- Der EuGH hält pseudonymisierte Daten nicht generell für personenbezogen; sind Dritte nicht in der Lage, die Pseudonymisierung aufzuheben, bleiben Betroffene für sie nicht identifizierbar.
- Die Informationspflicht des Verantwortlichen ist zum Zeitpunkt der Datenerhebung zu prüfen; sie entfällt, wenn bei Erhebung nicht damit zu rechnen ist, dass Empfänger die Daten als personenbezogen verarbeiten können.
Der EuGH hat am 4. September 2025 entschieden (Rs. C‑413/23), dass eine Bekanntgabe pseudonymer Daten keine Bekanntgabe von Personendaten darstellt, wenn
Hintergrund war ein Beschluss des Single Resolution Board SRB, eine für die Abwicklung zuständige Behörde der Europäischen Bankenunion, die ein Abwicklungsverfahren gegen eine Bank eingeleitet hatte. In diesem Rahmen wurden Stellungnahmen von Anteilseignern und Gläubigern eingeholt. Diese wurden später pseudonymisiert an Deloitte übermittelt:
28 An Deloitte wurden lediglich solche Stellungnahmen übermittelt, die […] mit einem alphanumerischen Code versehen waren. Es konnte jedoch nur der SRB anhand dieses Codes die Stellungnahmen mit den während der Registrierungsphase erhobenen Daten […] verbinden. […] Deloitte hatte keinen Zugang zur Datenbank mit den während der Registrierungsphase erhobenen Daten […].
Strittig war, ob die betroffenen Anteilseigner und Gläubiger über die Bekanntgabe an Deloitte hätten informiert werden müssen, und deshalb insbesondere, ob es sich dabei um eine Bekanntgabe von Personendaten handelte.
Der EuGH verneint diese Frage: Pseudonymisierte Daten sind nicht unter allen Umständen personenbezogen. Kann ein Dritter die Pseudonymisierung nicht aufheben, sind die Betroffenen für diesen nicht identifizierbar.
Dieses Urteil ist richtig, weil es sich aus dem relativen Ansatz bei der Bestimmung des Personenbezugs ergibt: Es kommt auf die Identifikationsmöglichkeiten derjenigen Stelle an, die Daten bearbeitet oder von einem Auftragsbearbeiter bearbeiten lässt. Direkte Folge ist der Umstand, dass eine Pseudonymisierung gegenüber Dritten wie eine Anonymisierung wirken kann, weshalb man die Pseudonymisierung auch als subjektive Anonymisierung bezeichnen könnte. In der Schweiz hat das HGer Zürich 2021 gleich entschieden.
Daraus folgt bspw., dass bei der Bekanntgabe robust pseudonymisierter Daten an einen Auftragsbearbeiter im Ausland weder eine ADV noch die SCC notwendig sind. Der Verantwortliche kann aber unter dem Titel der Datensicherheit gehalten sein, mit dem Empfänger die Vertraulichkeit und Zweckbindung sicherzustellen und daher einen Quasi-ADV zu schliessen.
Prüfkriterien für den Personenbezug
Beim Begriff des Personendatums kommt es darauf an, ob eine Information
55 […] aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteile vom 20. Dezember 2017, Nowak, C‑434/16 […], OC/Kommission, C‑479/22 […], IAB Europe, C‑604/22 […] und die dort angeführte Rechtsprechung).
Dazu muss allerdings nicht immer separat geprüft werden, welches Zweck und Auswirkungen einer Bearbeitung sind:
56 […] […] Nach der in Rn. 55 des vorliegenden Urteils wiedergegebenen Rechtsprechung muss eine Prüfung des Inhalts einer Information nicht zwingend durch eine Analyse ihres Zwecks und ihrer Auswirkungen ergänzt werden. Dies ergibt sich aus der Verwendung der Konjunktion „oder“, mit der die verschiedenen, in dieser Rechtsprechung genannten Kriterien verbunden wurden.
Personenbezug pseudonymisierter Daten
Zunächst ist die Pseudonymisierung lediglich eine Massnahme, die die Identifizierungswahrscheinlichkeit senkt, und nicht in die Legaldefinition des Personendatums hineinfingiert:
72 Wie vom Generalanwalt […] ausgeführt, ist die Pseudonymisierung somit kein Element der Definition des Begriffs „personenbezogene Daten“. Sie bezieht sich vielmehr auf die Umsetzung technischer und organisatorischer Maßnahmen, die das Risiko verringern sollen, dass ein bestimmter Datensatz mit der Identität der betroffenen Personen in Verbindung gebracht wird. […]
Und wenn diese Massnahme dazu führt, adsss eien Person faktisch nicht mehr identifizierbar ist, fehlt eben der Personenbezug:
75 Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auswirken.
