Mit seiner Entscheidung vom 04.09.2025 (C-413/23 P) hat sich der Europäische Gerichtshof (EuGH) zur umstrittenen Frage geäußert, wann pseudonymisierte Daten als personenbezogen zu betrachten sind und wessen Perspektive maßgeblich ist.
Folgendes Geschehen lag der Entscheidung zugrunde:
Im Zusammenhang mit der Abwicklung der spanischen Bank „Banco Popular Español“ wurden Entschädigungsansprüche früherer Gläubiger und Anteilseigner geprüft. Ihnen wurde Gelegenheit gegeben, zur vorläufigen Entscheidung durch den Einheitlichen Abwicklungsausschuss (Single Resolution Board, SRB) Stellung zu nehmen. Der SRB ist die für die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten zuständige Behörde der Europäischen Bankenunion. Die in diesem Verfahren eingereichten Stellungnahmen leitete der SRB in pseudonymisierter Form an die Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte zwecks Bewertung der konkreten Auswirkungen der Abwicklung auf die Verfasser der Stellungnahmen weiter. Daraufhin gingen Beschwerden bei dem Europäischen Datenschutzbeauftragten (EDSB) ein. Mehrere Betroffene monierten, dass sie nicht – entsprechend den Vorgaben der Verordnung (EU) 2018/1725 zur Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, welche im Wesentlichen der DSGVO entspricht – darüber informiert worden seien, dass ihre Daten an einen Dritten übermittelt wurden. Der EDSB stellte einen Datenschutzverstoß fest, woraufhin der SRB den Rechtsweg beschritt und der Vorfall zunächst beim Gericht der Europäischen Union (EuG) und dann schließlich beim EuGH landete.
Gelten die in der DSGVO geregelten Pflichten bei Übermittlung pseudonymisierter Daten?
Die Anforderungen der DSGVO gelten nur für den Umgang mit personenbezogenen Daten. Dies sind gemäß Art. 4 Nr. 1 DSGVO nur solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, beispielsweise unter Hinzuziehung zusätzlicher Informationen wie einer Kennung oder Kennnummer, identifiziert werden kann.
In der Praxis existieren verschiedene Methoden, um Daten unkenntlich zu machen, eine Identifizierbarkeit also (soweit möglich) auszuschließen oder zumindest zu erschweren. In diesem Zusammenhang begegnet man häufig Begriffen wie Anonymisierung, Pseudonymisierung oder Verschlüsselung. Wie bereits in diesem Blogbeitrag dargelegt, ist die Abgrenzung dieser Konzepte jedoch nicht immer eindeutig, zumal erschwerend hinzukommt, dass wir uns hier in einem Spannungsfeld zwischen rechtlichen und technischen Fragestellungen bewegen. In diesem Zusammenhang stellt sich dann in der Praxis häufig die Frage, ob trotz der (versuchten) Unkenntlichmachung von Identifizierbarkeit auszugehen und somit die DSGVO zu beachten ist.
Im hiesigen Fall waren die Daten pseudonymisiert übermittelt worden. Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.
Ausschlaggebend ist die Perspektive
Ob pseudonymisierte Daten personenbezogen und somit vom Anwendungsbereich der DSGVO erfasst sind, ist, so der EuGH, im Einzelfall zu prüfen und bestimmt sich letztlich aus Perspektive der jeweiligen Akteure: Für den Verantwortlichen bzw. Übermittelnden, der über die zur Identifizierung erforderlichen Zusatzinformationen verfügt, bleiben die Personen (re-)identifizierbar. Die Pseudonymisierung wirkt sich aber durchaus auf die Personenbezogenheit von Daten aus, wenn technische und organisatorische Maßnahmen ergriffen werden und geeignet sind, eine Zuordnung tatsächlich zu verhindern, so dass eine Person nicht oder nicht mehr identifizierbar ist. Kann der Empfänger pseudonymisierter Daten – im hiesigen Fall Deloitte – die entsprechenden Maßnahmen nicht selbst aufheben und verhindern diese Maßnahmen tatsächlich eine Zuordnung auch unter Heranziehung anderer Mittel, sind die Daten aus dessen Perspektive nicht personenbezogen. Allein die Existenz anderer Mittel genügt nicht, um eine Zuordnungsmöglichkeit zu bejahen. Ein Mittel ist nach den Ausführungen des EuGH nicht relevant, wenn es „nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde“.
Mit anderen Worten: Die Nutzung der Mittel zur Identifizierung darf nicht nur theoretisch möglich, sondern muss auch realistischerweise umsetzbar sein.
Nach der Auffassung des EuGH blieben die Informationen für den SRB demnach personenbezogen, da er über die für die Zuordnung erforderlichen Informationen verfügte. Das Vorbringen des EDSB, dass die übermittelten pseudonymisierten Daten aber auch für die Wirtschaftsprüfungsgesellschaft allein aufgrund des Vorliegens zusätzlicher Informationen personenbezogen seien, wies der EuGH zurück und widersprach somit klar der Rechtsauffassung, dass pseudonymisierte Daten stets als personenbezogen anzusehen seien.
Fazit
Pseudonymisierung lässt nicht ohne Weiteres auf Anonymisierung schließen und entbindet folglich nicht in jedem Fall von den Verpflichtungen, die sich aus der DSGVO ergeben. Für den Übermittelnden können die Anforderungen der DSGVO Geltung entfalten, während die Daten aus Sicht des Empfängers mangels Identifizierbarkeit keinen Personenbezug mehr aufweisen. Der Übermittelnde kann sich jedoch nicht darauf berufen, dass die Verpflichtungen der DSGVO aus Sicht des Empfängers nicht bestünden – maßgeblich ist allein seine eigene Perspektive. In Anbetracht dessen, dass hierüber Klarheit geschaffen wurde, spricht der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) von einer wegweisenden Entscheidung und einem „Meilenstein in einer stark umstrittenen Rechtsfrage“. Für die Praxis wichtige Fragen hat der EuGH aber dennoch offengelassen. So ist die Frage, ob ein Unternehmen, das einem Dienstleister pseudonymisierte Daten für Zwecke der Datenanalyse zur Verfügung stellt, mit diesem Dienstleister einen Auftragsverarbeitungsvertrag schließen muss, weiterhin unklar. Es wäre hilfreich gewesen, wenn der EuGH sich zu dieser praxisrelevanten Frage verhalten hätte, auch wenn es von den Vorlagefragen nicht abgedeckt war.