Pseudonymisierte Daten bleiben personenbezogen – Informationspflicht bei Weitergabe

Pseudonymisierung schützt – aber nicht immer ausreichend. Der Europäische Gerichtshof (EuGH) hat am 4. September 2025 (C‑413/23 P) klargestellt: Ob Daten personenbezogen sind, hängt vom konkreten Kontext ab. Für den Verantwortlichen bleiben pseudonymisierte Informationen in vielen Konstellationen personenbezogen, insbesondere wenn er die Re‑Identifizierung faktisch ermöglichen kann. Zugleich beginnt die Informationspflicht über Empfänger bereits zum Zeitpunkt der Erhebung und aus Sicht des Verantwortlichen – unabhängig davon, ob ein späterer Empfänger die Daten nur pseudonymisiert erhält.

Der Sachverhalt – was war passiert?

Im Zuge der Abwicklung der spanischen Banco Popular Español leitete der Einheitliche Abwicklungsausschuss (Single Resolution Board – SRB) ein zweistufiges Beteiligungsverfahren ein:

1. Registrierungsphase: Anteilseigner und Gläubiger, die sich äußern wollten, mussten ihre Identität nachweisen und belegen, dass sie am 6. Juni 2017 entsprechende Kapitalinstrumente hielten. Diese Identifizierungsdaten wurden beim SRB gespeichert.
2. Konsultationsphase: Die verifizierten Personen konnten schriftlich zur vorläufigen Entscheidung des SRB sowie zur sogenannten „Bewertung 3“ Stellung nehmen. Letztere prüfte, ob betroffene Anteilseigner oder Gläubiger einen Ausgleichsanspruch haben könnten.

Für die interne Bearbeitung trennte der SRB organisatorisch: Beschäftigte, die die Stellungnahmen inhaltlich auswerteten, hatten keinen Zugriff auf die Identifizierungsdaten aus der Registrierungsphase. Für die externe fachliche Prüfung beauftragte der SRB das Beratungsunternehmen Deloitte. Am 17. Juni 2019 wurden 1 104 konsolidierte und thematisch zugeordnete Stellungnahmen, die die Bewertung 3 betrafen, über einen gesicherten Server an eine kleine, autorisierte Gruppe bei Deloitte übermittelt.

Wichtig: Jede Stellungnahme trug einen alphanumerischen Code, der – ausschließlich beim SRB – die Verknüpfung mit den Identifizierungsdaten aus der Registrierungsphase ermöglichte. Deloitte hatte keinen Zugang zu dieser Zuordnungstabelle und konnte die Personen daher nicht ohne weiteres identifizieren.

Mehrere Betroffene legten beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerde ein. Kernvorwurf: Der SRB habe in seiner Datenschutzerklärung nicht darüber informiert, dass die im Rahmen des Fragebogens erhobenen Daten an Dritte, insbesondere Deloitte, weitergegeben würden. Der EDSB sah darin einen Verstoß gegen die Informationspflicht und beurteilte die an Deloitte übermittelten, mit Codes versehenen Stellungnahmen als pseudonymisierte, aber personenbezogene Daten – denn der SRB selbst konnte die Re‑Identifizierung herstellen.

Der SRB klagte vor dem Gericht der Europäischen Union (EuG) gegen die EDSB‑Entscheidung. Das EuG folgte im Kern dem SRB und erklärte die Entscheidung des EDSB für nichtig. Nach Auffassung des EuG hätte der EDSB u. a. genauer prüfen müssen, ob jede einzelne übermittelte Stellungnahme nach Inhalt, Zweck oder Auswirkung tatsächlich eine Information „über“ eine Person darstellt und ob – aus Sicht von Deloitte als Empfänger – eine Identifizierbarkeit überhaupt bestand.

Hiergegen legte der EDSB Rechtsmittel zum EuGH ein – mit Erfolg.

Die Entscheidung des EuGH – die zentralen Weichenstellungen

1) Personenbezug von Stellungnahmen („relate to“)

Der EuGH stellt voran: Informationen objektiver oder subjektiver Natur, also auch Meinungen, Bewertungen und Stellungnahmen, können personenbezogene Daten sein. Entscheidend ist, ob die Information aufgrund Inhalts, Zwecks oder Auswirkung mit einer natürlichen Person verknüpft ist. Im Abwicklungsverfahren bezogen sich die eingereichten Stellungnahmen typischerweise auf Rechte und wirtschaftliche Interessen der jeweiligen Verfasser. Damit lag grundsätzlich ein Personenbezug vor.

