18.09.2025

EuGH bestätigt relativen Personenbezug von personenbezogenen Daten

Portrait von Martin Schweinoch
Martin Schweinoch

Pseudonyme Daten haben für Dritte ohne (Zusatz-)Wissen keinen Personenbezug

Von Martin Schweinoch und Dr. Stefan Peintinger, beide FA IT-Recht und Partner bei SKW Schwarz

Der EuGH hat im Urteil vom 4. September 2025 (Az. C‑413/23 P – „SRB“) eine höchst praxisrelevante Entscheidung zum Personenbezug von Daten getroffen. Wann unterliegen Daten aufgrund ihres Personenbezugs den Regelungen zum Datenschutz? Im konkreten Fall war zu entscheiden, ob Daten „nur“ pseudonym und damit weiter personenbezogen sind oder als anonyme Daten nicht mehr dem Datenschutz unterliegen.

Nach dem EuGH kommt es für den Personenbezug von Daten auf die Perspektive des Verantwortlichen an, insbesondere zum Zeitpunkt der Datenerhebung. Ein Verantwortlicher kann durch Pseudonymisierung verhindern, dass ein anderer Datenempfänger die betroffene Person identifiziert. Für den Datenempfänger ist der pseudonymisierte (Teil-)Datensatz anonym im Sinne der DSGVO, wenn er über kein weiteres Zusatzwissen zu (Re-)Identifikation eines Betroffenen verfügt. Dabei komme es auf die Umstände des Einzelfalles an.

Dieser Beitrag fokussiert auf die Themen der Pseudonymisierung und Anonymisierung und nicht auf prozessuale Aspekte der Entscheidung des EuGH über das Rechtsmittel gegen das Urteil des EuG (Urteil vom 26. April 2023, Az. T-557/20, mit Anm. Schweinoch/Peintinger, CR 2023, S. 532 ff.)

Hintergrund und Reichweite der Entscheidung

Ein Verantwortlicher (SRB) hatte personenbezogene Daten in Fragebögen erhoben. Diese Fragebögen hat er mit einem alphanumerischen Code pseudonymisiert („CodeID“). Dann hat der SRB nur den pseudonymen Fragebogen (ohne „Klardaten“) an Deloitte übermittelt. Deloitte verfügte über keine Mittel, um eine Zuordnung einer CodeID zu einer betroffenen Person zu erreichen. Maßgeblich für das Urteil des EuGH war zwar die Verordnung (EU) 2018/1725. Der EuGH hebt aber ausdrücklich hervor, dass sein Urteil auch für die gleichen Regelungen der DSGVO relevant ist, um eine einheitliche Auslegung der relevanten Begriffe zu erreichen.

Kernaussagen zum Personenbezug

  1. Weitere Auslegung des „Personenbezugs“

Nach dem EuGH ist der Begriff „Personenbezug“ (Art. 3 Nr. 1 VO (EU) 2018/1725, Art. 4 Nr. 1 DSGVO) weit zu verstehen. Der Gesetzgeber hat die Formulierung „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ verwendet. Damit soll diesem Begriff eine weite Bedeutung zukommen. Umfasst sind potenziell alle Arten objektiver und subjektiver Informationen, wenn es sich um Informationen „über“ die in Rede stehende Person handelt. Dazu gehören auch Stellungnahmen oder Beurteilungen.

  1. Relativer Personenbezug

Der EuGH bestätigt: Pseudonymisierte Daten sind für einen Verantwortlichen personenbezogene Daten, wenn er diese pseudonymisierten Daten den Klardaten zuordnen kann. Pseudonymisierte Daten, die ein Verantwortlicher an einen Dritten übermittelt, der nicht über Zusatzwissen zur Zuordnung zu relevanten Klardaten verfügt, sind für diesen Dritten keine personenbezogenen Daten.

Diese Daten sind für den Dritten damit anonyme Daten. Nach ErwGrd. 26 S. 5 DSGVO sollen die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten. Das sind Informationen, die sich nicht auf eine identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann.

