EuGH ebnet Weg für Analyse und Auswertung pseudonymisierter Daten
> September 2025
Ist durch technische und organisatorische Maßnahmen hinreichend sichergestellt, dass ein Datenempfänger die betroffenen Personen nicht identifizieren kann, stehen ihm hinsichtlich der Wertschöpfung aus diesen Daten keine datenschutzrechtlichen Hindernisse im Weg.... Das gilt auch dann, wenn der Datenexporteur weiterhin verantwortlich ist und die Daten Einzelpersonen zuordnen kann. So muss man den Gerichtshof der Europäischen Union (EuGH) verstehen, der mit seinem aktuellen Urteil die Maßstäbe für die Annahme eines Personenbezugs von Daten zu lockern scheint.
Das Urteil des EuGH vom 4. September 2025 (C‑413/23 P) betrifft die durch den Einheitlichen Abwicklungsausschuss der Europäischen Union (SRB) beschlossene Abwicklung der Banco Popular Español SA. Der SRB führte über seine Website ein Anhörungsverfahren hinsichtlich der Frage durch, ob Anteilseignern und Gläubigern der Bank eine Entschädigung zu gewähren ist.
Teilnehmer mussten sich unter Vorlage eines Ausweisdokuments und eines Belegs über Eigentum an einem Kapitalinstrument der Banco Popular Español SA registrieren. Erfolgreich registrierte Teilnehmer wurden gebeten, eine Stellungnahme abzugeben, die jeweils mit einem nach dem Zufallsprinzip generierten, 33‑stelligen alphanumerischen Code versehen wurde. Der SRB beauftragte sodann die Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte (Deloitte), die abgegebenen Stellungnahmen auszuwerten. Informationen, anhand derer die Identität einzelner Teilnehmer über den zugewiesenen Code hätte ermittelt werden können (insb. die bei Registrierung der Teilnehmer übermittelten Dokumente), wurden ihr nicht mitgeteilt.
Mehrere Betroffene beschwerten sich daraufhin, dass die auf der Website vom SRB bereitgehaltene Datenschutzerklärung Deloitte nicht als möglichen Empfänger personenbezogener Daten aufführte, was u.a. die Frage aufwarf, ob die übermittelten Stellungnahmen für Deloitte personenbezogene Daten darstellten.
Der EuGH klärte zunächst, dass die Legaldefinition des europäischen Datenschutzrechts für „personenbezogene Daten“ den Begriff der Pseudonymisierung nicht kennt. Entscheidend sei allein, ob die natürlichen Personen, auf die sich die mit der äußernden Person eng verknüpften Stellungnahmen beziehen, identifiziert oder identifizierbar sind. Insoweit stelle die Pseudonymisierung aber eine technische und organisatorische Maßnahme dar, um zu verhindern, dass die betroffene Person allein anhand der pseudonymisierten Daten identifiziert werden kann.
Da der SRB vorliegend die bei Registrierung der Teilnehmer übermittelten Dokumente behielt, seien die Stellungnahmen für ihn auch trotz der Pseudonymisierung personenbezogen geblieben. Er hätte somit in der Tat über die Übermittlung an Deloitte informieren müssen. Für Deloitte seien die von dem SRB übermittelten Stellungnahmen allerdings nicht personenbezogen gewesen, da Deloitte mangels entsprechender Zusatzinformationen nicht in der Lage gewesen sei, die einzelnen Teilnehmer zu identifizieren. Diese Schlussfolgerung entspreche auch der bisherigen Rechtsprechung des EuGH, insbesondere dem Breyer-Urteil vom 19. Oktober 2016 (C‑582/14), in dem der EuGH für IP-Adressen entschied, dass für die Frage, ob sich diese relativ für eine Stelle als personenbezogen erweisen, allein maßgeblich sei, ob sie unter einem vertretbaren Aufwand über rechtliche Mittel verfügt, die es ihr erlauben, die betreffende Person anhand von Zusatzinformationen zu bestimmen (siehe dort Rn. 44 ff.).
Während dort ein Personenbezug bereits deshalb bejaht wurde, da für den betreffenden Diensteanbieter die Möglichkeit bestand, sich im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit jene die fraglichen Informationen vom Internetzugangsanbieter erlangt und die Strafverfolgung einleitet (siehe dort Rn. 47), bleibt der EuGH im hiesigen Urteil eine überzeugende Erklärung schuldig, weshalb sich die gegenständlichen Daten für den Datenempfänger Deloitte nicht als personenbezogen erweisen sollten. Insbesondere geht der EuGH nicht weiter darauf ein, dass Deloitte die zur Identifizierung erforderlichen Zusatzinformationen faktisch unmittelbar von ihrem Vertragspartner hätte erhalten können.
Die Rigorosität, mit welcher der EuGH bislang einen Personenbezug von Daten anerkannt hat, scheint abgenommen zu haben. Ob dies in der Sache überzeugt, sei dahingestellt. In der Praxis wird sich unter Verweis auf das gegenständliche Urteil aber die Wertschöpfung aus personenbezogenen Daten wesentlich leichter darstellen lassen. Bei hinreichenden technischen und organisatorischen Maßnahmen und entsprechenden vertraglichen Zusicherungen wird sich gut begründen lassen, dass ein beauftragter Dienstleister die betroffenen Personen nicht identifizieren kann und daher die betreffenden Daten ohne Weiteres auswerten darf.
Das Urteil eröffnet umfangreiche Möglichkeiten, personenbezogene Daten nach einer Pseudonymisierung zum Zwecke der Evaluation oder sonstigen Auswertung an Dritte zu übermitteln. Insbesondere für den Bereich künstlicher Intelligenz, wo oftmals nur die statistische Werteverteilung in einem Datensatz und gerade nicht deren Bezug zu einer Einzelperson für das Training des Systems relevant sind, dürfte das Urteil einen erheblichen Mehrwert bringen.
