Kurzbeitrag : Pseudonymisierte Daten sind nicht in jeder Konstellation personenbezogene Daten – Anmerkung zu EuGH, Urt. v. 04.09.2025 – C-413/23 P1 : aus der RDV 6/2025, Seite 315 bis 318
Der EuGH stellt klar, dass pseudonymisierte Daten nicht automatisch personenbezogen sind und präzisiert, wann Identifizierbarkeit und Informationspflichten nach DSGVO greifen.
Zur vorliegenden aktuellen Entscheidung des Europäischen Gerichtshofes lassen sich die folgenden Kernaussagen im Sinne von Orientierungssätzen voranstellen:
(1) Nach dem Wortlaut von Art. 3 Nr. 1 der EU-Verordnung 2018/1725 (nachfolgend: EU-Datenschutzgrundverordnung – DS‑GVO[1]) ist dem Begriff „personenbezogene Daten“ zwar eine weite Bedeutung beizumessen. Dieser Begriff ist indes nicht unbegrenzt, da die genannte Bestimmung u.a. voraussetzt, dass die betroffene Person identifiziert oder identifizierbar ist (Rn. 88). Pseudonymisierte Daten für die Zwecke der Anwendung der DS‑GVO sind daher auch nicht in jedem Fall und in Bezug auf jede Person als personenbezogene Daten zu betrachten (Rn. 80). Ebenso wenig bedeutet die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Informationen für sich genommen, dass pseudonymisierte Daten für die Zwecke der Anwendung der DS‑GVO in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind (Rn. 82).
(2) Für die Einstufung von Daten als „personenbezogene Daten“ ist auch nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (Rn. 99 unter Hinweis auf ständige Rspr. des EuGH).
(3) Pseudonymisierung zielt insbesondere darauf ab zu verhindern, dass die betroffene Person allein anhand pseudonymisierter Daten identifiziert werden kann. Je nach den Umständen des Einzelfalls kann die Pseudonymisierung andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist (Rn. 74-77, 86). (
4) Die Identifizierbarkeit der betroffenen Person ist zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen (Rn. 102-108, 111).
I. Sachverhalt
In einem Streit zwischen dem Einheitlichen Abwicklungsausschuss (Single Resolution Board, SRB), also der für die ordnungsgemäße Abwicklung von insolvenzbedrohten Finanzinstituten zuständigen Behörde der EU-Bankenunion, und dem EU-Datenschutzbeauftragten (EDSB) unter Beteiligung auch des Europäischen Datenschutzausschusses (EDSA – als Streithelfer im Rechtsmittelverfahren für den EDSB) und der EU-Kommission (als Streithelferin im Rechtsmittelverfahren für den SRB) war zu klären, ob der Ausschuss Betroffene über die Weitergabe pseudonymisierter Daten an ein Beratungsunternehmen hätte informieren müssen.
Dem lag folgender Sachverhalt zugrunde: Um nach der Abwicklung des spanischen Finanzinstituts Banco Popular Español endgültig darüber entscheiden zu können, ob Anteilseigner und Gläubiger zu entschädigen sind, gab der SRB ihnen in einem Anhörungsverfahren die Möglichkeit, Stellung zu nehmen. Einen Teil der daraufhin eingegangenen Stellungnahmen leitete der SRB über einen gesicherten und von ihm speziell dafür vorgesehenen virtuellen Server in pseudonymisierter Form an das Wirtschaftsprüfungs- und Beratungsunternehmen Deloitte weiter, das die konkreten Auswirkungen der Abwicklung auf die Anteilseigner und Gläubiger bewerten sollte. Von diesen wandten sich daraufhin mehrere an den EDSB mit der Beschwerde, nicht – entsprechend den Vorgaben der Verordnung (EU) 2018/1725 zur Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, welche im Wesentlichen der DS‑GVO entspricht – darüber informiert worden zu sein, dass ihre Daten an einen Dritten, nämlich an Deloitte, übermittelt würden. Der EDSB ging davon aus, dass es sich um personenbezogene Daten handelte und bejahte daher einen Verstoß des SRB gegen seine Informationspflicht aus Art. 15 Abs. 1 lit. d) der Verordnung (EU) 2018/1725; hiernach hat der Verantwortliche (= Organ-, Einrichtungs- oder sonstige Stelle der EU, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, entspr. Art. 4 Nr. 7, 24 DS‑GVO) bei der Erhebung personenbezogener Daten den betroffenen Personen die Empfänger der Daten mitzuteilen.
