Pseudonyme Daten haben für Dritte ohne (Zusatz-)Wissen keinen Personenbezug
Der EuGH hat am 4. September 2025, Az. C‑413/23 P, eine höchst praxisrelevante Entscheidung zum Personenbezug von Daten getroffen. Dabei geht es um die Frage, ob Daten aufgrund ihres Personenbezugs den Regelungen zum Datenschutz unterliegen. Die Entscheidung ist hier im Volltext abrufbar.
Für den Personenbezug von Daten kommt es auf die Perspektive des Verantwortlichen an, insbesondere zum Zeitpunkt der Datenerhebung. Ein Verantwortlicher kann durch eine Pseudonymisierung verhindern, dass ein Dritter die betroffene Person identifiziert. Wenn ein Dritter nach der Pseudonymisierung nur einen Teildatensatz erhält und über kein weiteres Zusatzwissen verfügt, ist dieser Teildatensatz für den Dritten regelmäßig anonymisiert im Sinne des europäischen Datenschutzrechts. Dabei kommt es auf die Umstände des Einzelfalles an.
Entscheidung des EuGH
Nach dem Urteil des EuGH sind die von einem Verantwortlichen (hier: SRB) an einen Dritten (hier: Deloitte) übermittelten pseudonymisierten Daten für diesen Dritten grundsätzlich nicht personenbezogen, sofern dieser Dritte keinen Zugang zu zusätzlichen Informationen zur Identifizierung der betroffenen Personen hat und die ergriffenen technischen sowie organisatorischen Maßnahmen effektiv verhindern, dass eine solche Zuordnung möglich ist.
Wir hatten bereits zur Entscheidung der Vorinstanz (EuG, Urteil vom 26. April 2023, Az. T-557/20) einen Beitrag in der CR 2023, S. 532 ff. veröffentlicht. SKW Schwarz hat sich zudem an einem Diskussionsbeitrag der Plattform Industrie 4.0 zu dem Positionspapier des BfDI „Anonymisierung im Datenschutz als Chance für Wirtschaft und Innovationen“ beteiligt.
A. Kurze Zusammenfassung der Hintergründe
Im Rahmen einer Bankenabwicklung in Spanien hatte der Einheitliche Abwicklungsausschuss („SRB“) personenbezogene Daten von Anteilseignern und Gläubigern erhoben (hier: Antworten auf bestimmte Fragen; „Fragebogen“). Dann hat der SRB diese Daten pseudonymisiert, indem er jeden Fragebogen mit einem alphanumerischen Code versehen hat („CodeID“). Im Anschluss hat der SRB nur den Fragebogen mit CodeID an Deloitte übermittelt. Es wurden keine Klardaten, wie z. B. Namen der Antwortenden, übermittelt. Deloitte verfügte über keine Mittel, um eine Zuordnung einer CodeID zu einem konkreten Antwortenden als betroffener Person zu erreichen.
Darüber beschwerten sich einige betroffene Personen beim Europäischen Datenschutzbeauftragten („EDSB“).
Der EDSB stellte fest, dass SRB in der entsprechenden Datenschutzerklärung nicht alle Empfänger, insbesondere Deloitte, genannt und damit gegen die Informationspflicht nach Artikel 15 Abs. 1 lit. d) der Verordnung (EU) 2018/1725 verstoßen hatte. Diese Norm ist identisch mit Artikel 13 Abs. 1 lit. e) sowie Artikel 14 Abs. 1 lit. e) DSGVO. Daher ist das Urteil, was der EuGH selbst hervorhebt, auch für die Anwendung der DSGVO relevant, um eine einheitliche Auslegung der relevanten Begriffe zu erreichen.
Das EuG gab der Klage des SRB gegen die Entscheidung des EDSB zunächst statt und erklärte die Entscheidung des EDSB für nichtig.
Der EuGH hat die Entscheidung des EuG aufgehoben. Das EuG sei fehlerhaft davon ausgegangen, dass der EDSB zur Prüfung verpflichtet gewesen sei, ob die vom SRB an Deloitte übermittelten pseudonymisierten Daten aus Sicht von Deloitte als personenbezogen gelten.
