Abgrenzung der Pseudonymisierung von der Anonymisierung nach der DS-GVO
Im Falle der Pseudonymisierung gem. Art. 4 Nr. 5 DS-GVO werden personenbezogene Daten insoweit verändert, als dass eine Zuordnung zu einer natürlichen Person ohne Hinzuziehung weiterer Informationen nicht mehr möglich ist. Hierzu werden die direkten Identifikationsdaten, z.B. der Name, durch willkürlich gewählte Kennzeichen, wie einem Code, ersetzt. Der Betroffene bleibt aber identifizierbar, wenn ihm sein Pseudonym zugeordnet werden kann.
Die nicht in der DS-GVO definierte Anonymisierung beschreibt das vollständige Entfallen des Personenbezuges. Es werden Daten beim Anonymisieren so verändert, dass sie nur noch unter einem unverhältnismäßigen Aufwand von Kosten, Zeit, Technologien, etc. einer bestimmten Person zugeordnet werden können. Somit wird der Wahrscheinlichkeit nach niemand die De-Anonymisierung vornehmen können.
Hintergrund des Falls
Im Zentrum des Verfahrens steht die datenschutzrechtliche Bewertung eines Datenverarbeitungsvorgangs. Ausgeführt wurde dieser durch den Einheitlichen Abwicklungssauschuss (SRB). Dabei befasst sich die unionsrechtlich errichtete Behörde mit der Aufgabe, systemrelevante oder grenzüberschreitend tätige Banken in der EU geordnet abzuwickeln. Im Rahmen eines Abwicklungsverfahrens betreffend die Banco Popular Español initiierte der SRB ein zweistufiges Anhörungsverfahren, um Stellungnahmen von betroffenen Anteilseignern und Gläubigern im Hinblick auf etwaige Entschädigungsansprüche zu erheben.
Die Pseudonymisierung in der Praxis
Die im Rahmen dieses Verfahrens erhobenen personenbezogenen Daten wurden zunächst intern durch den SRB pseudonymisiert: Jeder für die Stellungnahmen benötigte Fragebogen wurde mit einer zufällig generierten, 33-stelligen alphanumerischen Code-ID versehen. Während die Zuordnungsdaten einem kleinen Kreis berechtigter SRB-Mitarbeitender zugänglich blieben, erhielten die mit der Bewertung beauftragten Mitarbeiter ausschließlich die pseudonymisierten Stellungnahmen, jedoch ohne Zugang zu Klardaten. Für die anschließende ökonomische Bewertung der Stellungnahmen beauftragte der SRB die Wirtschaftsprüfungsgesellschaft Deloitte. Deloitte sollte auf Grundlage der pseudonymisierten Stellungnahmen eine unabhängige wirtschaftliche Bewertung der Auswirkungen der Abwicklung auf die Anteilseigner vornehmen und so eine Entscheidungsgrundlage für den SRB schaffen.
Anteilseigner legten gegen SRB Beschwerde beim Europäischen Datenschutzbeauftragten ein
Der Europäische Datenschutzbeauftragte (EDSB) bewertete die Weitergabe der Stellungnahmen an Deloitte als Verstoß gegen die DS-GVO, weil aus seiner Sicht trotz Pseudonymisierung ein Personenbezug der Daten fortbestand und die damit verbundenen datenschutzrechtlichen Pflichten nicht eingehalten wurden.
EDSB geht von der Sicht des ursprünglich Verantwortlichen aus
Da ursprünglich der SRB über die Verarbeitung von personenbezogenen Daten entscheidet, müsste auch aus dessen Sicht beurteilt werden. SRB könne weiterhin die erhobenen Klardaten und Code-IDs den einzelnen Anteilseignern und Gläubigern zuordnen. Eine Re-Identifizierung sei seitens SRB jederzeit möglich. Dadurch führe die Pseudonymisierung der Daten nicht automatisch zu einer Anonymität der weitergebenen Informationen beim Empfänger Deloitte. Nach Art. 4 Nr. 1 DS-GVO lag somit weiterhin ein Personenbezug vor, sodass der EDSB den SRB wegen fehlender Information der Gläubiger über die Weitergabe ihrer Unterlagen an Deloitte verwarnte.
SRB stellt auf die tatsächliche Zugriffsmöglichkeit des Empfängers ab
Der SRB argumentierte dagegen, dass für Deloitte die übermittelten Stellungnahmen faktisch anonyme Informationen seien, da weder rechtlich noch praktisch ein Abgleich mit den Registrierungsdaten möglich gewesen sei. Nach dieser Sichtweise greife der Schutzbereich der DS-GVO bei der Verarbeitung durch Deloitte nicht. Daraufhin erhob der SRB beim Gericht der Europäischen Union Nichtigkeitsklage gegen die Entscheidung des EDSB.
Rechtliche Überlegungen des EuG
Auch das Gericht der Europäischen Union (EuG) schloss sich zunächst der Argumentationslinie des SRB an und stellte in seinem Urteil vom 26. April 2023 (T-557/20) fest, dass in dem Fall pseudonymisierte Daten beim Empfänger keinen Personenbezug aufweisen. Dies liegt nach EuG vor, weil:
- eine Identifizierung durch den Empfänger nach allgemeinem Ermessen nicht wahrscheinlich ist: Insbesondere die realistischen verfügbaren Mittel, wie Zeit, Kosten und technische Möglichkeiten sind zu berücksichtigen.
