Wenn pseudonymisierte Daten plötzlich anonym werden: Der EuGH definiert den Personenbezug neu
Mit seinem Urteil vom 4. September 2025 in der Rechtssache C-413/23 hat der Europäische Gerichtshof eine zentrale Frage des Datenschutzrechts neu ausgerichtet. Er klärte, wann pseudonymisierte Daten weiterhin als personenbezogen gelten und wie die Identifizierbarkeit rechtlich zu bestimmen ist. Das Urteil ist wegweisend, weil es erstmals ausdrücklich ein relatives Verständnis des Personenbezugs bestätigt. Für Juristinnen und Juristen, die nicht täglich mit Datenschutzrecht arbeiten, bietet es zugleich einen neuen Zugang zur Systematik der DSGVO.
Wie die pseudonymisierten Stellungnahmen überhaupt vor dem EuGH landeten
Ausgangspunkt war die Abwicklung der spanischen Banco Popular Español. Der Europäische Einheitliche Abwicklungsausschuss, SRB, holte Stellungnahmen der betroffenen Aktionäre und Gläubiger ein. Vor der Weitergabe an Deloitte ersetzte der SRB alle identifizierenden Angaben durch Codes. Die Zuordnungsschlüssel behielt der SRB. Mehrere Betroffene erfuhren später, dass die Daten, wenn auch pseudonymisiert, an Deloitte gelangt waren, und legten Beschwerde beim Europäischen Datenschutzbeauftragten ein. Der EDPS sah einen Verstoß gegen die Transparenzpflichten der Verordnung (EU) 2018/1725 und untersagte die Weitergabe. Der SRB klagte dagegen und brachte die Streitfrage schließlich vor den EuGH.
Was hinter dem Begriff personenbezogene Daten wirklich steckt
Die Verordnung (EU) 2018/1725 definiert personenbezogene Daten in Einklang mit der DSGVO als Informationen über eine identifizierte oder identifizierbare natürliche Person. Eine Person ist identifizierbar, wenn mit zusätzlichen Informationen eine Zuordnung möglich wäre. Die Pseudonymisierung ersetzt identifizierende Merkmale durch Codes, die getrennt aufbewahrt werden müssen. Sie vermindert das Risiko einer Identifikation, beseitigt es jedoch nicht automatisch. Daher gelten pseudonymisierte Daten grundsätzlich weiterhin als personenbezogen. Zentral ist jedoch die Frage, wer realistischerweise in der Lage ist, eine Person zu identifizieren: der ursprüngliche Verantwortliche oder der Empfänger der Daten.
Warum die Frage „Wer kann eigentlich wen identifizieren?“ den Streit ausgelöst hat
Der EDPS vertrat einen absoluten Ansatz. Er argumentierte, dass die Daten personenbezogen bleiben, solange irgendwo ein Identifikationsschlüssel existiert – hier beim SRB. Dass Deloitte selbst keinen Zugriff darauf hatte, sei unerheblich. Der SRB hielt dagegen, dass Deloitte unter den tatsächlichen Umständen keinerlei Möglichkeit hatte, die betroffenen Personen zu identifizieren. Daraus ergab sich die Schlüsselfrage: Ist der Personenbezug absolut zu bestimmen oder in Abhängigkeit vom jeweiligen Akteur? Ergänzend stand die Frage im Raum, ob die fehlende Information über Deloitte einen Verstoß gegen Transparenzpflichten darstellt.
Wie der EuGH erklärt, dass Daten gleichzeitig personenbezogen und anonym sein können
Der EuGH folgte dem relativen Ansatz. Er entschied, dass für die Frage des Personenbezugs maßgeblich ist, welche Identifizierungsmöglichkeiten dem konkreten Akteur zur Verfügung stehen. Für den SRB blieben die Daten personenbezogen, da er die Schlüssel besaß und eine Re-Identifikation jederzeit möglich war. Für Deloitte hingegen waren die Daten anonym, weil keine realistische Möglichkeit bestand, eine Identifizierung vorzunehmen. Der Gerichtshof betont, dass eine nur theoretische Möglichkeit nicht genügt. Identifizierungshandlungen müssen praktisch durchführbar, rechtlich zulässig und unter realistischen Bedingungen zumutbar sein.