Gegen die Entscheidung des EDSB erhob der SRB beim Gericht der Europäischen Union (EuG) Nichtigkeitsklage. Das Gericht gab dieser Klage teilweise statt und erklärte die in Rede stehende Entscheidung für nichtig. Zur Begründung führte es an, dass die übermittelten Stellungnahmen nicht deshalb automatisch personenbezogene Daten seien, weil sie Meinungen oder Sichtweisen widerspiegelten. Der EDSB hätte keine auf die Betroffenen bezogenen Informationen annehmen dürfen, ohne den Inhalt, den Zweck und die Auswirkungen der Stellungnahmen zu prüfen. Für die Beurteilung, ob der SRB seine Informationspflicht erfüllt habe, hätte der EDSB prüfen müssen, ob die übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten. Dagegen legte der EDSB Rechtsmittel ein, woraufhin das Urteil des EuG durch den EuGH aufgehoben und die Sache an die Vorinstanz zurückverwiesen wurde.
II. Entscheidung
Der EuGH präzisiert und konkretisiert den Begriff „personenbezogene Daten“ im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte. Die Bestimmungen der Verordnung (EU) 2018/1725 seien dahingehend auszulegen, dass die Pseudonymisierung – je nach den Fallumständen – andere Personen als den Verantwortlichen tatsächlich daran hindern könne, die betroffene Person zu identifizieren. Die Identifizierbarkeit der betroffenen Person sei hierbei aus der Perspektive des Verantwortlichen, vorliegend also des SRB, zum Zeitpunkt der Datenerhebung zu prüfen, nicht aus der Sicht des Empfängers. Mithin sei unerheblich, ob der Empfänger der pseudonymisierten Daten die betreffende Person nicht identifizieren könne. Im konkreten Fall sei die Informationspflicht des SRB vor der Übermittlung der Stellungnahmen entstanden und unabhängig davon, ob es sich dabei aus der Sicht von Deloitte nach ihrer Pseudonymisierung um personenbezogene Daten handelte oder nicht. Ausschlaggebend sei somit, dass für den SRB besagte Informationen personenbezogen seien, da er über die für die Zuordnung erforderlichen Informationen verfügte und damit über die Mittel zur Re-Identifizierung der jeweiligen betroffenen Person.
Zusammengefasst ist festzuhalten:
Materiell-rechtlich:
Nach Art. 3 Nr. 1 der VO (EU) 2018/1725 sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, nach der Rechtsprechung des EuGH wenn die Informationen also aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft sind.
Stellungnahmen, die persönliche Meinungen oder Sichtweisen der Verfasser wiedergeben, sind Informationen „über diese Person“, da sie als Ausdruck der Gedanken dieser Person zwangsläufig eng mit dieser Person verknüpft sind (vgl. hierzu bereits EuGH, Urt. vom 20.12.2017 – C 434/16, Rn. 35, Urt. v. 07.03.2024 – C 479/22 P, Rn. 45 sowie – C 604/22, Rn. 37).
Pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 sind nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten. Umgekehrt können an sich nicht personenbezogene Daten, die vom Verantwortlichen erhoben und gespeichert (gem. Art. 4 Nr. 2 DS‑GVO also verarbeitet) wurden, sich dennoch auf eine identifizierbare Person beziehen, wenn der Verantwortliche über rechtliche Möglichkeiten verfügt, von Dritten zusätzliche Informationen zu erlangen, die die Identifizierung dieser Person erlauben (vgl. hierzu EuGH, Urt. v. 19.10.2016 – C 582/14 -, Rn. 44, 47 f. und vom 07.03.2024 – C 604/22 –,Rn. 43 und 48). Ebenso können aber auch Informationen, die als solche keine „personenbezogenen“ Daten darstellen, für denjenigen, der bei vernünftiger Betrachtung über Mittel verfügt, sie einer bestimmten Person zuordnen zu können, zu personenbezogenen Daten werden (vgl. insoweit EuGH, Urt. v. 09.11.2023 – C 319/22 -, Rn. 46 und 49).