- Der EDSB vor der Entscheidung nicht geprüft hat, ob Deloitte rechtlich oder tatsächlich auf zusätzliche Informationen zugreifen konnte: Die Re-Identifizierung der Verfasser seitens Deloitte konnte nicht einfach angenommen werden.
- Der EDSB nicht hinreichend geprüft hat, ob Inhalt, Zweck und Auswirkungen der übermittelten Informationen tatsächlich eine Verbindung zu einer identifizierbaren Person herstellen: Zwar betonte das EuG unter Verweis auf die Rechtssache Nowak (EuGH, C-434/16), dass der Begriff „alle Informationen“ in Art. 4 Nr. 1 DS-GVO weit auszulegen sei und auch Daten umfasst, die allein aufgrund ihres Zwecks oder ihrer Auswirkungen einer Person zugeordnet werden können, wie auch etwa persönliche Meinungen. Dieser Hinweis ersetzte jedoch nicht die konkrete Prüfung eines tatsächlich Personenbezugs.
EuGH schafft Klarheit: Personenbezug pseudonymisierter Daten ist relativ
Mit dem Urteil vom 4. September 2025 (C-413/23 P) hat der EuGH die Entscheidung des EuG aufgehoben und damit die datenschutzrechtliche Kernfrage neu justiert. Dazu hat der EuGH folgende Maßstäbe festgestellt:
- Anonymität oder Personenbeziehbarkeit bestimmt sich aus der Sicht des jeweils Verantwortlichen: Für die Einordnung eines Datensatzes als personenbezogen ist es maßgeblich, dass es auf die Perspektive desjenigen ankommt, der die Daten erhebt und über die Zuordnungsinformationen verfügt. Der Verantwortliche muss daher schon bei der Erhebung der Daten die Betroffenen über potenzielle Empfänger informieren. Auch wenn die Daten für die Empfänger später anonym sein könnten.
- Pseudonyme Daten können auch anonym sein: Pseudonymisierte Daten können für einen Dritten, der über keinerlei rechtliche oder faktische Mittel zur Re-Identifizierung verfügt, als anonym zu qualifizieren sein. Dass der ursprünglich Verantwortliche über Zuordnungsinformationen verfügt, führt also nicht automatisch dazu, dass die Daten für jeden denkbaren Empfänger personenbezogen bleiben.
- Wenn anonyme Daten durch Weitergabe wieder personenbeziehbar werden, ist die DS-GVO auf diese anzuwenden: Gelangen die Daten später an andere Verantwortliche, die selbst über ausreichende Mittel oder eigenes Wissen verfügen, um die Personen wiederzuerkennen, fallen sie für diese Stelle erneut in den Anwendungsbereich der DS-GVO.
- Unstrittig ist, dass Stellungnahmen personenbezogene Daten sind: Es bedarf keiner Prüfung, ob die übermittelnden Stellungnahmen personenbezogene Daten gem. Art.4 Abs.1 DS-GVO sind. Der EuGH stellt klar, dass Stellungnahmen persönliche Meinungen oder Einschätzungen ihrer Verfasser enthalten und zwangsläufig eng mit dieser Person verknüpft sind.
Handlungsempfehlungen für Unternehmen
Gerade für Anbieter digitaler Dienstleistungen und datengetriebener Geschäftsmodelle empfiehlt sich eine frühzeitige Überprüfung der eigenen Datenflüsse und Partnerbeziehungen. Folgende Schritte sollten vorbereitet werden:
Datenflüsse analysieren
- Prüfen, wo pseudonymisierte Daten an externe Dienstleister, Gutachter oder Partner weitergegeben werden.
- Empfänger identifizieren, die faktisch oder rechtlich keine Re-Identifizierungsmöglichkeit haben.
Informationspflichten einplanen
- Betroffene bereits bei der Erhebung über die Weitergabe und potenzielle Empfänger informieren. Auch, wenn die Daten dort faktisch anonym sind.
- Transparenzhinweise in Datenschutzerklärungen entsprechend anpassen.
Vertragliche Absicherung umsetzen
- Mit Empfängern verbindlich festlegen: keine Re-Identifizierung, kein Zugriff auf Zuordnungsinformationen, keine Zusammenführung mit anderen Datensätzen.
- Ggf. Datenschutz- oder Geheimhaltungsklauseln ergänzen.
Technische und organisatorische Maßnahmen stärken
- Starke Pseudonymisierung (z. B. zufällig generierte, ausreichend lange Schlüssel).
- Key-Management: Zugriffsrechte und Aufbewahrungsfristen für Zuordnungslisten klar regeln, z. B. über ein rollenbasiertes Berechtigungskonzept.
Fazit
Mit seiner Entscheidung verabschiedet sich der EuGH von dem bislang häufig vertretenen Ansatz einer „absoluten“ Anonymität. Nach dieser strengen Auffassung galten Daten nur dann als anonym, wenn es völlig ausgeschlossen war, dass irgendjemand – auch nicht der ursprüngliche Verantwortliche oder eine andere Stelle – selbst theoretisch eine Person identifizieren könnte. Der EuGH folgt stattdessen einem relativen Ansatz: Personenbezug hängt von den Möglichkeiten des jeweiligen Akteurs ab – für den Verantwortlichen bestehen sie fort, für Dritte ohne Zusatzwissen gelten die Daten als anonym.
