EuGH-Urteil C-413/23 P: Was Unternehmen über Pseudonymisierung und Personenbezug wissen müssen Ausgangspunkt

Im September 2025 entschied der EuGH in der Rechtssache C-413/23 P über den Umgang mit pseudonymisierten Daten. Der EU-Abwicklungsausschuss (Single Resolution Board, SRB) hatte im Rahmen der Abwicklung der Banco Popular Español über 1.100 Stellungnahmen von Betroffenen erhoben und pseudonymisiert an Deloitte weitergegeben. Ohne direkte Namensnennung und ohne internem Schlüssel zur Re-Identifizierung.

Der Europäische Datenschutzbeauftragte (EDSB) rügte, dass der SRB die Betroffenen nicht über diese Weitergabe informiert hatte. Das Gericht der EU (EuG) gab dem SRB zunächst Recht. Doch der EuGH hob dieses Urteil auf, mit weitreichenden Folgen.

 

Die wichtigsten Klarstellungen des EuGH

  • Relativer Personenbezug: Ob Daten personenbezogen sind, hängt vom jeweiligen Akteur ab. Für den SRB, der den Schlüssel besaß, lagen personenbezogene Daten vor, auch wenn Deloitte sie nicht identifizieren konnte.
  • Pseudonymisierung ≠ Anonymisierung: Pseudonymisierte Daten gelten für den ursprünglichen Verantwortlichen weiterhin als personenbezogen. Echte Anonymisierung liegt erst dann vor, wenn keine Partei eine Re-Identifizierung vornehmen kann.
  • Meinungsäußerungen sind personenbezogene Daten: Stellungnahmen übermitteln persönliche Einschätzungen und gelten auch dann als personenbezogen, wenn der Name entfernt wurde.
  • Informationspflicht aus Sicht des Verantwortlichen: Wer Daten erhebt, muss Betroffene über alle Empfänger informieren, unabhängig davon, ob diese selbst einen Personenbezug erkennen können.

 

Was bedeutet das für Unternehmen?

  1. Rollen und Verträge klären:

Pseudonymisierung schützt, ersetzt aber keine Rechtsgrundlagen. Wenn Daten an externe Dienstleister übermittelt werden, braucht es klare Regelungen – idealerweise per Auftragsverarbeitungsvertrag (AVV).

  1. Dokumentation anpassen:

Pseudonymisierte Verarbeitungen gehören ins Verzeichnis von Verarbeitungstätigkeiten. AVVs und technische-organisatorische Maßnahmen (TOM) wie die Pseudonymisierung müssen dokumentiert und regelmäßig überprüft werden.

 

  1. Informationspflichten beachten:

Auch bei pseudonymisierten Daten müssen Betroffene über Empfänger informiert werden – und zwar bereits zum Zeitpunkt der Erhebung. Pseudonymisierung entbindet nicht von Transparenz.

 

Praxistipp

Wer pseudonymisierte Daten verarbeitet oder weitergibt, sollte sich bewusst machen: Der Personenbezug ist relativ und für Verantwortliche bleibt die DSGVO voll wirksam.

Wir von BSD unterstützen Sie dabei, ihre Datenflüsse zu bewerten, Rollen sauber zu definieren und Informationspflichten rechtssicher umzusetzen. Damit Datenschutz kein Risiko, sondern ein Wettbewerbsvorteil wird.

An den Anfang scrollen
×
Externe Inhalte & Cookies
Wir verwenden Cookies und externe Inhalte. Wenn Sie diese annehmen wollen, klicken Sie einfach auf "Alles akzeptieren". Über "Einstellungen" können Sie auch auswählen, welche Cookie- und Inhaltstypen Sie annehmen wollen. Lesen Sie unsere Datenschutz-Richtlinien
Einstellungen Alles ablehnen Alles akzeptieren
Externe Inhalte & Cookies
Wählen Sie aus, welche Cookies und Inhaltstypen akzeptiert werden sollen. Ihre Auswahl wird für 7 Tage gespeichert. Lesen Sie unsere Datenschutz-Richtlinien
Speichern Alles ablehnen Alles akzeptieren