Bei anonymisierten Daten ist keine Zuordnung zu einem personenbezogenen Datum möglich. Daher fallen anonymisierte Daten auch nicht in den Anwendungsbereich der DSGVO.
Art. 3 Ziff. 1 DSGVO: „personenbezogene Daten“ sind alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Art. 4 DSGVO - Begriffsbestimmungen
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;“
Erwägungsgrund 28 - Einführung der Pseudonymisierung
„Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. 2Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen."
Sachverhalt:
Kläger war der Einheitliche Abwicklungsausschuss (SRB), Beklagte der Europäische Datenschutzbeauftragte (EDSB).
Inhaltlich ging es um die Zulässigkeit der vom SRB im Rahmen einer Anhörung erhobenen Daten über Fragebögen. In zwei Schritten sortierte die SRB erst selbst die eingegangenen Stellungnahmen Identifikationsnummern und analysierte diese anschließend mit Blick auf ihre Erheblichkeit für das Verfahren. In einem dritten Schritt, der Prüfungsphase, wurden die Stellungnahmen zur vorläufigen Entscheidung vom SRB behandelt und dann über 1000 Stellungnahmen über einen gesicherten und vom SRB speziell dafür vorgesehenen virtuellen Server an Deloitte übermittelt. Der SRB lud die an Deloitte zu übermittelnden Dateien auf den virtuellen Server hoch und gab den Zugang dazu für eine beschränkte und kontrollierte Anzahl unmittelbar mit dem Projekt befasster Mitarbeiter von Deloitte frei.
Es wurden lediglich solche Stellungnahmen an D. übermittelt, die während der Konsultationsphase eingegangen und mit einem alphanumerischen Code versehen waren. Nur der SRB konnte anhand dieses Codes die Stellungnahmen mit den während der Registrierungsphase erhobenen Daten verbinden. Der alphanumerische Code wurde für Audit-Zwecke entwickelt, um nachprüfen und gegebenenfalls nachträglich beweisen zu können, dass jede Stellungnahme bearbeitet und ordnungsgemäß berücksichtigt wurde. Deloitte hatte und hat keinen Zugang zur Datenbank mit den während der Registrierungsphase erhobenen Daten.
Gegen diese Übertragung wurde von 5 Anteilseignern und Gläubigern Beschwerden eingelegt, da sie darüber nicht informiert worden seien. Dadurch habe der SRB gegen Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 verstoßen. Dieser lautet: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten … Informationen … [betreffend] … gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten [mit]“.
Der EDSB bejahte diese Frage (schließlich, nach einer Korrektur) und stellte einen Verstoß gegen die DSGVO fest.
Hiergegen klagte der SRB. Er stützt seine Klage auf zwei Gründe. Erstens sei Art. 3 Nr. 1 der Verordnung 2018/1725 verletzt, weil es sich bei den an Deloitte weitergegebenen Informationen nicht um personenbezogene Daten handele. Zweitens sei das in Art. 41 der Charta verankerte Recht auf eine gute Verwaltung verletzt.
Das Gericht prüfte (v.a.) die vom EDSB vorgenommene Beurteilung der Frage, ob die an Deloitte übermittelten Informationen sich auf eine „identifizierte oder identifizierbare“ natürliche Person (Art. 4 Nr. 1 DSGVO) bezogen.
Der SRB macht geltend, dass entgegen der Auffassung des EDSB die Mitteilung des alphanumerischen Codes an Deloitte nicht zu einer „Pseudonymisierung“ der Daten geführt habe. Diese seien anonym geblieben, da der SRB die Informationen, anhand deren eine Rückidentifizierung der Personen, von denen die Stellungnahmen stammten, möglich gewesen wäre, nicht mit Deloitte geteilt habe, vgl. Rn. 76 ff. des Urteils.
Der 16. Erwägungsgrund der Verordnung 2018/1725 sieht Folgendes vor:
„… Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. …“
Zu prüfen war nach Auffassung des Gerichtshofs im Breyer-Urteil (jedoch), ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 45).
Der Gerichtshof wies darauf hin, dass dies nicht der Fall gewesen wäre, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar gewesen wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert hätte, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschienen wäre (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 46). Im vorliegenden Fall wird nicht bestritten, dass zum einen der in den an Deloitte übermittelten Informationen enthaltene alphanumerische Code als solcher nicht ausreichte, um die Verfasser der Stellungnahmen zu identifizieren, und zum anderen Deloitte keinen Zugang zu den Identifizierungsdaten hatte, die während der Registrierungsphase erhoben wurden und anhand deren dank des alphanumerischen Codes die Teilnehmer mit ihren Kommentaren in Verbindung gebracht werden konnten.