Ein Mittel zur Identifizierung der Person ist nicht relevant, wenn es nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde (vgl. EuGH, Urt. v. 07.03.2024 – C 479/22 P -, Rn. 51). Die Nutzung der Mittel zur Identifizierung darf mit anderen Worten also nicht nur theoretisch möglich, sondern muss auch realistischerweise umsetzbar sein Die Informationspflicht nach DS‑GVO besteht im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen. Diese Pflicht des Verantwortlichen entsteht bereits bei der Erhebung der personenbezogenen Daten (Art. 13 u. 14 DS‑GVO) und nicht erst bei deren späterer Pseudonymisierung und Weitergabe an Dritte, mithin auch unabhängig davon, ob es sich dabei aus Sicht des Empfängers der Daten (vorliegend Deloitte) nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht. Die Pflicht, der betroffenen Person zum Zeitpunkt der Erhebung der mit ihr verbundenen personenbezogenen Daten die potenziellen Empfänger dieser Daten mitzuteilen, zielt wesentlich darauf ab, es der betroffenen Person zu ermöglichen, in voller Kenntnis der Sachlage zu entscheiden, ob sie die bei ihr erhobenen personenbezogenen Daten zur Verfügung stellt oder sie dies verweigert (näheres zur sog. informierten Einwilligung gem. Art. 4 Nr. 11, Art. 7 DS‑GVO siehe ErwG 32); nach Art. 12 DS‑GVO hat der Verantwortliche geeignete Maßnahmen zur Übermittlung aller sich auf die Datenverarbeitung beziehender Informationen gem. Art. 13 u. 14 und Mitteilungen gem. Art. 15 – 22 und Art. 34 DS‑GVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ an die betroffene Person zu treffen. Dazu sollte laut EuGH der Verantwortliche der betroffenen Person alle Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine Verarbeitung in fairer und transparenter Weise zu gewährleisten, überdies die betroffene Person aber auch darauf hinweisen, dass Profiling (Art. 22 DS‑GVO nebst ErwG 71) stattfindet und welche Folgen dies hat.
Prozessual:
Gegen ein Urteil oder einen Beschluss des EuG kann beim EuGH (gem. seiner Satzungsbestimmung Art. 56) ein auf Rechtsfragen beschränktes Rechtsmittel eingelegt werden. Das Rechtsmittel hat grundsätzlich keine aufschiebende Wirkung. Ist das Rechtsmittel zulässig und begründet, hebt der EuGH die Entscheidung des EuG auf. In diesem Fall kann der EuGH (gem. Satzungsbestimmung Art. 61 Abs. 1 S. 2) den Rechtsstreit selbst endgültig entscheiden, wenn dieser zur Entscheidung reif ist. Vorliegend hat der EuGH das in Bezug auf den ersten Klagegrund bejaht und dementsprechend das vorgehende EuG-Urteil aufgehoben, in Bezug auf den zweiten Klagegrund dies verneint und insoweit die Rechtssache an das EuG zurückverwiesen.
III. Ergänzende Hinweise für die Praxis
Unter Pseudonymisierung versteht man ein Verfahren, bei dem personenbezogene Daten so verändert werden, dass sie nicht mehr direkt einer Person zugeordnet werden können (Art. 4 Nr. 5 DS‑GVO). Der Bezug zur Person bleibt zwar erhalten, ist aber nur über zusätzliche Informationen herstellbar.
