Mit Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zur Anonymität und Personenbeziehbarkeit von Daten getroffen. Das Urteil beendet einen jahrelangen Streit über die Auslegung dieser zentralen Begriffe der Datenschutz-Grundverordnung (DSGVO) und hat erhebliche praktische Auswirkungen auf Forschung, Datenanalyse und insbesondere auf die Entwicklung von Künstlicher Intelligenz (KI). Siehe hierzu auch unser Blogbeitrag.
Dieses Urteil wurde in Datenschutzkreisen sehr aufmerksam zur Kenntnis genommen und insbesondere auch auf Seiten der Aufsichtsbehörden kommentiert: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, begrüßte das Urteil ausdrücklich. Es erleichtere künftig die Annahme von Anonymität und damit auch die Verarbeitung von anonymen Daten erheblich.
Hintergrund des Verfahrens
Ausgangspunkt des Verfahrens war ein Streit zwischen dem Europäischen Datenschutzbeauftragten (EDSB), unterstützt vom Europäischen Datenschutzausschuss (EDSA) und dem Einheitlichen Abwicklungsausschuss (Single Resolution Board, SRB), der wiederum von der Europäischen Kommission unterstützt wurde.
Im Rahmen der Abwicklung der Banco Popular Español S.A. hatte der SRB Gläubiger aufgefordert, ihre Forderungen zu melden. Diese Meldungen wurden pseudonymisiert, jeder Datensatz erhielt eine zufällig generierte, 33-stellige Identifikationsnummer, und zur Bewertung an die Wirtschaftsprüfungsgesellschaft Deloitte weitergeleitet.
Deloitte konnte die pseudonymisierten Daten jedoch nicht bestimmten Personen zuordnen. Der SRB sah die übermittelten Informationen daher als anonym an und verzichtete auf eine entsprechende Information der betroffenen Gläubiger über die Datenweitergabe.
Der EDSB bewertete dies anders und verwarnte den SRB wegen eines Verstoßes gegen die Informationspflichten nach der DSGVO. Nachdem das Europäische Gericht die Verwarnung für nichtig erklärt hatte, legte der EDSB Rechtsmittel beim EuGH ein.
Kernaussagen des Urteils
Der EuGH nutzte den Fall, um grundlegende Klarheit zur Abgrenzung zwischen anonymen, pseudonymen und personenbezogenen Daten zu schaffen.
Er stellte insbesondere fest:
- Relativer Personenbezug:
Ob Daten anonym oder personenbezogen sind, ist aus Sicht des jeweiligen Verantwortlichen zu bestimmen. Dieselben Daten können für unterschiedliche Verantwortliche also einen unterschiedlichen Charakter haben. - Wechsel des Datenstatus:
Daten können ihren Charakter ändern, wenn sie an einen anderen Verantwortlichen übermittelt werden. Was für den einen anonym ist, kann für den anderen personenbezogen sein und umgekehrt. - Pseudonyme Daten können anonym sein:
Pseudonymisierte Daten gelten für den Verantwortlichen als anonym, wenn er nicht über die Mittel verfügt, um die betroffene Person zu identifizieren (Rn. 75, 76, 86). - Wiederanwendbarkeit der DSGVO:
Werden anonyme Daten in einem späteren Schritt wieder personenbeziehbar, findet die DSGVO erneut Anwendung (Rn. 85).
Damit weist der EuGH die bisher weit verbreitete Ansicht zurück, pseudonymisierte Daten seien stets personenbezogen, weil theoretisch irgendjemand die Zuordnungsinformation besitzen könnte. Entscheidend sei allein, ob der jeweilige Verantwortliche eine Identifizierung tatsächlich vornehmen kann (Rn. 82).
Pflichten zur Information Betroffener
Der EuGH betonte außerdem, dass sich die Pflicht zur Information über Datenempfänger nach der Perspektive des erhebenden Verantwortlichen richtet.
Im konkreten Fall hätte der SRB die betroffenen Gläubiger über die mögliche Weitergabe an Deloitte informieren müssen, selbst dann, wenn die übermittelten Daten für Deloitte anonym waren. Nur so könne die betroffene Person nachvollziehen, was mit ihren Daten geschieht, und ihre Rechte effektiv wahrnehmen.
Widerspricht das nicht anderen Urteilen?
Es stellt sich dabei auch die Frage, ob das nicht bisherigen Urteilen widerspricht, bspw. das des EuGH selbst, dass bspw. IP-Adressen als personenbezogene Daten gelten, selbst wenn diese nicht durch den Verantwortlichen selbst zu einer Person zurückgeführt werden können.