Der EDSB hat in der überarbeiteten Entscheidung darauf hingewiesen und in der mündlichen Verhandlung bestätigt, dass es sich bei den zur Identifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen um den alphanumerischen Code und die Identifizierungsdatenbank handelt.
Wie der EDSB im Hinblick auf Rn. 43 des oben in Rn. 90 erwähnten Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), ausführt, schließt die Tatsache, dass nicht Deloitte, sondern der SRB über die zur Identifizierung der Verfasser der während der Konsultationsphase abgegebenen Stellungnahmen erforderlichen zusätzlichen Informationen verfügte, zwar nicht von vornherein aus, dass es sich bei den an Deloitte übermittelten Informationen für Deloitte um personenbezogene Daten handelte.
Doch geht aus dem Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), auch hervor, dass für die Bestimmung, ob es sich bei den an Deloitte übermittelten Informationen um personenbezogene Daten handelte, auf das Verständnis abzustellen ist, das Deloitte bei der Bestimmung der Frage hatte, ob die ihr übermittelten Informationen sich auf „identifizierbare Personen“ beziehen.
Es war somit gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.
Der EDSB führt also unzutreffend aus, dass nicht untersucht werden müsse, ob Deloitte anhand der übermittelten Informationen deren Verfasser rückidentifizieren könne oder ob diese Rückidentifizierung hinreichend wahrscheinlich sei.
Der EDSB ging davon aus, dass für die Annahme, die an Deloitte übermittelten Informationen personenbezogene Daten seien, die Tatsache ausreiche, dass der SRB über die zusätzlichen Informationen verfüge, anhand deren eine Rückidentifizierung der Verfasser der Stellungnahmen möglich sei. Gleichzeitig stellte er aber auch fest, dass die während der Registrierungsphase erhobenen Identifizierungsdaten Deloitte nicht mitgeteilt worden seien.
Aus der überarbeiteten Entscheidung geht somit hervor, dass der EDSB sich auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht der von Deloitte) beschränkt hat.
Wie aber aus der oben in Rn. 92 angeführten Rn. 45 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), hervorgeht, war vom EDSB festzustellen, ob es sich bei der Möglichkeit, die an Deloitte übermittelten Informationen mit den dem SRB vorliegenden zusätzlichen Informationen zu kombinieren, um ein Mittel handelte, das von Deloitte vernünftigerweise zur Bestimmung der Verfasser der Kommentare eingesetzt werden konnte.
Somit durfte der EDSB, weil er nicht geprüft hat, ob Deloitte das Recht hatte, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 beziehen.
Nach alledem ist dem ersten Klagegrund stattzugeben und die überarbeitete Entscheidung für nichtig zu erklären, ohne dass es einer Prüfung des zweiten Klagegrundes bedarf.
Ergebnis: übermittelten Daten waren anonym!
Urteil des EuGH vom 04.09.2025 (C‑413/23 P)
Aus dem Sachverhalt:
Der Einheitliche Abwicklungsausschuss (SRB) hatte im Rahmen eines Verfahrens zur Entschädigung von Anteilseignern und Gläubigern der Banco Popular Española SA Stellungnahmen gesammelt. Diese Stellungnahmen wurden, versehen mit einem alphanumerischen Code, an die Wirtschaftsprüfungsgesellschaft Deloitte übermittelt. Der Europäische Datenschutzbeauftragte (EDSB) stellte fest, dass der SRB gegen seine Informationspflicht gemäß Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 verstoßen hatte, da er die betroffenen Personen nicht darüber informiert hatte, dass ihre (pseudonymisierten) Daten an Deloitte weitergegeben werden würden. Der SRB klagte gegen diese Entscheidung und gewann in erster Instanz vor dem Gericht der Europäischen Union, das die Entscheidung des EDSB für nichtig erklärte. Das Gericht argumentierte, dass die an Deloitte übermittelten Daten aus Sicht von Deloitte nicht als personenbezogene Daten angesehen werden könnten, da Deloitte keine direkten Identifizierungsmöglichkeiten hatte. Dagegen legte der EDSB Rechtsmittel ein.
