EuGH-Urteil: Personenbezug pseudonymisierter Daten – Ein Wendepunkt für Datenschutz und Praxis
Einleitung
Der Europäische Gerichtshof (EuGH) hat am 4. September 2025 im Verfahren C‑413/23 P eine Entscheidung getroffen, die den Datenschutz in Europa nachhaltig beeinflusst. Im Mittelpunkt stand die Frage, ob pseudonymisierte Daten stets als personenbezogene Daten gelten und wie die Begriffe „Personenbezug“ und „Anonymität“ auszulegen sind. Das Urteil beendet einen jahrelangen Streit und hat erhebliche praktische Auswirkungen für Unternehmen, Forschung und die Entwicklung von KI.
Der Europäische Gerichtshof (EuGH) hat am 4. September 2025 im Verfahren C‑413/23 P eine Entscheidung getroffen, die den Datenschutz in Europa nachhaltig beeinflusst. Im Mittelpunkt stand die Frage, ob pseudonymisierte Daten stets als personenbezogene Daten gelten und wie die Begriffe „Personenbezug“ und „Anonymität“ auszulegen sind. Das Urteil beendet einen jahrelangen Streit und hat erhebliche praktische Auswirkungen für Unternehmen, Forschung und die Entwicklung von KI.
Sachverhalt
Ausgangspunkt war das Abwicklungsverfahren der Banco Popular Español. Der Single Resolution Board (SRB) hatte Stellungnahmen von betroffenen Anteilseignern und Gläubigern eingeholt und diese pseudonymisiert an Deloitte weitergegeben. Die Stellungnahmen waren mit einem alphanumerischen Code versehen, sodass die Identität der Verfasser für Deloitte nicht erkennbar war. Der Europäische Datenschutzbeauftragte (EDSB) beanstandete, dass der SRB gegen Informationspflichten verstoßen habe und die Daten als personenbezogen einzustufen seien.
Ausgangspunkt war das Abwicklungsverfahren der Banco Popular Español. Der Single Resolution Board (SRB) hatte Stellungnahmen von betroffenen Anteilseignern und Gläubigern eingeholt und diese pseudonymisiert an Deloitte weitergegeben. Die Stellungnahmen waren mit einem alphanumerischen Code versehen, sodass die Identität der Verfasser für Deloitte nicht erkennbar war. Der Europäische Datenschutzbeauftragte (EDSB) beanstandete, dass der SRB gegen Informationspflichten verstoßen habe und die Daten als personenbezogen einzustufen seien.
Entscheidung des Gerichts
Der EuGH stellte klar, dass der Personenbezug nicht absolut, sondern relativ zu verstehen ist. Ob Daten personenbezogen sind, hängt vom jeweiligen Kontext und den Mitteln ab, die einer Stelle zur Verfügung stehen. Für den SRB, der über Zusatzinformationen verfügte, waren die Daten personenbezogen. Für Deloitte hingegen, das keinen Zugriff auf diese Informationen hatte, galten die Daten als anonym. Damit erteilt der EuGH der Auffassung „einmal personenbezogen, immer personenbezogen“ eine klare Absage.
Der EuGH stellte klar, dass der Personenbezug nicht absolut, sondern relativ zu verstehen ist. Ob Daten personenbezogen sind, hängt vom jeweiligen Kontext und den Mitteln ab, die einer Stelle zur Verfügung stehen. Für den SRB, der über Zusatzinformationen verfügte, waren die Daten personenbezogen. Für Deloitte hingegen, das keinen Zugriff auf diese Informationen hatte, galten die Daten als anonym. Damit erteilt der EuGH der Auffassung „einmal personenbezogen, immer personenbezogen“ eine klare Absage.
Begründung und rechtliche Würdigung
Pseudonymisierung ist kein Element der Definition personenbezogener Daten, sondern eine technische und organisatorische Maßnahme zur Risikominimierung. Sie kann dazu führen, dass Daten für bestimmte Empfänger nicht mehr personenbeziehbar sind. Entscheidend ist, ob die jeweilige Stelle die Daten einer Person zuordnen kann. Der EuGH betonte zudem die Informationspflicht: Der Verantwortliche muss bereits zum Zeitpunkt der Datenerhebung über potenzielle Empfänger informieren – auch dann, wenn die Daten für diese später anonym sind. Diese Pflicht dient der Transparenz und dem Schutz der Betroffenen.
Pseudonymisierung ist kein Element der Definition personenbezogener Daten, sondern eine technische und organisatorische Maßnahme zur Risikominimierung. Sie kann dazu führen, dass Daten für bestimmte Empfänger nicht mehr personenbeziehbar sind. Entscheidend ist, ob die jeweilige Stelle die Daten einer Person zuordnen kann. Der EuGH betonte zudem die Informationspflicht: Der Verantwortliche muss bereits zum Zeitpunkt der Datenerhebung über potenzielle Empfänger informieren – auch dann, wenn die Daten für diese später anonym sind. Diese Pflicht dient der Transparenz und dem Schutz der Betroffenen.
Praktische Konsequenzen und Ausblick
Das Urteil erleichtert die Annahme von Anonymität und eröffnet neue Möglichkeiten für die Nutzung von Daten, insbesondere in Forschung und KI-Entwicklung. Gleichzeitig verlangt es eine sorgfältige Dokumentation: Unternehmen müssen darlegen können, warum Daten für bestimmte Empfänger nicht personenbeziehbar sind. Damit stärkt der EuGH ein kontextbezogenes Verständnis des Datenschutzrechts und beschränkt die Anwendbarkeit der DSGVO auf Fälle, in denen eine Identifizierung tatsächlich möglich ist. Für die Praxis bedeutet das: Mehr Rechtssicherheit bei der Nutzung pseudonymisierter Daten und neue Chancen für datengestützte Innovationen.
Das Urteil erleichtert die Annahme von Anonymität und eröffnet neue Möglichkeiten für die Nutzung von Daten, insbesondere in Forschung und KI-Entwicklung. Gleichzeitig verlangt es eine sorgfältige Dokumentation: Unternehmen müssen darlegen können, warum Daten für bestimmte Empfänger nicht personenbeziehbar sind. Damit stärkt der EuGH ein kontextbezogenes Verständnis des Datenschutzrechts und beschränkt die Anwendbarkeit der DSGVO auf Fälle, in denen eine Identifizierung tatsächlich möglich ist. Für die Praxis bedeutet das: Mehr Rechtssicherheit bei der Nutzung pseudonymisierter Daten und neue Chancen für datengestützte Innovationen.
Recent Comments