Zurück zur Übersicht
22.09.2025 Fachbeitrag

Richtungsweisendes EuGH-Urteil zur Pseudonymisierung personenbezogener Daten

Update Datenschutz Nr. 216

Der EuGH hat mit Urteil vom 4. September 2025 (Rechtssache C-413/23 P) wichtige Rechtsfragen zur Pseudonymisierung und Weitergabe personenbezogener Daten geklärt und erneut eine weite Auslegung des Begriffs „personenbezogene Daten“ bestätigt. 

Auch wenn das Urteil die Auslegung und Anwendung der Verordnung (EU) 2018/1725 („EU-Datenschutzverordnung für EU-Organe“ – DSVO) betrifft, kann es aufgrund der insofern nahezu identischen Regelungen auf die Auslegung und Anwendung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) übertragen werden (siehe Erwägungsgrund 5 DSVO).

Inhalt des Urteils in 3 Sätzen

Drittempfänger pseudonymisierter Daten, die nicht über die Mittel zur Re-Identifizierung verfügen, unterliegen insofern nicht den Vorgaben der DSGVO. Verantwortliche müssen betroffene Personen über jede geplante Weitergabe ihrer personenbezogenen Daten informieren. Der Begriff personenbezogener Daten ist weit auszulegen und erfasst (wohl) sämtliche Meinungsäußerungen, Sichtweisen, Kommentare, etc. natürlicher Personen – unabhängig von Inhalt, Zweck und Auswirkungen der Äußerungen.

Relevanz des Urteils: „Meilenstein in einer stark umstrittenen Rechtsfrage“ (HmbBfDI)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) bezeichnet das Urteil als „Meilenstein in einer stark umstrittenen Rechtsfrage“ (siehe hier). 

Die Klarstellung des EuGH, dass die Übermittlung von (ursprünglich) personenbezogenen Daten, die für den Verantwortlichen nur pseudonymisiert sind, für den Empfänger unter Umständen anonymisiert sind und somit keinen Personenbezug mehr aufweisen, ist für die Praxis sehr relevant. Sofern Daten beim Empfänger keinen Personenbezug mehr aufweisen, muss er die Vorgaben zum Schutz personenbezogener Daten insofern auch nicht beachten. Es ist jedoch zu beachten, dass auch diejenigen Stellen, bei denen anonymisierte Daten vorliegen, laufend überwachen müssen, ob die Anwendbarkeit der DSGVO wiederauflebt, sofern ihnen eine Re-Identifizierung aufgrund neuer (technischer) Mittel oder zusätzlicher Daten ermöglicht wird.

Das Urteil stärkt den Schutz natürlicher Personen. Selbst Meinungen oder Kommentare sind personenbezogene Daten – nicht nur Daten wie Name, Adresse, etc. Die Einstufung von persönlichen Meinungen oder Sichtweisen als personenbezogene Daten, ohne weitere Prüfung ihres Inhalts, Zwecks oder ihrer Wirkung, illustriert erneut die weite Auslegung des Begriffs „personenbezogene Daten“.

Schließlich ist zu beachten, dass Verantwortliche die Betroffenen bereits bei der Erhebung personenbezogener Daten umfassend darüber informieren müssen, wer potenzielle Empfänger ihrer Daten sind. Das gilt auch für personenbezogene Daten, die pseudonymisiert weitergegeben werden.

Sachverhalt

Hintergrund ist ein Rechtsstreit zwischen dem Europäischen Datenschutzbeauftragten (EDSB) als Kläger und dem Einheitlichen Abwicklungsausschuss (Single Resolution Board – SRB), einer EU-Behörde zur Abwicklung von Banken.

Nach der Abwicklung der Banco Popular Español durch den SRB wurden betroffene Aktionäre und Gläubiger zur Teilnahme an einem Anhörungsverfahren eingeladen. Dazu mussten sie sich zunächst registrieren und konnten in einer späteren Konsultationsphase Kommentare abgeben. Bei der Registrierung waren Identitäts- und Eigentumsnachweise vorzulegen. Die Kommentare wurden anschließend unter einem pseudonymisierten Code an Deloitte für eine abwicklungsrechtlich notwendige Bewertung übermittelt. 

