Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache EDPS gegen Single Resolution Board (C-413/23 P) ein wegweisendes Urteil verkündet. Im Mittelpunkt stand die Frage: Wann sind pseudonymisierte Informationen personenbezogene Daten und wann sind sie es nicht – und für wen?
Das Urteil befasst sich mit einer für Unternehmen und Organisationen, die mit pseudonymisierten Daten arbeiten äußerst wichtigen Frage.
Hintergrund des Falls
Der Einheitliche Abwicklungsausschuss (SRB) sammelte Stellungnahmen von Aktionären und Gläubigern zu einer Abwicklungsmaßnahme. Um die Identitäten zu schützen, ersetzte der SRB die Namen durch Codes. Nur der SRB selbst konnte diese Codes mit den realen Personen in Verbindung bringen.
Die Wirtschaftsprüfungsgesellschaft Deloitte erhielt diese Stellungnahmen ausschließlich in pseudonymisierter Form – ohne Zugriff auf den Schlüssel. Der Europäische Datenschutzbeauftragte (EDSB) vertrat dennoch die Ansicht, dass es sich weiterhin um personenbezogene Daten handelt. Der EuGH entschied anders.
Kernaussagen des EuGH-Urteils
1. Pseudonymisierte Daten sind nicht immer personenbezogen
Der EuGH stellte klar:
„Pseudonymisierte Daten dürfen nicht in allen Fällen und für jede Person als personenbezogene Daten angesehen werden (…), da die Pseudonymisierung je nach den Umständen des Einzelfalls tatsächlich verhindern kann, dass andere Personen als der für die Verarbeitung Verantwortliche die betroffene Person so identifizieren können, dass diese für sie nicht oder nicht mehr identifizierbar ist“ (Rn. 86).
Das bedeutet: Daten können für den Verantwortlichen personenbezogen sein, für den Empfänger aber nicht.
2. Für Verantwortliche bleiben pseudonymisierte Daten personenbezogen
Da der SRB selbst den Schlüssel hatte, bleiben die Daten für ihn personenbezogen. Eine Berufung auf Pseudonymisierung zur Umgehung der DSGVO ist ausgeschlossen.
3. Für Empfänger kann die DSGVO außen vor bleiben
Deloitte hatte keine Möglichkeit, die Daten zurückzuführen. Der EuGH führte aus:
„Zweitens müssen diese Maßnahmen tatsächlich so beschaffen sein, dass sie Deloitte daran hindern, diese Kommentare der betroffenen Person zuzuordnen, auch durch Rückgriff auf andere Identifizierungsmittel (…), so dass die betroffene Person für das Unternehmen nicht oder nicht mehr identifizierbar ist“ (Rn. 76).
Entscheidend ist also nicht nur der fehlende Schlüssel, sondern die Frage, ob eine realistische Re-Identifizierung mit den verfügbaren Mitteln möglich ist.
4. Kontextabhängigkeit der Identifizierbarkeit
Das Urteil knüpft an die bekannte Breyer-Entscheidung (C-582/14) an:
- Für Empfänger ohne Schlüssel oder andere Mittel: pseudonymisierte Daten können faktisch anonym sein.
- Für Verantwortliche mit Schlüssel: die Daten bleiben personenbezogen.
Warum dieses Urteil wichtig ist
Das Urteil bringt eine differenzierte Auslegung der Pseudonymisierung und schafft ein akteurspezifisches Verständnis von personenbezogenen Daten.
- Für Verantwortliche: Pseudonymisierte Daten bleiben personenbezogen, solange eine Re-Identifizierung möglich ist.
- Für Empfänger: Unter strengen Voraussetzungen kann die DSGVO nicht greifen, wenn die Daten nicht re-identifizierbar sind.
Der EuGH hat die pauschale Sichtweise des EDSB zurückgewiesen und betont, dass es auf eine kontextbezogene Einzelfallprüfung ankommt.
Konsequenzen für Unternehmen
Für Organisationen bedeutet dieses Urteil:
- Pseudonymisierung ist kein Freifahrtschein.
- Prüfen Sie stets, wer Zugriff auf welche Daten hat und ob eine Re-Identifizierung realistisch ist.
- Beziehen Sie den Datenschutzbeauftragten oder einen spezialisierten Berater ein, um Risiken und Compliance-Pflichten korrekt zu bewerten.
Fehlerhafte Einschätzungen können erhebliche Folgen für Transparenzpflichten, Risikomanagement und rechtliche Sicherheit haben.
Fazit
Das EuGH-Urteil verdeutlicht: Ob Daten personenbezogen sind, hängt vom Kontext, dem Akteur und den realistischen Mitteln zur Re-Identifizierung ab. Verantwortliche müssen weiterhin streng nach DSGVO arbeiten, während Empfänger unter Umständen nicht im Anwendungsbereich liegen.
Wir unterstützen Sie gern dabei, die Auswirkungen dieses Urteils auf Ihre Organisation einzuschätzen und praktikable Datenschutzstrategien umzusetzen.