Der EuGH stellte klar, dass es für die datenschutzrechtlichen Informationspflichten und den Begriff der personenbezogenen Daten bei der Datenerhebung maßgeblich auf die Perspektive des Verantwortlichen (also des SRB) ankommt und nicht auf die Sicht eines späteren Dritten als Empfänger. Die streitigen Daten waren daher aus Sicht des SRB in jedem Fall personenbezogen, weshalb der SRB eine Informationspflicht hatte, auch über Deloitte als Empfänger zu informieren.
Der EuGH hat die Entscheidung des EuG daher aufgehoben und zur erneuten Entscheidung nach den Vorgaben des EuGH an das EuG zurückverwiesen.
B. Kernaussagen zum Personenbezug
1. Weitere Auslegung des Begriffs „Personenbezug“
Der EuGH stellt fest, dass der Begriff „Personenbezug“ (Artikel 3 Nr. 1 Verordnung (EU) 2018/1725 und Artikel 4 Nr. 1 DSGVO) weit zu verstehen ist.
Der Gesetzgeber hat jeweils die Formulierung „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ verwendet. Damit bringt der Gesetzgeber zum Ausdruck, dass diesem Begriff eine weite Bedeutung zukommt. Umfasst sind potenziell alle Arten von Informationen, sowohl objektiver als auch subjektiver Art, auch in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt.
2. Relativer Personenbezug
Der EuGH bestätigt zudem: Pseudonymisierte Daten sind für einen Verantwortlichen, der diese pseudonymisierten Daten den Klardaten zuordnen kann, personenbezogene Daten.
In einem nächsten Schritt stellt der EuGH klar: Pseudonymisierte Daten, die ein Verantwortlicher an einen Dritten übermittelt, der gerade nicht über Zusatzwissen zur Zuordnung zu den relevanten Klardaten verfügt, sind für diesen Dritten keine personenbezogenen Daten.
Diese Daten sind für den Dritten damit anonyme Daten. Nach Erwägungsgrund Nr. 26 S. 5 DSGVO sollen die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Dies gilt jedenfalls dann, wenn der Dritte nicht in der Lage ist, diese Maßnahmen zur – aus seiner Sicht bestehenden – Anonymisierung aufzuheben. Diese Maßnahmen müssen auch tatsächlich geeignet sein, zu verhindern, dass der Dritte die für ihn anonymen Daten der betroffenen Person zuordnet. Dabei kommt es auch darauf an, welche Mittel der Dritte zur Verfügung hat. Wenn der Dritte anhand anderer Mittel, wie etwa eines Abgleichs mit anderen Elementen, eine Identifizierung ermöglichen kann, sind diese Daten für den Dritten nicht mehr anonym im Sinne des europäischen Datenschutzrechts.
Dabei kann Erwägungsgrund Nr. 26 S. 3 DSGVO herangezogen werden. Danach sollen bei der Prüfung der Identifizierbarkeit einer natürlichen Person „alle Mittel“ berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person, also einem Dritten im Sinne der DSGVO, nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.
Der EuGH bezieht sich dabei auf seine bisherige Rechtsprechung, u. a. auf die Breyer-Entscheidung vom 19. Oktober 2016, Az. C-582/14, und die IAB Europe-Entscheidung vom 7. März 2024, Az. C-604/22 (siehe unseren SKW-Beitrag zur IAB Europe-Entscheidung hier).
Der EuGH hatte bereits entschieden, dass ein Mittel zur Identifizierung einer natürlichen Person nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint. Dies kann etwa der Fall sein, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.
Der EuGH bestätigt dabei seine bisherige Rechtsprechung, wonach die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Informationen für sich genommen nicht bedeutet, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung (EU) 2018/1725 (oder eben der DSGVO) in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind.
In dem Zusammenhang hat der EuGH auch nochmals hervorgehoben, dass ein Verantwortlicher, der über Mittel verfügt, um eine betroffene Person zu identifizieren, sich nicht darauf berufen kann, dass das Zusatzwissen in Händen eines Dritten ist. Diese Wissensaufteilung ist nicht geeignet, die Identifizierung der betroffenen Person tatsächlich zu verhindern. Eine solche betroffene Person ist für den Verantwortlichen identifizierbar, auch wenn er das Zusatzwissen nicht unmittelbar zur Verfügung hat.