Dies gilt jedenfalls dann, wenn der Dritte nicht in der Lage ist, diese Maßnahmen zur – aus seiner Sicht bestehenden – Anonymisierung aufzuheben. Diese Maßnahmen müssen auch geeignet sein, zu verhindern, dass der Dritte für ihn anonyme Daten der betroffenen Person zuordnet. Dabei kommt es auch auf die Mittel an, die der Dritte zur Verfügung hat. Wenn der Dritte etwa durch einen Abgleich mit anderen Elementen eine Identifizierung ermöglichen kann, sind diese Daten für ihn nicht mehr anonym im Sinne des europäischen Datenschutzrechts.

Dabei kann ErwGrd. 26 S. 3 DSGVO herangezogen werden. Danach sollen bei der Prüfung der Identifizierbarkeit einer natürlichen Person „alle Mittel“ berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person – also einem Dritten im Sinne der DSGVO – nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.

Der EuGH verweist sich dabei auf seine bisherige Rechtsprechung, auch die Urteile Breyer (Urt. v. 19.10.2016, CR 2016, 791) und IAB Europe (Urt. v. 07.03.2024, CR 2024, 312 mit Anm. Schweinoch/Peintinger). Dort hatte der EuGH bereits entschieden, dass ein Mittel zur Identifizierung einer natürlichen Person nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint. Dies kann etwa der Fall sein, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde. Der EuGH bestätigt dabei seine Rechtsprechung: Die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Informationen bedeutet für sich genommen nicht, dass pseudonyme Daten in jedem Fall und für jede Partei als personenbezogene Daten zu betrachten sind.

In dem Zusammenhang hebt der EuGH auch nochmals hervor, dass ein Verantwortlicher, der über Mittel verfügt, um eine betroffene Person zu identifizieren, sich nicht darauf berufen kann, dass das Zusatzwissen in Händen eines Dritten ist. Eine betroffene Person ist für den Verantwortlichen identifizierbar, auch wenn er das Zusatzwissen nicht unmittelbar zur Verfügung hat.

  1. Informationspflichten aus der Perspektive des Verantwortlichen

Nach dem EuGH trifft die Informationspflicht nach Art. 13, 14 DSGVO den Verantwortlichen. Der Verantwortliche SRB hätte daher auch über Deloitte als Empfänger informieren müssen, unabhängig davon, ob die Daten aus Sicht des Empfängers Deloitte personenbezogen waren oder nicht. Aus Sicht des Verantwortlichen waren die Daten personenbezogen und unterlagen daher weiter den Informationspflichten.

Ein Dritter, der keinen Personenbezug herstellen kann, kann die datenschutzrechtlichen Informationspflichten und die Betroffenenrechte nicht einlösen. Dagegen kann (und muss) der Verantwortliche bei der erstmaligen Datenerhebung entsprechend informieren und die Einhaltung der Betroffenenrechte gewährleisten. Würde ein Verantwortlicher die Daten zunächst selbst vollständig anonymisieren (z.B. in eine Statistik einfließen lassen), dann hätten diese Daten keinen Personenbezug mehr und der Verantwortliche müsste nicht über Empfänger der anonymen Daten informieren.

Praxisrelevanz

Der EuGH stärkt Verantwortliche und Dritte bei der Anonymisierung von personenbezogenen Daten, stellt aber auch die Pflicht zur Information der betroffenen Personen über pseudonyme Daten klar. Der EuGH knüpft so an seine bisherige Rechtsprechung an, die wohl inzwischen als gefestigt bezeichnet werden kann. Damit bietet diese Rechtsprechung eine Grundlage für die Beantwortung vieler praxisrelevanter Fragen für den Umgang mit und die Verwendung von personenbezogenen oder für die jeweilige Partei eben nicht personenbezogenen Daten. Diese gefestigte Rechtsprechung zum vorhandenen oder nicht vorhandenen Personenbezug von Daten und deren Auswirkungen werden Gegenstand eines zukünftigen Beitrags in Computer & Recht sein.