es sich bei den Informationen für die erste Stelle nicht um personenbezogene Daten, für die empfangende Stelle hingegen schon. Dies bedeutet, dass personenbezogene Daten je nachdem, wer sie besitzt, von personenbezogenen Daten zu nicht personenbezogenen Daten und wieder zurück werden können. 

Auswirkungen auf Unternehmen

Obwohl die Änderungen weitgehend das wiederholen, was bereits in den Erwägungsgründen der DSGVO steht, dürften die vorgeschlagenen Änderungen, sofern sie angenommen werden, dennoch Auswirkungen auf Vertragsverhandlungen zwischen Datenübermittlern und Datenempfängern haben, die ansonsten der DSGVO unterliegen würden. Obwohl viele Organisationen behauptet haben, dass angemessen anonymisierte oder pseudonymisierte Informationen in den Händen eines Empfängers weiterhin personenbezogene Daten sind – auch wenn diese Ansicht im Widerspruch zu den Erwägungsgründen steht –, würde diese Formulierung klarstellen, dass diese Informationen möglicherweise keine personenbezogenen Daten sind, wenn der Empfänger die betroffene Person nicht identifizieren kann und nicht über angemessene Mittel oder Zugang zu Informationen verfügt, die eine solche Identifizierung ermöglichen würden. Und wenn ein Informationsinhaber nicht-personenbezogene Daten an jemanden weitergibt, der die Informationen so reidentifizieren könnte, dass sie zu personenbezogenen Daten werden, handelt es sich für die sendende Stelle dennoch nicht um personenbezogene Daten. 

Tatsächlich machen die Änderungen, sofern sie angenommen werden, deutlich, dass die Verpflichtungen in Bezug auf anonymisierte und pseudonymisierte Informationen für Organisationen, die die Informationen nicht in angemessener Weise zur Identifizierung einer Person verwenden können, geringer sind als die Verpflichtungen, die für personenbezogene Daten gemäß der DSGVO gelten, und dazu beitragen können, den Aufwand begrenzter Ressourcen für Daten zu reduzieren, die nun eindeutig nicht personenbezogen sind. 

Wenn die Änderungen angenommen werden, könnten sie auch weitreichendere Auswirkungen haben, da sie bedeuten, dass anonymisierte oder pseudonymisierte Informationen (vorausgesetzt, der Empfänger kann eine Person nicht vernünftigerweise identifizieren) potenziell ohne Einschränkungen (z. B. für das Training von KI) verwendet oder sogar außerhalb der EU exportiert werden können, ohne dass Standardvertragsklauseln oder andere Datenschutzmaßnahmen erforderlich sind, wenn der Datenimporteur weiterhin nicht in der Lage ist, eine Person zu identifizieren. 

Am 19. November veröffentlichte die Europäische Kommission einen Verordnungsentwurf zur Vereinfachung und Konsolidierung verschiedener digitaler EU-Gesetze, die sogenannte Digital Omnibus Regulation. Eine der folgenreichsten vorgeschlagenen Änderungen betrifft die Definition personenbezogener Daten in Artikel 4 Absatz 1 der EU-Datenschutz-Grundverordnung. Der Begriff „personenbezogene Daten“ definiert nicht nur den Anwendungsbereich der DSGVO, sondern hat auch praktische Auswirkungen auf andere Rechtsakte des EU-Digitalregelwerks, wie beispielsweise das Gesetz über künstliche Intelligenz oder das Datengesetz.

Referenzierten Artikel anzeigen