Wann sind pseudonymisierte Daten als personenbezogene Daten einzustufen?

In der Praxis stellt sich häufig die Frage, ob trotz einer Unkenntlichmachung personenbezogener Daten, diese noch identifizierbar sind und somit die Datenschutz-Grundverordnung (DSGVO) anzuwenden ist.

Mit seinem Urteil vom 04.09.2025 (C-413/23P) hat sich der Europäische Gerichtshof (EuGH) zu dieser umstrittenen Frage geäußert. Er stellt klar, wann pseudonymisierte Daten als personenbezogen zu betrachten sind und aus welcher Perspektive dies zu beurteilen ist. Nach dem Urteil ist nun klar, dass die Sicht des Übermittlers und die des Empfängers zu trennen sind. Ob es sich um personenbezogene Daten handelt, ist demnach im Einzelfall zu entscheiden. Der EuGH stellt dafür einige Leitlinien auf.

Hintergrund

Der Entscheidung ging ein Streit zwischen dem Europäischen Datenschutzbeauftragten (EDSB) und dem Einheitlichen Abwicklungsausschuss (SRB), welcher als zentrale Abwicklungsbehörde der Europäischen Bankenunion fungiert, voraus. Der SRB übertrug pseudonymisierte Stellungnahmen von betroffenen Aktionären und Gläubigern eines Abwicklungsfalles an die Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte als externen Gutachter. Betroffene reichten daraufhin Beschwerde beim EDSB ein. Dieser sah einen Verstoß gegen Art. 15 Abs.1 lit. d) DSGVO, da die Betroffenen beim Ausfüllen des Fragebogens nicht über die Datenübertragung an Dritte informiert wurden. Das erstinstanzliche Gericht der Europäischen Union (EuG) hob mit Urteil vom 26.04.2023 (T‑557/20) die Entscheidung des EDSB zunächst auf, da es die Personenbezogenheit der Daten ablehnte, weil es für den Empfänger der Daten nicht möglich sei, die Daten Individuen zu zuordnen. Gegen dieses Urteil legte der EDSB Rechtsmittel beim EuGH ein.

Zentrale Eckpunkte der Entscheidung des EuGH

Der EuGH stellt klar, dass der Begriff der personenbezogenen Daten weit auszulegen ist und sämtliche Meinungsäußerungen, Sichtweisen etc. erfasst sind, unabhängig von Inhalt, Zweck und Auswirkungen der Äußerungen.

Die wichtigste Feststellung des Urteils ist, dass diese Daten nach einer Pseudonymisierung für den Übermittler grundsätzlich weiterhin als personenbezogene Daten gelten können. Ob eine Identifizierbarkeit der Person möglich ist, hängt maßgeblich davon ab, ob der Akteur über Zusatzinformationen verfügt, die Rückschlüsse auf die Person zulassen. Bei der Rolle als Übermittler ist das regelmäßig der Fall, da er die Daten zur Übertragung pseudonymisiert hat. Aus Empfängersicht sind die Daten hingegen nicht als personenbezogen anzusehen, wenn der Empfänger die getroffenen Maßnahmen zur Pseudonymisierung nicht selbst aufheben kann und durch diese Maßnahmen tatsächlich keine Zuordnung zu einer Person mehr möglich ist.

Praxistipp

Bei der Übermittlung personenbezogener Daten sollten Sie immer prüfen, ob möglicherweise eine pseudonymisierte Übermittlung das mildere Mittel der Wahl ist. Dies entbindet Sie als Übermittler zwar nicht von Ihren Pflichten nach der DSGVO, insbesondere der Einhaltung der Informationspflichten. Für den Empfänger findet die DSGVO bei einer solchen Übermittlung pseudonymisierter Daten jedoch möglicherweise keine Anwendung. Als Empfänger sollten Sie allerdings stets sorgfältig prüfen, ob trotz der Pseudonymisierung eine Identifizierung möglich ist.

Ihre Ansprechpartner in unserem Büro Dresden ↗ im Zusammenhang mit dem Datenschutzrecht sind:

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Urheber- und Medienrecht Heike Nikolov

Wirtschaftsjuristin im Bereich Datenschutz & Compliance Aleksandra Friemel, LL.M.