Der Europäische Gerichtshof (EuGH) hat klargestellt, dass pseudonymisierte Daten weiterhin als personenbezogen gelten, wenn eine Identifizierung mit realistischem Aufwand möglich bleibt. Mit seinem Urteil vom 04.09.2025 im Verfahren C-413/23 P entschied der EuGH, dass pseudonymisierte Daten nicht automatisch aus dem Schutzbereich der DSGVO herausfallen. Entscheidend sei nicht die technische Umsetzung der Pseudonymisierung allein, sondern die praktische Möglichkeit zur Identifizierung einer Person. Das Urteil hat unmittelbare Bedeutung für Verarbeiter, die pseudonymisierte Daten intern nutzen oder an externe Partner übermitteln.
Konkret hatte ein Unternehmen personenbezogene Daten in pseudonymiserter Form weitergegeben, nicht jedoch die Betroffenen darüber informiert. Das Unternehmen stellte sich auf den Standpunkt, dass die Daten es Dritten nicht ermöglichen würde, konkrete Personen zu identifizieren (und damit de facto wie anonymisierte Daten als nicht personenbezogen zu behandeln seien). Der EU-Datenschutzbeauftragten (EDSB) sah das anders und verlangte eine Inforamtion der Betroffenen, wogegen das Unternehmen klagte.
Pseudonymisierte Daten
Die DSGVO unterscheidet zwischen Anonymisierung und Pseudonymisierung. Pseudonymisierte Daten sind personenbezogene Daten, bei denen direkte Identifikatoren wie Name, Adresse oder Kundennummer durch ein Pseudonym ersetzt werden – zum Beispiel eine zufällige Kennziffer. Ohne den Schlüssel zur Zuordnung ist eine direkte Identifizierung der betroffenen Person nicht möglich.
Der zentrale Unterschied zur Anonymisierung besteht darin, dass bei anonymisierten Daten eine Identifizierung dauerhaft und mit keinem vertretbaren Aufwand mehr möglich ist. Anonyme Daten sind daher nicht mehr als personenbezogen anzusehen und unterliegen somit nicht der DSGVO. Bei pseudonymisierten Daten hingegen bleibt der Personenbezug bestehen, da eine Re-Identifizierung zumindest potenziell möglich bleibt. Genau darauf weist der EuGH nun noch einmal deutlich hin.
Für Unternehmen und auch die Forschung sind pseudonymisierte Daten unverzichtbar. Sie kommen etwa in der medizinischen Forschung zum Einsatz, wenn Patientendaten ausgewertet werden, ohne sofort die Namen der Betroffenen offenzulegen. Weitere Einsatzgebiete sind die Finanzbranche bei Bonitätsprüfungen oder Betrugserkennung, die IT-Sicherheit, unter anderem wenn Logfiles ausgewertet werden, um Angriffe zu erkennen oder das Marketing, um Kundengruppen zu analysieren, ohne direkt auf einzelne Personen zuzugreifen.
Der EuGH betont die Relevanz des Kontexts: Pseudonymisierte Daten können weder per se als personenbezogene Daten gelten noch als anonym angenommen werden.
Pseudonymisierung setzt voraus, dass Zusatzinformationen existieren, die eine Identifikation der betroffenen Petson ermöglichen. Die Existenz derartiger Informationen führt dazu, dass pseudonymisierte Daten nicht als anonym betrachtet werden können. Dem gegenüber kann aber angenommen werden, dass – vorausgesetzt, dass alle notwendigen technischen und organisatorischen Maßnahmen getroffen worden sind, um die Zuordnung der Daten zu konkreten Personen zu verhindert – die Pseudonymisierung sich auf die Personenbeziehbarkeit der Daten auswirken kann.
Das Gericht stellt zudem fest, dass die Verantwortung für den Schutz personenbezogener Daten zunächst beim primär Verarbeitenden liegt. Dies schließt die Informationspflicht, bspw. für die Datenweitergabe, mit ein. Verarbeiter können sich nicht auf die Nicht-Identifizierbarkeit pseudonymisierter Daten durch Dritte berufen, um Informationspflichten zu vermeiden.
Obwohl Psedonymisierung eine effektive Schutzmaßnahme sein kann, sind grundsätzlich die Umstände des Einzelfalls ausschlaggebend.
Für Verantwortliche ergeben sich aus dem Urteil konkrete Handlungsfelder:
1. Risikobewertung vor Weitergabe
Jede Übermittlung pseudonymisierter Daten an externe Stellen erfordert eine Prüfung, wie hoch die Wahrscheinlichkeit einer Re-Identifizierung ist. Dies muss aus Basis der getroffenen technischen und organiastorischen Maßnahmen beurteilt werden.
2. Vertragliche Absicherung
Empfänger von Daten müssen vertraglich (ggf. unter Androhung von Sanktionen) verpflichtet werden, keine Rückführung auf Personen vorzunehmen.
3. Notwendige technische und organisatorische Maßnahmen (TOM)
Eine strikte Trennung von Pseudonymisierungsschlüsseln und Daten ist erforderlich. Zuordnungstabellen sollten verschlüsselt und mittels klar definierter berechtigungskonzepte geschützt werden.
4. Dokumentation und Nachweis
Verantwortliche müssen ihre Bewertung, ob und inwiefern Daten nicht oder nur mit unverhältnismäßigem Aufwand re-identifiziert werden können, sowie deren Begründung dokumentieren, um ihrer Nachweispflicht nachzukommen.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt, LL.M. ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.