2) Pseudonymisierung: Relativer Personenbezug – aber Verantwortung bleibt

Pseudonymisierte Daten sind nicht automatisch in jedem Fall und für jede Stelle personenbezogen. Für einen Empfänger, der keine realistische Möglichkeit der Re‑Identifizierung hat, können sie faktisch anonym sein. Für den Verantwortlichen, der den Schlüssel (hier: die Code‑Zuordnung) besitzt oder beherrscht, handelt es sich hingegen weiterhin um personenbezogene Daten. Daraus folgt: Ob Daten „personenbezogen“ sind, ist relativ – es kommt auf die tatsächlichen Zugriffsmöglichkeiten und den Verarbeitungskontext an.

3) Maßstab und Zeitpunkt der Informationspflicht

Die Informationspflicht über Empfänger (bei EU‑Institutionen: Art. 15 Abs. 1 lit. d der Verordnung 2018/1725; im Unternehmensbereich inhaltlich vergleichbar mit Art. 13 DSGVO) ist zum Zeitpunkt der Erhebung zu erfüllen – und zwar aus der Sicht des Verantwortlichen.

Das bedeutet: Bereits wenn Sie die Daten erheben, müssen Sie alle potenziellen Empfänger benennen, an die Sie personenbezogene Daten möglicherweise übermitteln. Diese Pflicht hängt nicht davon ab, ob der Empfänger die Daten später nur pseudonymisiert erhält oder die Personen nicht identifizieren kann. Würde man die Empfängerinformation vom Kenntnisstand des Empfängers abhängig machen, verlagerte sich die Prüfung in die Zukunft – gerade das soll die frühe Unterrichtung der betroffenen Person vermeiden.

4) Verfahrensrechtliche Folge im konkreten Fall

Der EuGH hob das Urteil des EuG auf. Den ersten Klagegrund des SRB (es seien gar keine personenbezogenen Daten übermittelt worden) wies der EuGH endgültig zurück: Angesichts der Re‑Identifizierbarkeit beim SRB und des Inhalts der Stellungnahmen durfte der EDSB von personenbezogenen Daten ausgehen. Hinsichtlich eines weiteren Klagegrundes verwies der EuGH die Sache zur erneuten Prüfung an das EuG zurück. Die Kostenentscheidung blieb vorbehalten.

Was heißt das für Ihre Praxis?

Die Entscheidung ist ein deutlicher Fingerzeig: Pseudonymisierung ist wichtig, aber kein Freifahrtschein. Für die Compliance‑Praxis lassen sich folgende Leitplanken ableiten:

1. Empfänger benennen – früh und vollständig
   Nennen Sie in der Datenschutzerklärung alle Kategorien von Empfängern (und, wenn möglich, konkrete Empfänger), an die Sie personenbezogene Daten weitergeben könnten – auch dann, wenn die Weitergabe pseudonymisiert erfolgt.
2. Kontextprüfung statt Etikett
   Prüfen Sie stets konkret: Wer verfügt über welche Hilfsinformationen (Schlüssel, Mapping‑Tabellen, Logfiles, Metadaten)? Wie realistisch ist eine Re‑Identifizierung? Welche Zwecke verfolgen Sie und der Empfänger?
3. Trennungskonzept und Schlüsselverwaltung
   Technisch‑organisatorische Maßnahmen (TOM) sollten eine strikte Trennung zwischen Identitätsdaten und Inhaltsdaten gewährleisten. Zugriffskontrollen, Verschlüsselung, getrennte Systeme und eine geregelte Schlüsselverwaltung sind Pflicht.
4. Vertragliche Absicherung mit Dritten
   Vereinbaren Sie Re‑Identifikationsverbote, Zweckbindung, Löschfristen und Subunternehmer‑Kontrolle. Regeln Sie Zugangsrechte granular und dokumentieren Sie Prüf‑ und Abnahmeprozesse.
5. Informationsarchitektur & Einwilligung
   Wenn die Verarbeitung auf Einwilligung basiert, ist deren Wirksamkeit von der Vollständigkeit der Informationen abhängig. Unvollständige Empfängerangaben gefährden die Rechtmäßigkeit.
6. Datenfluss‑Mapping & DPIA
   Erfassen Sie Datenflüsse End‑to‑End – idealerweise in einem Verzeichnis und mit Datenflussdiagrammen. Bei komplexen Übermittlungen (z. B. an externe Gutachter, Forschungspartner, Cloud‑Provider) prüfen Sie eine Datenschutz‑Folgenabschätzung (DSFA).
7. Dokumentation der Abwägung
   Halten Sie die Kontextanalyse schriftlich fest: Warum gilt die Information bei Ihnen als personenbezogen? Welche Maßnahmen minimieren die Identifizierbarkeit? Welche Rest‑Risiken bestehen?
8. Minimalprinzip wahren
   Übermitteln Sie an Dritte nur das erforderliche Minimum. Prüfen Sie, ob Aggregation oder Anonymisierung möglich ist. Wo nicht, sorgen Sie für enge Zwecke und kurze Speicherfristen.