Deshalb sind die an Deloitte übermittelten Pseudonyme nicht per se Personendaten:
77 Im Hinblick auf Deloitte, an die der SRB pseudonymisierte Stellungnahmen übermittelt hat, können […] die technischen und organisatorischen Maßnahmen […] bewirken, dass diese Stellungnahmen für Deloitte nicht personenbezogen sind. Dies setzt jedoch zum einen voraus, dass Deloitte nicht in der Lage ist, diese Maßnahmen bei der Bearbeitung der Stellungnahmen, die unter ihrer Kontrolle erfolgt, aufzuheben. Zum anderen müssen diese Maßnahmen auch tatsächlich geeignet sein, zu verhindern, dass Deloitte diese Stellungnahmen der betroffenen Person zuordnet, und zwar auch anhand anderer Mittel zur Identifizierung, wie etwa eines Abgleichs mit anderen Elementen, so dass die betroffene Person für Deloitte nicht oder nicht mehr identifizierbar ist.
Dieses Ergebnis entspricht der Rechtsprechung:
82 Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde […]. […]
83 Gleichermaßen hat der Gerichtshof […] im Wesentlichen entschieden, dass an sich nicht personenbezogene Daten, die vom Verantwortlichen erhoben und gespeichert wurden, sich dennoch auf eine identifizierbare Person bezogen, da der Verantwortliche über rechtliche Möglichkeiten verfügte, von Dritten zusätzliche Informationen zu erlangen, die die Identifizierung dieser Person erlaubten. […].
84 Vor allem können nach der Rechtsprechung […] an sich nicht personenbezogene Daten dann zu „personenbezogenen“ Daten werden, wenn der Verantwortliche sie anderen Personen überlässt, die über Mittel verfügen, die nach allgemeinem Ermessen wahrscheinlich die Identifizierung der betroffenen Person ermöglichen. […]
85 […] Sofern […] nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.
86 Folglich müssen […] pseudonymisierte Daten […] nicht in jedem Fall und für jede Person als personenbezogene Daten betrachtet werden. Denn die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.
Auswirkungen auf die Informationspflicht
Strittig war zudem, auf welchen Zeitpunkt die Informationspflicht über die Empfänger zu beziehen ist. Hier kommt es nicht darauf an, ob ein potentieller späterer Empfänger eine Identifikation vornehmen kann:
112 Daraus ergibt sich […], dass die dem SRB obliegende Informationspflicht im vorliegenden Fall vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon bestand, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.
113 […] Aus den Rn. 102 bis 108 des vorliegenden Urteils ergibt sich […], dass diese Bestimmung die Informationspflicht regelt, die dem Verantwortlichen zum Zeitpunkt des Erhebens solcher Daten obliegt. Die Frage, ob der Verantwortliche zu diesem Zeitpunkt seine Informationspflicht erfüllt hat, kann nicht von den Möglichkeiten zur Identifizierung der betroffenen Person abhängen, über die ein potenzieller Empfänger nach einer späteren Übermittlung der in Rede stehenden Daten gegebenenfalls verfügen könnte.
114 Wie vom Generalanwalt […] ausgeführt, würde das Argument […], wonach für die Prüfung der Erfüllung dieser Informationspflicht die Perspektive des Empfängers einzunehmen sei, zu einer zeitlichen Verlagerung dieser Kontrolle führen. Da diese Kontrolle zwingend bereits an den Empfänger übermittelte personenbezogene Daten beträfe, verkennt dieses Argument auch den Zweck der Informationspflicht, der untrennbar mit dem Verhältnis zwischen dem Verantwortlichen und der betroffenen Person verbunden ist.
Dieser Schluss ist einleuchtend – aber nur, wenn zum Zeitpunkt der Ergebung der Daten zumindest damit zu rechnen ist, dass einem Empfänger Daten bekanntgegeben werden, die für diesen effektiv personenbezogen sind. Ist damit nicht zu rechnen, bspw. weil klar ist, dass Daten nur pseudonymisiert weitergegeben werden sollen, kann keine Informationspflicht entstehen, weil der entsprechende Vorgang nicht datenschutzrelevant ist und deshalb auch keine datenschutzrechtlichen Folgen haben kann.