Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung im Fall C-413/23 eine Klarstellung zur datenschutzrechtlichen Einordnung pseudonymisierter Daten vorgenommen. Die Entscheidung legt seinen Schwerpunkt auf die Frage, unter welchen Voraussetzungen pseudonymisierte Daten weiterhin als personenbezogene Daten gelten und aus welcher Perspektive diese Beurteilung vorzunehmen ist. Die dänische Datenschutzaufsicht Datatilsynet hat vor diesem Hintergrund nach der Veröffentlichung des Urteils zahlreiche Nachfragen erhalten. In einer ergänzenden Stellungnahme hat die dänische Behörde nun auf eingehende Nachfragen reagiert und erläutert, unter welchen Bedingungen pseudonymisierte Daten weiterhin als personenbezogene Daten gelten und welche Folgen sich daraus ergeben.
Ausgangsrechtstreit
Der Entscheidung des EuGH (C-413/23) lag ein Rechtsstreit zwischen dem European Data Protection Supervisor (EDPS) und dem Single Resolution Board (SRB) zugrunde. Das SRB hatte Kommentare von Anteilseignern in einem Bankabwicklungsverfahren pseudonymisiert zur Analyse an die Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte weitergegeben. Der EDPS war der Auffassung, dass es sich trotz Pseudonymisierung weiterhin um personenbezogene Daten handele und die Betroffenen daher zu informieren seien. Der General Court entschied in erster Instanz, dass pseudonymisierte Daten aus Sicht des Empfängers, hier Deloitte, keine personenbezogenen Daten seien. Gegen diese Entscheidung legte der EDPS Revision beim EuGH ein. Im Revisionsverfahren ging es damit insbesondere um die Frage, wie die Personenbezogenheit pseudonymisierter Daten zu beurteilen ist und ob eine theoretische Möglichkeit der Re-Identifizierung für die Anwendung der DSGVO ausreicht.
Urteil des EuGH
Der Europäische Gerichtshof entschied am 4. September 2025, dass die Frage des Personenbezugs von Daten jeweils vom Standpunkt des jeweiligen Akteurs abhängt. Für das SRB, das die Daten als Verantwortlicher weiterhin identifizieren kann, bleiben die Daten personenbezogen und unterliegen weiterhin der Informationspflicht gegenüber den Betroffenen. Für einen Dritten, der keine realistische Möglichkeit zur Re-Identifizierung der Daten hat, gelten die pseudonymisierten Daten unter bestimmten Umständen jedoch nicht als personenbezogene Daten. Der Empfänger (Deloitte) war im Entscheidungsfall nicht in der Lage, die Personen zu identifizieren. Für diesen gelten die Daten folglich nicht automatisch als personenbezogen.
Der EuGH stellt klar, dass die Informationspflicht gegenüber den Betroffenen aus Sicht des Verantwortlichen zum Zeitpunkt der Datenerhebung zu beurteilen ist. Für das SRB als Verantwortlichen bleibt mit der Personenbezogenheit damit auch die Pflicht zur Information der Betroffenen bestehen.
Stellungnahme der dänischen Datenschutzbehörde Datatilsynet
Nach dem Urteil des EuGH stellt die dänische Datenschutzbehörde Datatilsynet klar, dass pseudonymisierte Daten unter bestimmten Umständen weiterhin als personenbezogene Daten zu werten sind. Dies gilt insbesondere dann, wenn die Daten im Auftrag des Verantwortlichen und nach dessen Anweisungen verarbeitet werden, solange dieser über den Schlüssel zur Re-Identifizierung der Daten verfügt. Für Datatilsynet ist bei der Beurteilung des Kriteriums der Personenbezogenheit die Perspektive des Verantwortlichen entscheidend, da dieser die Kontrolle über Zwecke und Mittel der Verarbeitung hat. Der Empfänger und Verarbeiter darf die Daten lediglich im Rahmen der Anweisungen des Verantwortlichen verarbeiten. Daraus folgt, dass pseudonymisierte Daten für den Verantwortlichen auch dann personenbezogen bleiben, wenn der Empfänger oder Datenverarbeiter keine Identifizierung vornehmen kann. Die dänische Behörde verweist außerdem darauf, dass weitere Leitlinien der Europäischen Datenschutzbehörde (EDSA) zur Anonymisierung und Pseudonymisierung erwartet werden.
Fazit
Die dänische Datenschutzbehörde Datatilsynet nimmt die Entscheidung des EuGH in ihrer Stellungnahme auf und erläutert die Folgen für die Behandlung pseudonymisierter Daten. Die Entscheidung verdeutlicht, dass pseudonymisierte Daten nicht automatisch auch anonymisiert sind. Auch die Pseudonymisierung der Daten macht eine Identifizierung der betroffenen Personen nicht unmöglich. Diese Daten bleiben in vielen Fällen personenbezogen, solange die Re-Identifizierung möglich ist. Unternehmen dürfen sich folglich nicht auf eine Pseudonymisierung stützen, um sich von Informationspflichten gegenüber den Betroffenen zu entbinden.
