EuGH: Pseudonymisierung kann Anwendung der DSGVO entfallen lassen

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 02.09.2025 in der Rechtssache C-413/23 P zentrale Fragen zur Pseudonymisierung beantwortet und die Relativität des Personenbezugs konkretisiert. Das Urteil hat unmittelbare Bedeutung für Verantwortliche bei der pseudonymisierten Datenübermittlung. Aus Sicht entsprechender Datenempfänger ist das Datenschutzrecht dann nicht mehr anwendbar.

Pseudonymisierung als Verschlüsselung

Die Pseudonymisierung galt bislang lediglich als datenschutzfreundliche Maßnahme zum erhöhten Schutz personenbezogener Daten. „Pseudonymisierung“ bedeutet per Definition, dass personenbezogene Daten ohne zusätzliche Informationen (also einem virtuellen Schlüssel) nicht mehr einer spezifischen Person zugeordnet werden können. Gleichwohl blieb dabei die Anwendbarkeit der DSGVO unberührt. Der EuGH verdeutlicht jedoch, dass häufig nicht pauschal entschieden werden kann, ob pseudonymisierte Daten personenbezogen sind. Entscheidend seien stets die Umstände des Einzelfalls.

Der Ausgangsfall

Im konkreten Fall holte der operativ zuständige europäische Abwicklungsausschuss (Single Resolution Board, kurz SRB) im Rahmen einer Bankenabwicklung Stellungnahmen von betroffenen Aktionären ein. Anschließend übermittelte er diese pseudonymisiert an eine Wirtschaftsprüfungsgesellschaft, um die Folgen einer Abwicklung (im Vergleich zu einer Insolvenz) beurteilen zu lassen. Dabei verfügte nur das SRB über die zusätzlichen Informationen (technische „Schlüssel“), die eine Personenidentifizierung ermöglicht hätten.

Später legten die betroffenen Aktionäre beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerde ein, da sie nicht über die Datenübermittlung informiert worden waren. Der EDSB hatte daraufhin festgestellt, dass das SRB als verantwortliches Organ in der entsprechenden Datenschutzerklärung nicht die Wirtschaftsprüfungsgesellschaft als Empfänger benannt und damit gegen seine Informationspflichten gemäß Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725 (zum Datenschutz durch EU-Behörden) verstoßen hatte.

Das SRB erhob gegen die Entscheidung des EDSB Klage vor dem EuG (Gericht Erster Instanz der Europäischen Union). Dieses hatte der Klage des SRB zunächst stattgegeben und die Entscheidung des EDSB für nichtig erklärt.

Die Entscheidung des EuGH

Der EuGH hat entgegen dem EuG einen Verstoß gegen die Informationspflichten gemäß Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725 bejaht. Art. 15 Abs. 1 lit. d stimmt dabei inhaltlich mit Art. 13 Abs. 1 lit. e sowie Art. 14 Abs. 1 lit. e DSGVO überein. Laut EuGH ist das Urteil auch für die DSGVO relevant, um eine einheitliche Auslegung sicherzustellen.

Der EuGH hat zunächst betont, dass unter den Begriff „personenbezogene Daten“ auch solche Informationen fielen, die untrennbar mit der Person verbunden seien, etwa persönliche Ansichten, Einschätzungen oder Werturteile (im hiesigen Fall die Stellungnahmen der Aktionäre).

Zudem komme es für die datenschutzrechtliche Informationspflicht bezüglich einer Übermittlung maßgeblich auf die Perspektive des Verantwortlichen (hier SRB) zum Zeitpunkt der Erhebung an und nicht auf die eines dritten Empfängers (hier der Wirtschaftsprüfungsgesellschaft).

Auch wenn der Verantwortliche die Daten vor der Übermittlung pseudonymisiert habe, handle es sich für ihn dennoch um eine Übermittlung personenbezogener Daten, die eine Informationspflicht auslöse.

Nach der Weiterleitung personenbezogener Daten sei jedoch die Sicht des Empfängers entscheidend. Stünden diesem keine Mittel (bspw. ergänzende Informationen oder technische „Schlüssel“, die eine erneute Herstellung des Personenbezugs ermöglichen) zur Re-Identifizierung der natürlichen Person zur Verfügung oder sei eine Zuordnung gesetzlich verboten oder praktisch nicht durchführbar, lägen für den Empfänger keine personenbezogenen Daten vor. Die Vorgaben der Verordnung (EU) 2018/1725 (und somit auch der DSGVO) fänden insofern für den Drittempfänger keine Anwendung.

