EUGH: Anonymität von Daten ist relativ zu bestimmen

55cee8f5 541c 4bbe b5d1 a22ae8330f4d

Die Frage, wann Daten als anonym gelten und damit dem Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) entzogen sind, beschäftigt Praxis und Wissenschaft seit Jahren. Mit seinem Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH, C-413/23 P) eine wichtige Entscheidung getroffen, die das bisherige Verständnis von Anonymität und Personenbeziehbarkeit grundlegend prägt.

Der Fall betraf die Übermittlung pseudonymisierter Daten durch den Einheitlichen Abwicklungsausschuss der Europäischen Union (SRB) an die Wirtschaftsprüfungsgesellschaft Deloitte im Rahmen der Abwicklung der Banco Popular Español SA. Der EuGH stellte klar: Anonymität ist keine absolute Eigenschaft von Daten, sondern hängt vom jeweiligen Verantwortlichen und dessen Möglichkeiten zur Identifizierung ab. Die Entscheidung hat weitreichende Konsequenzen für die Datenverarbeitung in Forschung, Wirtschaft und Verwaltung.

Pseudonymisierung und Informationspflichten

Hintergrund des Verfahrens war ein Streit zwischen dem SRB und dem Europäischen Datenschutzbeauftragten (EDSB). Der SRB hatte im Zuge der Abwicklung der Banco Popular Gläubiger aufgefordert, ihre Forderungen zu melden. Die eingereichten Unterlagen wurden mit einer 33-stelligen Identifikationsnummer pseudonymisiert und an Deloitte weitergeleitet, um sie zu bewerten. Deloitte konnte die Daten jedoch nicht einzelnen Gläubigern zuordnen. Der SRB unterließ es, die Betroffenen über diese Übermittlung zu informieren, da er die Daten als anonym betrachtete. Der EDSB sah dies anders und verwarnte den SRB wegen Verstoßes gegen die Informationspflichten der Verordnung (EU) 2018/1725, die für EU-Institutionen gilt und inhaltlich der DS-GVO entspricht.

Das Europäische Gericht gab dem SRB zunächst recht und erklärte die Verwarnung für nichtig. Der EDSB legte Rechtsmittel ein, was schließlich zur Entscheidung des EuGH führte. Der Gerichtshof bestätigte zwar, dass pseudonymisierte Daten für den Empfänger anonym sein können, wenn dieser keine Möglichkeit zur Re-Identifizierung hat. Gleichzeitig betonte er, dass der ursprüngliche Verantwortliche – hier der SRB – die Betroffenen über potenzielle Empfänger informieren muss, selbst wenn die Daten für diese Empfänger anonym sind.

Relativität der Anonymität

Der EuGH bestätigte in seiner Entscheidung drei zentrale Punkte. Erstens: Ob Daten personenbezogen sind, bestimmt sich aus der Perspektive des jeweiligen Verantwortlichen. Daten können für einen Verantwortlichen anonym sein, während sie für einen anderen personenbeziehbar bleiben. Zweitens: Pseudonymisierte Daten sind nicht automatisch personenbezogen, wenn der Empfänger keine Zuordnungsmöglichkeit hat. Drittens: Die Informationspflicht des Verantwortlichen besteht unabhängig davon, ob die übermittelten Daten für den Empfänger anonym sind.

Der Gerichtshof verwies auf die Definition personenbezogener Daten in Art. 3 Nr. 1 der Verordnung (EU) 2018/1725, die mit Art. 4 Nr. 1 DS-GVO übereinstimmt. Entscheidend ist, ob der Verantwortliche die betroffene Person identifizieren kann. Wenn technische und organisatorische Maßnahmen sicherstellen, dass der Empfänger die Daten nicht einer Person zuordnen kann, sind sie für ihn anonym. Allerdings ändert dies nichts an der Pflicht des ursprünglichen Verantwortlichen, die Betroffenen über die Übermittlung zu informieren.

Ein zentrales Argument des EuGH war, dass die bloße Existenz von Zuordnungsinformationen nicht ausreicht, um Daten generell als personenbezogen einzustufen. Vielmehr kommt es darauf an, ob der Empfänger tatsächlich in der Lage ist, die Daten einer Person zuzuordnen. Dies ist eine Frage des Einzelfalls und hängt von den verfügbaren Mitteln ab. Der EuGH betonte, dass die Pseudonymisierung gerade darauf abzielt, die Identifizierbarkeit für Dritte zu verhindern. Wenn dies gelingt, sind die Daten für diese Dritten nicht personenbezogen.

Gleichzeitig machte der Gerichtshof deutlich, dass die Informationspflicht des Verantwortlichen nicht davon abhängt, ob die Daten für den Empfänger anonym sind. Der SRB hätte die Gläubiger über die Weitergabe an Deloitte informieren müssen, selbst wenn Deloitte die Daten nicht re-identifizieren konnte. Nur so können Betroffene nachvollziehen, was mit ihren Daten geschieht, und ihre Rechte geltend machen.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Ausgewogener Ansatz

Das Urteil des EuGH bringt Klarheit in eine seit langem umstrittene Frage. Es bestätigt, dass Anonymität relativ ist und von den Möglichkeiten des jeweiligen Verantwortlichen abhängt. Gleichzeitig betont es die Bedeutung der Informationspflichten, um die Rechte der Betroffenen zu wahren. Für die Praxis bedeutet dies, dass die Verarbeitung anonymisierter Daten erleichtert wird, ohne die grundlegenden Datenschutzprinzipien aufzuweichen. Nicht zuletzt im Umgang mit KI-Trainingsdaten eröffnet das ein wenig neues Potenzial.

Einerseits wird die Datenverarbeitung in Forschung und Wirtschaft gefördert, andererseits bleiben die Rechte der Betroffenen gewahrt. Unternehmen und Behörden sollten ihre Datenverarbeitungsprozesse entsprechend anpassen und sicherstellen, dass sie ihre Informationspflichten erfüllen – selbst wenn die Daten für den Empfänger anonym sind. Dies schafft Rechtssicherheit und stärkt das Vertrauen in den Datenschutz. Die Relativität der Anonymität ist damit kein Freibrief für unkontrollierte Datenweitergaben, sondern ein ausgewogener Kompromiss zwischen Innovation und Schutz der Persönlichkeitsrechte.

Bedeutung für die Praxis: Erleichterung mit Grenzen

Die Entscheidung des Europäischen Gerichtshofs (EuGH) hat erhebliche praktische Auswirkungen. Sie erleichtert die Verarbeitung anonymisierter Daten, insbesondere in der Forschung und bei der Entwicklung von künstlicher Intelligenz. Sind Daten für den Empfänger tatsächlich anonym, unterliegen sie nicht der DSGVO. Dadurch wird der bürokratische Aufwand reduziert und datengetriebene Innovationen werden gefördert. Die Informationspflicht des ursprünglichen Verantwortlichen bleibt allerdings bestehen. Unternehmen und Behörden müssen Betroffene daher weiterhin über die Weitergabe von Daten informieren, selbst wenn diese für den Empfänger anonym sind. So wird sichergestellt, dass die Betroffenen Transparenz über die Datenflüsse erhalten und ihre Rechte wahrnehmen können.

Ein weiterer wichtiger Aspekt ist die Abgrenzung zwischen Pseudonymisierung und Anonymisierung. Während pseudonymisierte Daten unter bestimmten Umständen als anonym gelten können, ist dies nicht automatisch der Fall. Entscheidend ist, ob der Empfänger die Daten tatsächlich nicht re-identifizieren kann. Dies erfordert eine sorgfältige Prüfung der technischen und organisatorischen Maßnahmen.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.