.
Gericht: Europäischer Gerichtshof (Erste Kammer)
Datum: 4. September 2025
Geschäftszahl: C-413/23 P
Rechtssatz: Pseudonymisierte Daten bleiben personenbezogene Daten, wenn der Verantwortliche die Identifizierung mit vertretbaren technischen oder rechtlichen Mitteln ermöglichen kann; bei der Informationspflicht nach Art. 15 Abs. 1 lit. d VO 2018/1725 ist auf die Perspektive des Verantwortlichen abzustellen.
Anm: das klingt wie unser (alter) § 4 (1) DSG 2000:
Sachverhalt
Nach der Abwicklung der Banco Popular im Jahr 2017 führte das Single Resolution Board (SRB) ein Verfahren zur Entschädigung von Aktionären und Gläubigern durch. Betroffene mussten sich registrieren und konnten Kommentare abgeben, die in einer Konsultationsphase an die Wirtschaftsprüfungsgesellschaft Deloitte weitergeleitet wurden. Die Kommentare wurden dabei mit einem alphanumerischen Code versehen, sodass Deloitte die Identität der Betroffenen nicht direkt feststellen konnte.
Mehrere Betroffene wandten sich an den Europäischen Datenschutzbeauftragten (EDPS). Sie rügten, dass Deloitte als Empfänger nicht in der Datenschutzerklärung genannt worden sei und dass ihre Daten unzulässig weitergegeben worden seien. Der EDPS sah darin einen Verstoß gegen die Informationspflichten nach Art. 15 Abs. 1 lit. d VO 2018/1725 und erteilte dem SRB eine Rüge.
Das Gericht der EU (EuG) hob diese Entscheidung auf und vertrat die Auffassung, die an Deloitte übermittelten Kommentare seien keine personenbezogenen Daten im Sinne von Art. 3 Abs. 1 VO 2018/1725.
Der EDPS legte daraufhin Rechtsmittel ein.
Rechtliche Begründung des EuGH
Der EuGH stellte klar:
- Weite Auslegung des Begriffs „personenbezogene Daten“: Auch Meinungen und Bewertungen sind personenbezogene Daten, sofern sie sich auf eine Person beziehen. Kommentare von Gläubigern und Aktionären sind Ausdruck persönlicher Ansichten und daher mit ihrer Person verknüpft.
- Pseudonymisierung: Pseudonymisierte Daten sind nicht automatisch anonym. Entscheidend ist, ob der Verantwortliche oder andere Akteure mit „vernünftigen Mitteln“ eine Re-Identifizierung vornehmen können. Da das SRB den Schlüssel besaß, konnten die Daten weiterhin als personenbezogen gelten.
- Perspektive des Verantwortlichen maßgeblich: Für die Informationspflicht nach Art. 15 Abs. 1 lit. d DSGVO (bzw. Art. 15 VO 2018/1725 für EU-Organe) ist nicht entscheidend, ob ein Empfänger (hier Deloitte) die Personen identifizieren kann. Maßgeblich ist, dass der Verantwortliche (hier SRB) die Identifizierung ermöglichen könnte.
- Transparenzpflicht: Schon zum Zeitpunkt der Datenerhebung muss der Verantwortliche die Betroffenen darüber informieren, wer Empfänger ihrer Daten sein kann. Das Unterlassen dieser Information verletzt die Grundsätze der fairen und transparenten Verarbeitung.
Der EuGH hob das Urteil des EuG auf und verwies die Rechtssache zur weiteren Prüfung zurück.
Fazit und Schlussfolgerung für Verantwortliche
Das Urteil verdeutlicht:
- Pseudonymisierung schützt nicht vor Anwendung der DSGVO. Daten bleiben personenbezogen, solange eine Re-Identifizierung durch den Verantwortlichen möglich ist.
- Ein Verantwortlicher, der pseudonymisierte Daten verarbeitet, ohne mit vertretbaren technischen oder rechtlichen Mitteln selbst eine Personenbezug herstellen zu können, verarbeitet keine personenbezogenen Daten.
Für Unternehmen und Behörden heißt das: Datenschutzhinweise müssen vollständig und frühzeitig erfolgen.
Das Verschweigen von Empfängern – selbst wenn Daten pseudonymisiert übermittelt werden – stellt einen Verstoß gegen die Transparenzpflichten dar