Mit der Frage beschäftigte sich auch das EuG, das in dem oben genannten Sachverhalt in der Vorinstanz entschied und sich in diesem Rahmen mit dem Urteil des EuGH zu IP-Adressen beschäftigte: „In jener Rechtssache stellte sich die Frage, ob eine dynamische Internetprotokoll-Adresse (im Folgenden: IP-Adresse) gegenüber dem Anbieter von Online-Mediendiensten, der sie auf seiner Internetseite speichert, für diesen ein personenbezogenes Datum darstellt. […] Zu prüfen war nach Auffassung des Gerichtshofs […], ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann. Der Gerichtshof wies darauf hin, dass dies nicht der Fall gewesen wäre, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar gewesen wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre.“ (Rn. 89 f.)
Der Unterschied besteht deshalb grds. darin, dass es bei dynamischen IP-Adressen durchaus die Möglichkeit gibt, einen Personenbezug herzustellen. Der Verantwortliche hat die Möglichkeit, den Nutzer durch den Internetanbieter identifizieren zu lassen. Voraussetzung für den relativen Personenbezug, ist demnach, dass für den zweiten Verantwortlichen ein unverhältnismäßiger Aufwand oder gar ein Verbot der Verarbeitung vorliegt.
Bedeutung für die Praxis
Mit dem Urteil bekräftigt der EuGH seine bisherige Rechtsprechung und folgt dem sogenannten relativen Verständnis von Anonymität. Dieses Verständnis bedeutet, dass Anonymität nicht absolut, sondern kontextabhängig zu beurteilen ist.
Nach den Worten von Prof. Dr. Roßnagel widerlegt das Urteil „das bisher vielfach vertretene absolute Verständnis von Anonymität“, wonach allein die theoretische Möglichkeit einer Zuordnung Anonymität ausschließt.
Diese relativierende Sichtweise hat erhebliche praktische Vorteile:
- Sie erleichtert die rechtssichere Verarbeitung anonymisierter oder pseudonymisierter Daten.
- Sie reduziert Rechtsunsicherheiten für Unternehmen und Forschungseinrichtungen.
- Sie fördert Innovation, insbesondere im Bereich KI-Training und datenbasierte Forschung.
Fazit
Das EuGH-Urteil vom 4. September 2025 markiert einen Paradigmenwechsel im europäischen Datenschutzrecht. Es schafft Klarheit darüber, dass Anonymität nicht absolut, sondern verantwortlichenbezogen zu bestimmen ist. Damit erweitert sich der Spielraum für datenschutzkonforme Nutzung von Daten – ohne den Schutz Betroffener zu schwächen.
Die Entscheidung wird künftig eine zentrale Rolle bei der Beurteilung von Pseudonymisierung, Anonymisierung und Datenweitergabe spielen – sowohl für Aufsichtsbehörden als auch für Unternehmen, öffentliche Stellen und Forschungseinrichtungen.
22. Oktober 2025 @ 12:20
Das Urteil verringert allenfalls die Rechtsunsicherheit bezüglich der Weitergabe von Daten von einem zum anderen Verantwortlichen. Was leider fehlt ist die klare Festlegung, ab wann personenbezogene Daten absolut rechtssicher als anonym gelten. Solange unklare Rechtsbegriffe wie „unverhältnismäßiger Aufwand“ die Feststellung der Anonymisierung bestimmen, bleibt für Verantwortlich in der EU ein großes Unsicherheitsrisiko. Die EU macht sich so leider selbst zum Opfer. Insbesondere im schon verlorenen Wettbewerb mit den USA, Russland, China, Indien, Israel oder der Türkei. Und zahlreichen anderen Ländern mit ökonomischer Beisshärte. Solange der EU-Verordnungsgeber hier nicht schnell nachliefert, geht die DSGVO als gut gemeintes, aber leider gescheitertes Regelwerk in die Geschichte ein. Da hilft dann auch nicht, dass der EuGH vielleicht endlich erkannt hat, dass eine überspannte Auslegung der DSGVO nach hinten losgeht. Eine Erkenntnis, der sich die Datenschutzbehörden ja immer noch verschließen. Die leugnen faktisch den risikobasierte Ansatz aus Art. 24 DSGVO und nutzen Graubereiche fast immer gegen die Verantwortlichen. Das zementiert leider nur den Status der EU als Datenkolonie der „Big Player“. Wir brauchen schnell eine echten Paradigmenwechsel: der den Spagat zwischen Persönlichkeitsrechten und Innovationsfähigkeit besser hinkriegt. Sonst bleiben wir für immer Datenkolonie von Mächten, die über unsere Werte nur lachen.