Aus den Entscheidungsgründen:
Der Gerichtshof hob das Urteil des Gerichts in Bezug auf den ersten Klagegrund (Verletzung von Art. 3 Nr. 1 der Verordnung 2018/1725) auf und stellte nun fest, dass die Argumentation des Gerichts fehlerhaft war.
Der Gerichtshof stellte klar, dass persönliche Meinungen oder Sichtweisen, wie sie in den Stellungnahmen enthalten sind, zwangsläufig eng mit der Person verknüpft sind, die sie äußert. Eine weitere detaillierte Prüfung des Inhalts, Zwecks oder der Auswirkungen der Informationen ist nicht zwingend erforderlich, um einen Bezug zu einer natürlichen Person herzustellen. Es reiche aus, dass die Stellungnahmen die persönliche Sichtweise der Verfasser widerspiegelten.
Der Gerichtshof betonte, dass pseudonymisierte Daten nicht in jedem Fall und für jede Person als anonyme Daten gelten und somit aus dem Anwendungsbereich der Datenschutzgrundverordnung fallen. Die Pseudonymisierung soll Risiken mindern, macht Daten aber nicht per se anonym.
Wichtig: Die Identifizierbarkeit einer Person ist aus der Sicht des Verantwortlichen (hier: SRB) zum Zeitpunkt der Datenerhebung zu beurteilen - und nicht aus der Sicht eines Dritten (hier: Deloitte), an den die Daten später übermittelt werden. Da der SRB über alle Informationen verfügte, um die Verfasser der Stellungnahmen zu identifizieren, blieben diese Daten für den SRB personenbezogen.
Die Informationspflicht nach Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 besteht im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen. Sie soll die betroffene Person in die Lage versetzen, in voller Kenntnis der Sachlage über die Bereitstellung ihrer Daten zu entscheiden, bevor diese möglicherweise an Dritte weitergegeben werden.
Fazit für die Praxis:
Dieses Urteil hat weitreichende Implikationen für die Datenverarbeitung durch EU-Organe und -Einrichtungen, aber auch als Orientierungshilfe für die Auslegung der DSGVO allgemein. Obwohl Pseudonymisierung ein wichtiges Instrument zur Risikominderung ist, befreit sie den Verantwortlichen nicht von seinen Datenschutzpflichten, solange er die Möglichkeit hat, die Daten wieder einer Person zuzuordnen. Daten bleiben für den Verantwortlichen personenbezogen. Die Pflicht zur Information über potenzielle Empfänger personenbezogener Daten muss zum Zeitpunkt der Datenerhebung erfüllt werden. Es ist unerheblich, ob ein späterer Empfänger (Dritter) die betroffene Person selbst identifizieren kann. Die Perspektive des Verantwortlichen ist maßgeblich.
Das Urteil stärkt das Prinzip der Transparenz in der Datenverarbeitung. Betroffene Personen müssen umfassend darüber informiert werden, wer ihre Daten erhält, damit sie fundierte Entscheidungen über die Bereitstellung ihrer Daten treffen können. Dies fördert das Vertrauen in datenverarbeitende Stellen. Auch wenn der Gerichtshof hier die Informationspflicht des Verantwortlichen gegenüber der betroffenen Person in den Vordergrund stellt, unterstreicht das Urteil die Notwendigkeit für Auftragsverarbeiter (wie Deloitte in diesem Fall), sich ihrer Rolle und der Art der Daten, die sie verarbeiten, bewusst zu sein und entsprechende technische und organisatorische Maßnahmen zu ergreifen. Die Tatsache, dass der SRB die Identifizierungsinformationen nicht an Deloitte weitergegeben hat, schützt den SRB nicht vor der Verletzung seiner ursprünglichen Informationspflicht.
Weitere Infos auch in der Pressemitteilung der Datenschutzaufsicht Hessen
Guidelines 01/2025 on Pseudonymisation
Am 16. Januar 2025 hat der Europäische Datenschutzausschuss Leitlinien zur Pseudonymisierung verabschiedet.
Diese Leitlinien bieten zwei wesentliche rechtliche Klarstellungen:
Darüber hinaus erläutern die Leitlinien, wie Pseudonymisierung Unternehmen und Organisationen bei der Einhaltung ihrer datenschutzrechtlichen Verpflichtungen unterstützen kann.
Stand: September 2025
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