Damit hat der Gerichtshof an sein sog. FIN-Urteil (EuGH, Urteil vom 09.11.2023 – Az.: C-319/22) und sein Breyer-Urteil (EuGH, Urteil vom 19.10.2016 – Az.: C-582/14) angeknüpft und den Ansatz des relativen Personenbezugs bekräftigt. Auf die Klage des damaligen Bundestagsabgeordneten der Piratenpartei Patrick Breyer hatte der EuGH entschieden, dass die dynamische IP-Adresse ein personenbezogenes Datum für den Website-Betreiber sei. Doch sei dort entscheidend, dass dieser durch behördliche Anordnungen über Mittel verfüge, mit deren Hilfe für ihn selbst die betroffene Person bestimmbar werde. Gemäß dem FIN-Urteil sei die Fahrzeug-Identifizierungsnummer (FIN) grundsätzlich kein personenbezogenes Datum. Jedoch könne sie zu einem solchen werden, wenn derjenige, der Zugang zu ihr habe (hier ein Autoteilehändler), über zusätzliche Mittel verfüge, um über die FIN den Halter des Fahrzeugs zu identifizieren.

Dieser relative Personenbezug widerspricht insbesondere der in Deutschland häufig vertretenen Auffassung eines absoluten Personenbezugs, wonach es bereits ausreichen soll, dass irgendeine Person grundsätzlich in der Lage ist, einen Personenbezug (auch bei pseudonymisierten Daten) herzustellen. Jenseits des EuGH-Urteils bekräftigt nun auch der Entwurf einer Omnibus-Verordnung der Europäischen Kommission dieses Verständnis.

Folgen für die Praxis

• Informationspflicht des Verantwortlichen auch bei Pseudonymisierung

Für Verantwortliche nach der DSGVO lässt die Pseudonymisierung die datenschutzrechtlichen Informationspflichten nach Art. 13 und 14 DSGVO nicht entfallen. Entsprechend sind auch solche Empfänger in den Datenschutzhinweisen zu benennen, bei denen ein Personenbezug der übermittelten Daten nach Empfang nicht möglich ist.

• Verringerte Datenschutzanforderungen für Datenempfänger

Für Verantwortliche, die pseudonymisierte personenbezogene Daten empfangen, entfallen die Pflichten aus der DSGVO, sofern sie keine realistische Möglichkeit zu Re-Identifizierung haben. In der Praxis ist vor allem relevant, dass weitere Verarbeitungen (und somit auch Weiterübermittlungen an andere Dritte) weder einer Rechtsgrundlage bedürfen noch in das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden müssen. Dies eröffnet neue wirtschaftliche Nutzungsmöglichkeiten von Daten.

• Erleichterte Rechtfertigung der Verarbeitung personenbezogener Daten

Die Übermittlung pseudonymisierter Daten kann einfacher durch berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO legitimiert werden, wenn die Sicht des Empfängers mit einbezogen wird, für den die Daten aufgrund der Pseudonymisierung nicht mehr personenbezogen sind. Daraus ergibt sich ein reduziertes Risiko für die Rechte der Betroffenen, sodass die erforderliche Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO in der Regel zugunsten des (Erst-)Verantwortlichen ausfällt.

• Auftragsverarbeitungsvertrag bleibt erforderlich

Auftragsverarbeitungsverträge gem. Art. 28 DSGVO bleiben aus Sicht des Erstverantwortlichen gleichwohl erforderlich; allerdings führt die Pseudonymisierung zu einer erhöhten Sicherheit, sodass etwa das Outsourcing der Verarbeitung von Gesundheitsdaten erleichtert sein kann (etwa auch im Hinblick auf KI im Gesundheitswesen).

• Konsequenzen für den EU Data Act

Durch den Wegfall der Anwendbarkeit der DSGVO auf Empfänger- bzw. Nutzerseite können Datenbereitstellungsansprüche nach dem EU Data Act (DA) leichter zu bejahen sein. Beispielsweise dürfte ein Fahrzeughersteller als „Dateninhaber“ gegenüber einem Unternehmen als Leasingnehmer und damit „Nutzer“ die (personenbezogenen) „Produktdaten“ gem. Art. 4 Abs. 12 DA nur verfügbar machen, wenn hierfür auch eine Rechtsgrundlage nach Art. 6 DSGVO in Bezug auf den das Leasingfahrzeug nutzenden Arbeitnehmer besteht. Die Offenlegung von pseudonymisierten Daten kann aus Sicht des Herstellers (und Dateninhabers bzw. Datenschutzverantwortlichen) einfacher nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Unter Umständen ist der Dateninhaber als Verantwortlicher im Sinn der effizienten Umsetzung des Data Act sogar zur Pseudonymisierung verpflichtet.