Der Europäische Gerichtshof (EuGH) hat mit Entscheidung vom 4. September 2025 im Fall C-413/23 P eine lang ersehnte Klarstellung zum Umgang mit pseudonymisierten Daten getroffen – ein Thema, das in der datenschutzrechtlichen Praxis seit Jahren für Unsicherheit sorgt.
Im Mittelpunkt stand die Frage, ob pseudonymisierte Daten automatisch als personenbezogen einzustufen sind oder ob sie unter bestimmten Bedingungen als anonym gelten können, was sie aus dem strengen Anwendungsbereich der Datenschutzverordnung (DSGVO) und der parallel geltenden Verordnung (EU) 2018/1725 für EU-Institutionen herausnehmen würde.
Hintergrund
Der Fall drehte sich um den Single Resolution Board (SRB), eine EU-Behörde, die im Zuge der Abwicklung der Banco Popular ein Anhörungsverfahren durchführte. Betroffene Anteilseigner und Gläubiger konnten Stellungnahmen abgeben, die anschließend von der Wirtschaftsprüfungsgesellschaft X ausgewertet wurden. Der SRB übermittelte diese Stellungnahmen jedoch nicht im Klartext, sondern in pseudonymisierter Form – versehen mit einem alphanumerischen Code, der eine Rückverfolgung auf die Verfasser nur dem SRB selbst ermöglichte.
X hatte keinen Zugang zu den Originaldaten und konnte die Identität der Verfasser nicht rekonstruieren. Dennoch beanstandete der Europäische Datenschutzbeauftragte (EDSB), dass der SRB die Betroffenen nicht darüber informiert hatte, dass ihre Daten an Deloitte weitergegeben wurden. Der SRB argumentierte, es handele sich bei den übermittelten Daten gar nicht um personenbezogene Daten, da Deloitte die Verfasser nicht identifizieren konnte.
Klarstellungen des EUGH
Der EuGH stellte nun klar, dass die Einordnung als personenbezogene Daten nicht pauschal erfolgt, sondern vom Kontext abhängt. Zunächst betonte das Gericht, dass subjektive Äußerungen wie Stellungnahmen oder Meinungen grundsätzlich als personenbezogen gelten, weil sie die Gedanken und Perspektiven einer natürlichen Person widerspiegeln – selbst wenn sie keinen Namen oder direkte Identifikationsmerkmale enthalten. Eine Aussage wie „Ich halte die Abwicklung für unfair“ bezieht sich unmittelbar auf den Verfasser und ist damit personenbezogen, unabhängig davon, ob sie anonymisiert oder pseudonymisiert vorliegt.
Entscheidend ist jedoch die Frage, ob die betroffene Person identifizierbar ist. Hier differenziert der EuGH zwischen dem Verantwortlichen (in diesem Fall der SRB) und Dritten (hier X). Für den Verantwortlichen bleiben pseudonymisierte Daten personenbezogen, weil er über die technischen und organisatorischen Mittel verfügt, die Identität der Betroffenen zu rekonstruieren – etwa durch den Abgleich mit einer internen Datenbank. Für Dritte wie X können dieselben Daten jedoch anonym sein, wenn sie keinen Zugang zu den zusätzlichen Informationen haben, die eine Identifizierung ermöglichen, und wenn eine Rekonstruktion der Identität praktisch ausgeschlossen ist. Das wäre etwa der Fall, wenn die Identifizierung einen unverhältnismäßigen Aufwand erfordern würde oder rechtlich verboten ist.
Damit stellt der EuGH klar, dass Pseudonymisierung allein nicht ausreicht, um Daten als anonym zu betrachten. Vielmehr kommt es darauf an, ob der Empfänger der Daten die Identität der Betroffenen realistisch ermitteln kann. Wenn nicht, können die Daten für ihn als anonym gelten – mit der wichtigen Konsequenz, dass sie dann nicht unter die DSGVO fallen. Diese Unterscheidung ist für die Praxis von großer Bedeutung, weil sie Unternehmen und Behörden mehr Spielraum gibt, Daten für Zwecke wie Statistik, Forschung oder KI-Training zu nutzen, ohne die strengen Datenschutzregeln einhalten zu müssen.
Pseudonymisierung befreit nicht von der Informationspflicht
Allerdings – und das ist der zweite zentrale Punkt der Entscheidung – befreit Pseudonymisierung nicht von der DSGVO-Informationspflicht. Der EuGH bestätigte, dass der Verantwortliche Betroffene vor der Datenerhebung darüber aufklären muss, an wen ihre Daten weitergegeben werden – selbst wenn der Empfänger die Daten nicht identifizieren kann. Im konkreten Fall hatte der SRB versäumt, in seiner Datenschutzerklärung Deloitte als Empfänger zu nennen. Dies verstieß gegen die Transparenzpflichten der DSGVO, unabhängig davon, ob Deloitte die Daten tatsächlich hätte zuordnen können.
Die Entscheidung hat damit zwei zentrale Botschaften: Erstens erleichtert sie die wirksame Anonymisierung von Daten, wenn sichergestellt ist, dass Dritte die Identität der Betroffenen nicht rekonstruieren können. Das ist besonders relevant für Unternehmen, die Daten für analytische Zwecke weitergeben möchten, ohne die DSGVO vollumfänglich anwenden zu müssen. Zweitens unterstreicht der EuGH jedoch, dass Pseudonymisierung keine automatische Lösung ist. Solange der Verantwortliche selbst die Möglichkeit hat, die Daten zu identifizieren, bleiben sie personenbezogen – und ihre Weitergabe muss offengelegt werden.
Ausblick
Für die Praxis bedeutet das zuvorderst: Wer auf Pseudonymisierung setzt, muss doppelt sorgfältig vorgehen. Einerseits müssen die technischen und organisatorischen Maßnahmen so robust sein, dass eine Identifizierung durch Dritte ausgeschlossen ist. Andererseits müssen Betroffene transparenter als bisher über mögliche Datenweitergaben informiert werden, selbst wenn der Empfänger die Daten nicht identifizieren kann. Gerade in sensiblen Bereichen wie Einziehungsverfahren, wo oft Finanzdaten verarbeitet werden, könnte dies zu neuen Herausforderungen führen. Hier wird es darauf ankommen, ob die verwendeten Pseudonymisierungsmethoden den hohen Anforderungen des EuGH standhalten – oder ob am Ende doch die strengen Regeln der DSGVO greifen.
Die Entscheidung schafft also durchaus mehr Rechtssicherheit, stellt aber gleichzeitig höhere Anforderungen an die technische Umsetzung und die Transparenz gegenüber Betroffenen. In Zukunft könnte dies bedeuten, dass künftig noch genauer zu prüfen ist, ob Datenverarbeitung wirklich anonym erfolgt – oder ob sie doch in den Anwendungsbereich der DSGVO fällt.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