Damit bestätigt der EuGH erstmals ausdrücklich, dass derselbe Datensatz für verschiedene Akteure unterschiedliche rechtliche Qualitäten besitzen kann. Dieser relative Ansatz widerspricht der bisherigen Linie vieler Datenschutzbehörden, die einen Personenbezug bereits dann annahmen, wenn irgendwo ein Schlüssel existiert. Der EuGH knüpft damit an seine frühere Rechtsprechung an, etwa an das Urteil Breyer, das ebenfalls eine kontextbezogene Bewertung der Identifizierbarkeit vorsah.
Unabhängig von dieser dogmatischen Frage stellte der EuGH klar, dass der SRB die Betroffenen über die geplante Übermittlung an Deloitte hätte informieren müssen. Die Transparenzpflicht entsteht zum Zeitpunkt der Erhebung der Daten und ist nicht davon abhängig, ob die Daten beim Empfänger als personenbezogen einzustufen sind. Der SRB hatte somit gegen Art. 15 I der Verordnung (EU) 2018/1725 verstoßen.
Warum das Urteil überzeugt, aber nicht alle Probleme löst
Das Urteil ist in seiner Klarheit beeindruckend, weil es die Identifizierbarkeit erstmals konsequent an tatsächlichen Möglichkeiten ausrichtet. Dadurch rückt die datenschutzrechtliche Bewertung näher an die technische Realität. Gleichzeitig führt der relative Ansatz zu einem differenzierteren Prüfprogramm. Verantwortliche müssen künftig nicht mehr allein fragen, ob personenbezogene Daten existieren, sondern aus welcher Perspektive dies zu beurteilen ist.
Zugleich wirft der Ansatz neue Fragen auf. Er könnte missverstanden werden als Freibrief für vermeintlich anonyme Datenübermittlungen. Verantwortliche müssen daher sorgfältig dokumentieren, warum eine Re-Identifikation für den Empfänger ausgeschlossen ist. Zudem bleibt offen, wie der relative Ansatz mit bestehenden Pflichten rund um Auftragsverarbeitung oder gemeinsame Verantwortlichkeit harmoniert. Auch die Reaktion der Aufsichtsbehörden bleibt abzuwarten, da der EuGH einen Kurswechsel gegenüber bisherigen Leitlinien einleitet.
Was das Urteil für den Umgang mit pseudonymisierten Daten künftig bedeutet
Mit seiner Entscheidung hat der EuGH ein wichtiges Kapitel der Auslegung der DSGVO fortgeschrieben. Pseudonymisierte Daten können für einen Akteur personenbezogen und für einen anderen anonym sein. Gleichzeitig bleibt der Verantwortliche selbst an sämtliche Datenschutzpflichten gebunden, solange er mit Zusatzinformationen eine Re-Identifikation vornehmen kann. Die Entscheidung verbindet dogmatische Schärfe mit praktischer Relevanz und setzt einen neuen Standard für die Beurteilung pseudonymisierter Daten.
Annika ist Rechtsreferendarin und vertieft im Rahmen eines LL.M.-Studiums der Rechtsinformatik ihre Kenntnisse im Bereich Legal Tech. Parallel zu ihrer Ausbildung arbeitet sie als Datenschutzbeauftragte in einem mittelständischen Unternehmen. Ihr fachlicher Schwerpunkt ist dabei von ihrem besonderen Interesse an den durch digitale Technologien geprägten Veränderungen des Rechts motiviert. Ihr fachlicher Schwerpunkt ist Ausdruck ihres besonderen Interesses an den durch digitale Technologien geprägten Veränderungen des Rechts.