Einige Betroffene beschwerten sich beim EDSB. Sie bemängelten, dass die Datenschutzerklärung des SRB keine Hinweise darauf enthält, dass bestimmte Daten, insbesondere ihre Kommentare samt pseudonymisiertem Code, an Dritte wie Deloitte weitergegeben werden könnten. Darin liege ein Verstoß gegen Art. 15 Abs. 1 lit. d DSVO, da Betroffene bereits bei der Datenerhebung über die Empfänger oder Kategorien von Empfängern ihrer Daten informiert werden müssen.

Der EDSB entschied zugunsten der Betroffenen und bestätigte einen Verstoß gegen Art. 15 Abs. 1 lit. d DSVO. Der SRB hätte die betroffenen Aktionäre und Gläubiger bereits bei der Datenerhebung darüber informieren müssen, dass ihre Kommentare zusammen mit einem pseudonymisierten Code an Dritte wie Deloitte weitergegeben werden könnten. 

Das Gericht der Europäischen Union (EuG) hatte die Entscheidung des EDSB noch aufgehoben. Es war der Auffassung, dass die an Dritte weitergegebenen Kommentare samt pseudonymisiertem Code keine personenbezogenen Daten darstellten, da die Drittempfänger der Daten, ohne Zugriff auf die beim SRB verbliebenen Zusatzinformationen, keine Identifizierung der betroffenen Personen vornehmen könnten. Folglich lag laut EuG keine Verletzung der Informationspflicht gemäß Art. 15 Abs. 1 lit. d DSVO vor. Der EDSB legte gegen diese Entscheidung Rechtsmittel ein, sodass nun der EuGH hierüber entscheiden musste.

Urteil des EuGH

Der EuGH hob das erstinstanzliche Urteil des EuG auf, da es sich bei den an Deloitte übermittelten Stellungnahmen um personenbezogene Daten handelt. Der EuGH betont, dass der Begriff der personenbezogenen Daten weit auszulegen ist. Er erfasst nicht nur objektive Daten, sondern auch subjektive Informationen wie Meinungen oder Kommentare einer Person, da diese untrennbar mit dem Verfasser verknüpft sind. 

Der Ansicht des EuG, dass zusätzlich zu prüfen gewesen sei, ob Inhalt, Zweck oder Wirkung der Stellungnahmen eine Verknüpfung mit einer bestimmten Person ermöglichen, folgt der EuGH nicht. Diese Beurteilung verkenne die besondere Natur persönlicher Meinungen und Sichtweisen, die als Ausdruck der Gedanken einer natürlichen Person zwangsläufig eng mit dieser Person verknüpft sind. Es handelt sich somit um personenbezogene Daten, unabhängig von deren Inhalt, Zweck oder Wirkung.

Außerdem stellt der EuGH klar, dass pseudonymisierte personenbezogene Daten nicht in jedem Fall weiterhin als personenbezogene Daten im Sinne des Datenschutzes gelten. Unter bestimmten Umständen kann die Pseudonymisierung wirksam verhindern, dass Dritte, anders als der Verantwortliche, die betroffene Person identifizieren können, sodass die Daten für Dritte nicht oder nicht mehr auf eine Person zurückführbar sind. Für diese Dritten sind die Daten dann sogar anonymisiert, sodass die DS(G)VO nicht mehr anwendbar ist. Die Beurteilung, ob betroffene Personen (noch/ wieder) identifizierbar sind, hängt wesentlich von den konkreten Umständen der jeweiligen Datenverarbeitung ab.