Typische Szenarien – so übertragen Sie die Leitlinien

• Externe Gutachten & Audits: Pseudonymisierte Tickets, Beschwerden, Stellungnahmen – Empfänger müssen vorab in der Information genannt werden; Mappings verbleiben intern, Zugriffe protokollieren.
• Forschung & Kooperationen: Pseudonymisierte Patientendaten oder Kundendaten – klären Sie, ob der Partner praktisch re‑identifizieren kann. Falls nein, bleiben die Daten für Sie personenbezogen; Informationspflicht bleibt.
• KI‑Training & Analytics: Pseudonymisierte Texte, Bilder, Logdaten – stellen Sie Transparenz über Empfänger (Dienstleister/Plattformen) sicher; dokumentieren Sie die Unwahrscheinlichkeit einer Re‑Identifizierung beim Empfänger.
• Cloud‑Auslagerung: Pseudonymisierte Protokolle – auch hier Empfänger proaktiv angeben; Schlüsselverwaltung strikt trennen; Need‑to‑know‑Zugriffe.

FAQ für Verantwortliche

Müssen wir jeden einzelnen Empfänger namentlich nennen?
Sie sollten zumindest Empfängerkategorien klar benennen (z. B. „externe Gutachter“, „IT‑Dienstleister“, „Zahlungsdienstleister“). Bei vorhersehbaren konkreten Empfängern ist die Einzelbenennung empfehlenswert.

Wenn der Empfänger nur pseudonymisierte Daten erhält – entfällt dann die Information?
Nein. Die Informationspflicht knüpft an Ihre Sicht als Verantwortlicher bei der Erhebung an. Der Empfänger ist trotz Pseudonymisierung grundsätzlich zu nennen.

Sind pseudonymisierte Daten für Empfänger immer anonym?
Nicht zwingend. Maßgeblich ist, ob der Empfänger realistisch re‑identifizieren kann. Fehlt ihm jeder Zugriff auf Hilfsinformationen und ist eine Re‑Identifizierung praktisch ausgeschlossen, können die Daten für ihn faktisch anonym sein – für Sie als Verantwortlichen regelmäßig nicht.

Welche Rolle spielt die Einwilligung?
Sie ist nur wirksam, wenn die betroffene Person vorab vollständig informiert wurde – einschließlich der potenziellen Empfänger. Andernfalls drohen Rechtswidrigkeit und Beschwerden.

Brauchen wir immer eine DSFA?
Nicht immer. Bei umfangreichen, sensiblen oder komplexen Übermittlungen – insbesondere an externe Stellen – ist eine DSFA regelmäßig sinnvoll bzw. erforderlich.

Unsere Empfehlung

Überprüfen Sie kurzfristig:

• Datenschutzhinweise auf Empfängerangaben (auch bei pseudonymisierten Übermittlungen)
• Datenfluss‑Mapping und Schlüsselverwaltung
• Verträge mit externen Empfängern (Re‑Identifikationsverbot, Zweckbindung, TOM)
• Dokumentation der Kontextanalyse (personenbezogen – ja/nein – für wen?)

Gern unterstützen wir Sie bei der rechtssicheren Gestaltung Ihrer Prozesse, bei der Überarbeitung Ihrer Datenschutzhinweise und der Prüfung Ihrer Verträge. Sprechen Sie uns an.