Diese zusätzlichen Informationen müssen notwendigerweise gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen (kurz: TOM; Art. 32 DS‑GVO) unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Der Empfänger der Daten darf mithin über keine Mittel verfügen, um die Daten wieder einer Person zuordnen und damit den Betroffenen direkt oder indirekt identifizieren zu können. Dabei sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Eine Pseudonymisierung kann dementsprechend auch nur dann ihre rechtliche Wirkung entfalten, wenn die Trennung vorhandener Zusatzinformationen (z. B. Schlüssel oder Listen) und deren Schutz konsequent umgesetzt werden.
Das aktuelle EuGH-Urteil ist insofern richtungsweisend, als es weitere Rechtsklarheit über die Anwendung der DS‑GVO und bezüglich der durch sie verwendeten Rechtsbegriffe wie dem der personenbezogenen Daten, insbesondere zur Einstufung pseudonymisierter Daten, schafft.
Für die Praxis wird anschaulich verdeutlicht, dass Prüfung und Entscheidung über das Vorliegen personenbezogener Daten nicht immer so „einfach“ sind, wie dies möglicherweise auf den ersten Blick anmuten mag. Schon bei der Erhebung muss der Verantwortliche daher klar kommunizieren, dass personenbezogene Daten verarbeitet werden, auch wenn diese später pseudonymisiert weitergegeben werden.
Pseudonymisierung lässt also keineswegs schon von vornherein auf Anonymisierung schließen (dazu ErwG 26 zur DS‑GVO zum Anwendungsausschluss der Datenschutzgrundsätze auf anonymisierte Daten) und entbindet demzufolge den Verantwortlichen auch nicht bei Weitergabe pseudonymisierter Daten an Dritte von den sich aus der DS‑GVO ergebenden Verpflichtungen.
Dies ist insofern von großer rechtlicher wie praktischer Relevanz, da Datenschutzverstöße, namentlich Verstöße gegen Informationspflichten nach DS‑GVO, empfindlich sanktioniert werden können (siehe Art. 82–84 DS‑GVO; Näheres hierzu im Kontext Sozialdatenschutz bei: Diering/Timme/Stähler, LPK-SGB X, Komm. zu §§ 85 u. 85a).
Es empfiehlt sich daher auch für die Praxis, vertragliche Regelungen zu treffen, die den Zugriff auf reidentifizierende Informationen ausschließen oder den Empfänger zur Einhaltung des Datenschutzrechts ausdrücklich verpflichten.
Abschließender Hinweis:
Im Wesentlichen dürften sich aus der aktuellen Entscheidung des EuGH damit auch bereits die Antworten auf die vom BGH gestellten Fragen im Rahmen seiner EuGH-Vorlage gem. Beschluss vom 28.08.2025 – VI ZR 258/24 – zum Personenbezug dynamischer IP-Adressen und zu datenschutzrechtlichen Schadensersatzansprüchen ergeben.
*Der Verfasser hatte lange Zeit zusätzlich die Funktion des betrieblichen Datenschutzbeauftragten in seiner Organisation inne und ist Mitherausgeber u.a. eines Kommentars zum SGB X sowie Autor zahlreicher Fachbeiträge zum Datenschutz-, Arbeits-, Sozial- und Gesundheitsrecht.
[1] Das vorliegende EuGH-Urteil betrifft die Anwendung der Verordnung (EU) 2018/1725 zur Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, ist aber dem Sinn nach auch auf die DS‑GVO (zu deren räumlichen Anwendungsbereich siehe entspr. Art. 3) anwendbar; deren Regelungen werden daher auch in den weiteren Ausführungen dieses Beitrags im Wesentlichen herangezogen. Die EU-Verordnung 2018/1725 überträgt das geltende Datenschutzrecht der Datenschutz-Grundverordnung und der Richtlinie (EU) 2016/680 auf die supranationalen Einrichtungen der EU. Darüber hinaus errichtet sie das Amt des Europäischen Datenschutzbeauftragten (EDSB) als Aufsichtsbehörde für die Europäische Union. Sie ersetzt die vorgehenden Fassungen der Europäischen Datenschutzverordnung und des Beschlusses über die Arbeitsweise des EDSB (näheres diesbezüglich unter https://www.edps.europa.eu/_de)