Sind verschlüsselte Daten personenbezogene Daten?

Oder kann bei verschlüsselten Daten das Datenschutzrecht ignoriert werden?

Häufig wird das Argument angeführt, dass Daten verschlüsselt würden und daher nicht personenbezogen seien. Wird z. B. ein Backup der Kundendatenbank angefertigt und bei einem IT-Dienstleister gespeichert, wird argumentiert, dass keine datenschutzrechtlich relevante Verarbeitung vorläge. Ist das zutreffend?

Bisherige Rechtslage nach dem BDSG

Unter der Geltung des Bundesdatenschutzgesetzes (BDSG), das jedoch zum 25.05.2018 aufgehoben wird, ging ein Teil der deutschen Datenschutzaufsichtsbehörden davon aus, dass personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, nicht personenbezogen sind, da die Daten „unleserlich“ sind. Dies ist ein erfreuliches Ergebnis, da die verschlüsselten Daten dann in keiner Weise unter das Datenschutzrecht fallen und dessen erheblichen Einschränkungen, z. B. bei Übertragungen an Dritte, nicht zu beachten sind.

Neue Rechtslage unter der Geltung der DSGVO

Verschlüsselte Daten werden – nach wohl überwiegender Meinung – unter der EU-Datenschutzgrundverordnung (DSGVO) als pseudonymisierte Daten angesehen und nicht als anonymisierte Daten. Denn die verschlüsselten Daten können mit Hilfe des Schlüssels entschlüsselt werden. Das ist der Situation vergleichbar, in der nur Codeworte übermittelt werden und diese Codeworte „entschlüsselt“ werden können, wenn die Zuordnungstabelle aus Codewort und Klartext bekannt ist. Vereinbart beispielsweise Alice mit Bob, dass das Wort „Baum” (Codewort) das Wort „Max Mustermann” (Klartext) bedeuten soll, kann eine Entschüsselung durch jedermann erfolgen, wenn diese Zuordnung bekannt ist. Es ist damit nur eine Pseudonymisierung erfolgt.

Auch verschlüsselte Daten werden daher im Ausgangspunkt als personenbezogene Daten (in pseudonymisierter Form) anzusehen sein. Der Umstand, dass die Schlüssel nur berechtigten Personen, nämlich Absender und Empfänger, zugänglich sind und nicht dem Dritten, der nur die verschlüsselten Daten kennt, ändert an dieser Einordnung zunächst nichts.

Allerdings kann auf der Grundlage eines zur EU-Datenschutzrichtlinie im Jahr 2016 ergangenen Urteils des EuGH überlegt werden, ob verschlüsselte Daten anonymisierte Daten darstellen können, wenn in der Praxis eine Entschlüsselung aufgrund der möglichen Mittel unwahrscheinlich ist. Es handelt sich dabei um die Entscheidung des EuGH zu dynamischen IP-Adressen:

Die EU-Datenschutzrichtlinie „[…] ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“

(EuGH, Urt. v. 19.10.2016, Rs. C-582/14)

Der EuGH deutet damit an, dass verschlüsselte Daten dann anonymisiert sein können (und damit nicht mehr dem Datenschutzrecht unterfallen), wenn es an Möglichkeiten für eine Entschlüsselung fehlt.

Auch in einem rechtlich zwar nicht verbindlichen und nur der Erläuterung dienenden Erwägungsgrund der DSGVO findet sich ein Hinweis darauf, dass an sich pseudonymisierte Daten anonymisierte Daten darstellen können, wenn eine Entschlüsselung unwahrscheinlich ist:

„Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“

(Erwägungsgrund 26 der DSGVO)

Damit das Datenschutzrecht eingreift, muss ein Datum über eine bestimmte, identifizierbare Person vorliegen. An einer solchen Identifizierbarkeit soll es nach dem zitierten Erwägungsgrund fehlen, wenn die Identifizierbarkeit unter Berücksichtigung aller zur Verfügung stehenden Mittel unwahrscheinlich ist.

Fazit zur DSGVO

Verschlüsselte Daten sind im Ausgangspunkt personenbezogene Daten und unterfallen damit dem Datenschutzrecht. Eine umfassende Bewertung des Einzelfalls kann jedoch ergeben, dass eine Entschlüsselung unwahrscheinlich ist und damit keine personenbezogenen Daten mehr vorliegen. Dabei genügt es nicht allein, dass der Dritte den Schlüssel nicht kennt. Vielmehr muss bewertet werden, welche sachlichen und auch rechtlichen (z. B. über einen Auskunftsanspruch) Möglichkeiten zur Entschlüsselung zur Verfügung stehen. Dabei darf der Blick nicht auf den jeweiligen Dritten verengt werden. Denn es könnte z. B. die Staatsanwaltschaft über eine Durchsuchung Zugriff auf die Daten des Dritten erhalten. Damit wäre auch zu überlegen, welche sachlichen und rechtlichen Möglichkeiten der Staatsanwaltschaft zur Verfügung stehen und wie wahrscheinlich eine Entschlüsselung dann ist.

Ferner muss der Stand der Technik berücksichtigt werden, der eine Entschlüsselung von heutigen Verschlüsselungen zunehmend einfacher werden lässt. Im Ausgangspunkt sollten daher auch verschlüsselte Daten als personenbezogene Daten behandelt werden und dann im Einzelfall untersucht werden, ob die Daten ausnahmsweise als anonymisierte Daten anzusehen sind, die nicht dem Datenschutzrecht unterfallen.

Die Unterscheidung, ob personenbezogene oder anonymisierte Daten vorliegen, stellt einen erheblichen wirtschaftlichen Wert dar, von der sogar die Rechtmäßigkeit mancher Geschäftsmodelle abhängt. Wenn Sie eine Einschätzung für Ihre konkrete Situation benötigen, prüfen wir die Rechtslage gerne zielgerichtet für Ihre Situation und mit Blick auf die wirtschaftlichen und praktischen Anforderungen.