Die Frage, wann Informationen als personenbezogene Daten gelten, ist von zentraler Bedeutung für Unternehmen, die Daten verarbeiten oder weitergeben. Dies gilt insbesondere für Konstellationen, in denen Daten unkenntlich gemacht werden sollen und an externe Dienstleister übermittelt werden. Ein praxisrelevantes Urteil des Europäischen Gerichtshofs (EuGH) vom 04.09.2025 (C-413/23 P) bringt nun wichtige Klarstellungen zu pseudonymisierten Daten. Es hebt ein Urteil des Gerichts der Europäischen Union (EuG) gegen eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) auf und verdeutlicht, dass der Begriff der personenbezogenen Daten weit auszulegen ist, insbesondere wenn persönliche Meinungen oder Stellungnahmen betroffen sind.
Weiterlesen: Praxisrelevantes EuGH-Urteil zu pseudonymisierten DatenHintergrund des Falls
Das Urteil bezieht sich auf einen Fall, indem sich der EDSB mit dem Einheitliche Abwicklungsausschuss (Single Resolution Board (SRB)) stritt. Bei letzterem handelt es sich um die zentrale Abwicklungsbehörde der Europäischen Bankenunion.
In diesem Zusammenhang hatte der SRB Stellungnahmen von von einem Abwicklungsfall betroffenen Aktionären und Gläubigern in „pseudonymisierter“ Form an Deloitte als externen Gutachter weitergegeben. Von der Datenübertragung Betroffene reichten hiergegen Beschwerde beim EDSB ein. Dieser entschied, dass der SRB gegen Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725 zum Datenschutz durch EU-Institutionen verstoßen habe, da er die Betroffenen nicht über die Datenübertragung informiert hatte.
In der daraufhin eingereichten Klage sprach der EuG den Daten jedoch ihre Personenbezogenheit ab und hob die Entscheidung des EDSB auf. Das Beratungsunternehmen hätte keine Möglichkeit gehabt, die Daten Individuen zu zuordnen oder die hierfür erforderlichen Informationen zu erlangen. Gegen diese Entscheidung ging der EDSB im Anschluss vor dem EuGH vor.
Schlussanträge des Generalanwalts
Der Generalanwalt hatte bereits Anfang des Jahres in seinen Schlussanträgen Stellung zur Pseudonymisierung sowie zu den Informationspflichten der SRB bezogen. Er wies zunächst darauf hin, dass pseudonymisierte Daten nicht automatisch als personenbezogen zu qualifizieren sind. Deshalb müsse die Identifizierbarkeit der betroffenen Person im Einzelfall bewertet werden. Außerdem habe die Verpflichtung zur Information der betroffenen Personen unabhängig davon bestanden, ob pseudonymisierte Daten übertragen wurden. Diese Pflicht bestünde bereits zum Zeitpunkt der Erhebung der personenbezogenen Daten.
Zentrale Feststellungen des EuGH
Der EuGH schloss sich dem weitgehend an und widersprach der Ansicht des EuG. Er nutzte insofern sein Urteil, um Grundsatzfragen zum Anwendungsbereich personenbezogener Daten und zur Informationspflicht zu klären.
Persönliche Meinungen sind personenbezogene Daten
Besonders deutlich stellte der Gerichtshof klar, dass persönliche Stellungnahmen, Meinungen oder Sichtweisen immer einen engen Bezug zur betreffenden Person haben. Das EuG hatte verlangt, dass der EDSB zusätzlich Inhalt, Zweck und Auswirkungen der übermittelten Stellungnahmen prüfen müsse, um den Personenbezug festzustellen. Dies wies der EuGH laut seiner Pressemitteilung (abrufbar hier) zurück. Persönliche Ansichten seien zwangsläufig Ausdruck individueller Gedanken und daher untrennbar mit der Person verbunden, die sie äußert. Damit sei ihre Einordnung als personenbezogene Daten ohne weitere Prüfung gegeben.
Pseudonymisierte Daten sind nicht in jedem Fall personenbezogen
Gleichzeitig betonte der Gerichtshof aber, dass pseudonymisierte Daten nicht automatisch in jeder Konstellation personenbezogen bleiben. Ob eine Identifizierung möglich ist, hänge maßgeblich davon ab, welche zusätzlichen Informationen einem Verantwortlichen oder Dritten zur Verfügung stehen. Entscheidend sei also die konkrete Verarbeitungssituation. Für Dritte könne eine wirksame Pseudonymisierung tatsächlich dazu führen, dass eine Identifizierung ausgeschlossen ist und dann auch der Personenbezug wegfällt.
Bezugspunkt für Informationspflicht
Zuletzt äußert sich der EuGH zur Frage, aus wessen Perspektive und zu welchem Zeitpunkt die personenbezogene Qualität von Daten beurteilt werden muss, um festzustellen, ob eine Informationspflicht besteht. Der EuGH stellte klar, dass die Informationspflicht im Verhältnis zwischen Verantwortlichem und betroffener Person entsteht, und zwar bereits in dem Moment, in dem die Daten erhoben werden. Entscheidend sei die Sichtweise des Verantwortlichen zum Zeitpunkt der Datenerhebung, nicht die Einschätzung eines späteren Empfängers. Damit könne sich der SRB nicht darauf berufen, dass Deloitte die pseudonymisierten Stellungnahmen möglicherweise nicht mehr einzelnen Personen zuordnen konnte und dann ein Personenbezug entfalle. Der Informationspflicht hätte bereits im Zeitpunkt der Datenerhebung bei SRB bestanden.
Bedeutung für die Praxis
Das Urteil bringt für Unternehmen, die mit pseudonymisierten Daten arbeiten, eine zweifache Botschaft, insbesondere, da es dem Sinne nach auch auf die Datenschutzgrundverordnung (DSGVO) anwendbar ist. Einerseits unterstreicht es die weite Auslegung des Begriffs personenbezogener Daten, insbesondere wenn es um persönliche Äußerungen geht. Andererseits lässt der EuGH Spielraum für Konstellationen, in denen Pseudonymisierung tatsächlich dazu führt, dass Daten für Dritte nicht mehr als personenbezogen einzustufen sind. Das ist insofern erfreulich, dass eine tatsächliche und vollständige Anonymisierung von personenbezogenen Daten eine teilweise (fast) unmögliche oder nicht zielführende Lösung darstellt.
Für die Informationspflichten nach der DSGVO beziehungsweise nach der Verordnung 2018/1725 bedeutet das Urteil aber auch, dass Unternehmen sich nicht auf die Sichtweise ihrer Dienstleister verlassen dürfen. Maßgeblich ist, ob sie selbst bei der Erhebung der Daten einen Personenbezug feststellen können. Sobald dies der Fall ist, muss die betroffene Person über mögliche Weitergaben informiert werden.
Fazit
Die Entscheidung stellt ein praxisrelevantes EuGH-Urteil zu pseudonymisierten Daten dar und trifft wichtige Abgrenzung. Persönliche Stellungnahmen sind stets personenbezogen, unabhängig von einer weiteren Prüfung. Gleichzeitig bleibt die Pseudonymisierung ein taugliches Mittel, um unter bestimmten Umständen den Personenbezug für Dritte zu beseitigen. Für Verantwortliche bleiben Informationspflichten aber meist bestehen.