Der EuGH bestätigt jedoch, dass Betroffene bereits zum Zeitpunkt der Datenerhebung über potenzielle (weitere) Empfänger ihrer Daten informiert werden müssen. Der SRB ist als Verantwortlicher verpflichtet, die Betroffenen bereits bei der Datenerhebung über die Empfänger und/ oder Empfängerkategorien zu informieren, an die ihre personenbezogenen Daten weitergegeben werden könnten – unabhängig davon, ob Drittempfänger die Personen noch identifizieren können. Der EuGH betont, dass die Informationspflicht im Verhältnis zwischen Betroffenem und Verantwortlichem besteht. Maßgeblich ist daher auch, in welcher Form die Daten dem Verantwortlichen vorliegen, bevor eine Weitergabe an Dritte erfolgt. Die Frage der Identifizierbarkeit war hier dementsprechend aus Sicht des Verantwortlichen und nicht aus Sicht des späteren Empfängers (hier: Deloitte) zu beurteilen. Da SRB in der Datenschutzerklärung nicht erwähnt hatte, dass personenbezogene Daten, wie Kommentare, an Deloitte übermittelt werden, liegt ein Verstoß gegen Art. 15 Abs. 1 lit. d DSVO vor. 

Fazit und Handlungsempfehlungen

Da Verstöße gegen die DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden können, empfehlen wir folgende Erkenntnisse aus dem aktuellen EuGH-Urteil zu beachten und umzusetzen:

  • Sämtliche Äußerungen natürlicher Personen sollten ebenso wie z. B. Name, Geburtsdatum und Adressdaten als personenbezogene Daten eingestuft und nur im gesetzlich zulässigen Rahmen der Datenschutzvorschriften, insbesondere der DSGVO, verarbeitet werden.
  • Datenschutzerklärungen müssen betroffene Personen umfassend über die (beabsichtigte) Verarbeitung ihrer personenbezogenen Daten aufklären. Verantwortliche sind verpflichtet, bereits im Rahmen der ersten Erhebung insbesondere auf jede (ggf. beabsichtigte) Weitergabe an Dritte hinzuweisen. Verantwortliche sollten prüfen, ob ihre Datenschutzerklärung die notwendigen Hinweise auf sämtliche Empfänger und/oder Empfängerkategorien enthält und diese ggf. umgehend ergänzen.
  • Pseudonymisierte Daten sind nicht automatisch personenbezogen. Kann eine Pseudonymisierung wirksam verhindern, dass Dritte, die pseudonymisierten Daten vom Verantwortlichen erhalten, die betroffene Person identifizieren, liegen insofern für den Drittempfänger keine personenbezogenen Daten vor. Die DSGVO ist somit auf den Drittempfänger (zunächst) nicht anwendbar. Sobald dem Drittempfänger jedoch eine (Re-) Identifizierung möglich und realistischerweise auch umsetzbar ist, ist auch die DSGVO (wieder) anwendbar und vollumfänglich zu beachten. Für Unternehmen und andere Datenempfänger bedeutet das, dass sie stets sorgfältig prüfen müssen, ob ihnen eine (Re-) Identifizierung möglich ist. Vor diesem Hintergrund empfehlen wir regelmäßige Prüfprozesse zu etablieren und die regelmäßige Überprüfung auch zu dokumentieren.
Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Thomas Jansen
München
Andrea Elisabeth Bauer
München

Ansprechpartner

Dr. Thomas Jansen
München
Andrea Elisabeth Bauer
München

Weitere Artikel

28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
17.10.2025
Kurzüberblick: Defence Readiness Roadmap 2030
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung
18.09.2025
Resilienz durch Design für den Weltraum: EU-Weltraumgesetz (4) – Der Entwurf des EU-Weltraumgesetzes für Resilienz
17.09.2025
Rechtliche Rahmenbedingungen beim Einsatz von KI-AGENTEN
11.09.2025
Data Act: Ab dem 12. September gelten neue Pflichten für die Datenherausgabe
09.09.2025
Alle erreicht?“: Entwurf der EU-Weltraumverordnung (3) – Fokus auf KMU / Industrie
03.09.2025
EuG bestätigt Wirksamkeit des EU-US Data Privacy Framework

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.