3. Informationspflichten – insbesondere aus der Perspektive des Verantwortlichen
Ferner hat der EuGH entschieden, dass die Informationspflicht nach Artikel 15 Verordnung (EU) 2018/1725 und den Artikeln 13, 14 DSGVO den Verantwortlichen trifft. Der SRB hätte hier auch über Deloitte als Empfänger informieren müssen, unabhängig davon, ob die Daten aus Sicht von Deloitte personenbezogen waren oder nicht. Aus Sicht des Verantwortlichen waren die Daten personenbezogen und unterlagen daher weiter den Informationspflichten.
Ein Dritter, der keinen Personenbezug herstellen kann, kann die datenschutzrechtlichen Informationspflichten und die Betroffenenrechte nicht einlösen. Dagegen kann (und muss) der Verantwortliche bei der erstmaligen Datenerhebung entsprechend informieren und die Einhaltung der Betroffenenrechte gewährleisten.
Die Informationspflicht ergibt sich hier nach dem EuGH aus dem Umstand, dass die Daten für den Verantwortlichen selbst noch personenbezogen sind. Würde ein Verantwortlicher die Daten zunächst selbst vollständig anonymisieren (z.B. in eine Statistik einfließen lassen), dann hätten diese Daten keinen Personenbezug mehr und der Verantwortliche müsste nicht über Empfänger anonymisierter Daten informieren.
Praxisrelevanz
Der EuGH stärkt Verantwortliche und Dritte bei der Anonymisierung von personenbezogenen Daten, stellt aber auch die Pflicht zur Information der betroffenen Personen klar.
Auch wenn es auf den Einzelfall ankommt, hat der EuGH Leitplanken vorgegeben, die auch für europäische Datenschutzaufsichtsbehörden gelten. Durch entsprechende technische und/oder organisatorische Maßnahmen kann ein Datensatz, der für eine Partei „personenbezogen“ ist, für eine andere Partei „anonym“ sein. Dies kann dazu beitragen, dass Unternehmen die Möglichkeiten der Pseudonymisierung und Anonymisierung stärker nutzen, um neue Geschäftsmodelle und bessere Auswertungen zu erreichen. Zudem kann dies ein Beitrag zur Einhaltung des EU Data Acts sein, um Dritten keine „personenbezogenen Daten“ zur Verfügung zu stellen (etwa wenn es dafür datenschutzrechtlich keine Rechtsgrundlage geben sollte).
Auch wenn der EuGH die Endentscheidung an das EuG zurückverwiesen hat, hat er bestätigt, dass Datensätze als de facto anonymisierte Daten einzustufen sind, wenn der Empfänger keine eigenen Mittel zur (Re-)Identifizierung hat oder keine hinreichende Wahrscheinlichkeit der Zusammenführung mit (Zusatz-)Informationen zur (Re-)Identifizierung gegeben ist, z. B. weil der Empfänger keine legale Möglichkeit hat, auf zusätzliche Informationen zuzugreifen (vgl. Schweinoch/Peintinger, CR 2023, 532 (538 f.)).
Wichtig ist, dass der EuGH eine Einzelfallprüfung voraussetzt. Bei komplexen und umfangreichen Datensätzen wird daher genau zu prüfen sein, ob eine Identifizierung der betroffenen Personen aus dem Datensatz selbst heraus möglich ist. In solchen Fällen muss neben den unmittelbaren Identifikatoren durch weitere Maßnahmen (z. B. Aggregation von Daten) eine Identifizierbarkeit der betroffenen Person wesentlich erschwert oder ausgeschlossen werden.
Aus Sicht der Verantwortlichen kann die Pflicht zur Information der betroffenen Personen insbesondere dann herausfordernd werden, wenn die Weitergabe an Dritte zum Zeitpunkt der Datenerhebung noch nicht konkret geplant ist. Empfänger von pseudonymisierten Datensätzen müssen für mögliche Auskunftsersuchen dokumentiert werden.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
