Datenverarbeitung ist für Unternehmen und Organisationen unverzichtbar. Sobald jedoch ein Personenbezug besteht, müssen die Vorgaben des Datenschutzrechts eingehalten werden. Personenbezogene Daten sind gegeben, wenn Informationen einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Weil diese Abgrenzung in der Praxis nicht immer eindeutig ist, hat der Bayerische Landesbeauftragte für den Datenschutz im April 2026 ein Arbeitspapier zur Identifizierbarkeit natürlicher Personen veröffentlicht.
Personenbezug nach der DSGVO
Nach Art. 4 Nr. 1 der Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dafür reicht es bereits aus, wenn die Identität einer Person durch zusätzliche Informationen oder durch die Verknüpfung verschiedener Daten ermittelt werden kann.
In der juristischen Diskussion wird dabei zwischen einem relativen und einem absoluten Verständnis des Personenbezugs unterschieden. Nach dem relativen Verständnis kommt es vor allem auf das Zusatzwissen des jeweiligen Verantwortlichen an. Nach dem absoluten Verständnis genügt es hingegen, wenn irgendeine Stelle einen Personenbezug herstellen kann.
Erwägungsgrund 26 DSGVO verdeutlicht, dass es bei der Identifizierbarkeit nicht nur auf die Mittel des Verantwortlichen selbst ankommt, sondern auch auf Mittel, die anderen Stellen zur Verfügung stehen können. Entscheidend ist jedoch nicht ein rein theoretisch denkbares „Weltwissen“, sondern ob solche Mittel nach allgemeinem Ermessen wahrscheinlich eingesetzt werden. Dabei gewinnen technische Möglichkeiten zur Re-Identifizierung zunehmend an Bedeutung, sodass Daten, die zunächst als nicht personenbezogen gelten, später anders bewertet werden können.
EuGH: Wann gelten Daten als anonym?
In der Praxis ist die Frage der Identifizierbarkeit vor allem bei pseudonymisierten oder anonymisierten Daten relevant. Ausgangspunkt des Arbeitspapiers des Bayerischen Landesbeauftragten für den Datenschutz (LfD Bayern) war eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom 4. September 2025. Darin befasste sich der EuGH mit der Frage, wann pseudonymisierte Daten bei einem Empfänger noch als personenbezogene Daten gelten.
Der EuGH stellte klar: Pseudonymisierte Daten müssen beim Empfänger nicht zwingend personenbezogene Daten sein, wenn dieser den Personenbezug selbst nicht herstellen kann. Entscheidend ist, ob eine Identifizierung nach allgemeinem Ermessen wahrscheinlich ist. Ist sie gesetzlich verboten oder praktisch nicht durchführbar, etwa wegen unverhältnismäßigem Aufwand an Zeit, Kosten oder Arbeitskraft, kann das Risiko einer Identifizierung als faktisch unbedeutend gelten.
Damit bestätigt der EuGH, dass zusätzliche Identifizierungsinformationen allein nicht automatisch dazu führen, dass pseudonymisierte Daten für jede Person und in jeder Verarbeitungssituation als personenbezogen gelten. Für die Praxis wirft das wichtige Anschlussfragen auf: Müssen bei der Weitergabe pseudonymisierter Daten weiterhin datenschutzrechtliche Vorgaben eingehalten werden, wenn der Empfänger keinen realistischen Personenbezug herstellen kann? Genau an dieser Schnittstelle setzt das Arbeitspapier des LfD Bayern an.
Was folgt aus dem Arbeitspapier des LfD Bayern?
Das Arbeitspapier des LfD Bayern verdeutlicht, dass die Frage des Personenbezugs häufig eine Einzelfallprüfung erfordert. Entscheidend ist der jeweilige Kontext: Welche Stelle verarbeitet die Daten, welches Zusatzwissen steht ihr zur Verfügung und welche technischen oder rechtlichen Möglichkeiten zur Identifizierung bestehen?
Gerade technologische Entwicklungen können dazu führen, dass Daten trotz Pseudonymisierung wieder einer Person zugeordnet werden können. Umgekehrt können dieselben Daten für eine Stelle personenbezogen sein, für eine andere Stelle aber nicht mehr. Eine Pseudonymisierung kann daher in bestimmten Verarbeitungssituationen auch eine anonymisierende Wirkung entfalten, wenn der Empfänger den Personenbezug realistisch nicht herstellen kann.
Fazit
Ob ein Personenbezug besteht und eine Person identifizierbar ist, bleibt häufig eine Frage des Einzelfalls. Ein grundlegendes Verständnis von Pseudonymisierung, Anonymisierung und Reidentifizierung ist daher essenziell.
Für öffentliche Stellen ist es besonders wichtig, die aktuelle Rechtsprechung fortlaufend zu verfolgen und in Zweifelsfällen vorsichtig vorzugehen. Bestehen Unsicherheiten, sollte eher von einem Personenbezug ausgegangen werden.
Das gilt ebenso für Unternehmen, die eine zulässige Datenverarbeitung sicherstellen und Risiken vermeiden müssen. Auch Pseudonymisierung und Anonymisierung sind datenschutzrechtlich relevante Verarbeitungsvorgänge; pseudonymisierte Daten bleiben in der Regel weiterhin DSGVO-relevant. Unternehmen sollten diese Prozesse daher gemeinsam mit ihrem Datenschutzbeauftragten prüfen und datenschutzkonform gestalten.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.










