Ein neues EuGH-Urteil stellt klar, dass pseudonymisierte Daten aus Sicht des Senders personenbezogene Daten bleiben. Diese Entscheidung stärkt die Transparenzpflichten der DSGVO und hat weitreichende Folgen für den EU Data Act. Unternehmen müssen nun ihre Datenweitergaben, insbesondere für KI, neu bewerten und ihre Datenschutzhinweise anpassen.
Sachverhalt und Kernaussagen
Dem Urteil lag ein Sachverhalt zugrunde, bei dem der Einheitliche Abwicklungsausschuss (SRB) Stellungnahmen von Betroffenen erhob. Diese Kommentare wurden mit einem 33-stelligen Code pseudonymisiert und an Deloitte weitergegeben. Der SRB behielt die Schlüsselinformationen, die eine Zuordnung des Codes zu den Einsendern ermöglichten; Deloitte hatte keinen Zugriff darauf. Der SRB argumentierte, dass die Daten aus der Perspektive von Deloitte anonym seien und somit auch bei der Übermittlung nur anonyme Daten betreffe. Eine detaillierte Analyse des Verfahrens, das nach dem Urteil des EuGH zur erneuten Entscheidung an das Gericht der Europäischen Union (EuG) zurückverwiesen wurde, finden Sie hier.
Takeaway 1: Der Ankerpunkt – Alles hängt vom Moment der Erhebung ab
Der EuGH statuierte, dass die Perspektive des Datenverantwortlichen zum Zeitpunkt der Erhebung maßgeblich ist. Angewandt auf den Fall bedeutet dies: Da der SRB die Identität der Personen kannte, als er die Daten sammelte, waren die Daten für ihn personenbezogen. Diese Einordnung blieb auch bei der Weitergabe an Deloitte bestehen, da die Perspektive des Empfängers unerheblich ist. Die Transparenzpflicht entstand somit im Moment der Erhebung durch den SRB.
Takeaway 2: Eine Meinung sind immer „Ihre“ Daten
Das Gericht stellt klar, dass persönliche Meinungen untrennbar mit einer Person verbunden sind. Angewandt auf den Fall bedeutet dies: Die an Deloitte übermittelten Stellungnahmen waren schon allein deshalb personenbezogene Daten, weil es sich um Meinungen handelte. Ihre Natur als Ausdruck einer Person macht sie inhärent personenbezogen, unabhängig von weiteren Identifikatoren.
Takeaway 3: Prüfpflichten und Perspektive bei pseudonymisierten Daten – DSGVO bleibt maßgeblich
Das Urteil verdeutlicht zwei zentrale Aspekte für Unternehmen:
- Keine Anonymität für den Verantwortlichen
Für den ursprünglichen Verantwortlichen sind pseudonymisierte Daten nie anonym. Er muss prüfen, ob er nach der DSGVO zur Weitergabe berechtigt ist – insbesondere, wenn damit ein neuer Zweck verbunden ist. Eine pauschale Betrachtung verbietet sich. Bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ist besondere Vorsicht und eine detaillierte Prüfung erforderlich.
- Relativer Anonymitätsbegriff und Einzelfallprüfung
Das Urteil entwickelt die Rechtsprechung vorsichtig weiter in Richtung eines „relativen Anonymitätsbegriffs“, d. h. die Einstufung hängt von der Perspektive ab. Zugleich zeigt es, dass die Frage der Re-Identifizierbarkeit immer am Einzelfall zu prüfen ist. Weitere Impulse könnten sich aus einer Vorlage des BGH ergeben, der die Frage des Personenbezugs von IP-Adressen aufgeworfen hat, wenn der Empfänger keine Veranlassung zur Zuordnung hat. Eine Entscheidung wird jedoch nicht vor 2027 erwartet. Zudem ist für 2026/2027 eine mögliche gesetzliche Anpassung im Datenschutzrecht im Gespräch. Unternehmen sollten den Rechtsrahmen daher kontinuierlich beobachten.
Während die Transparenzpflichten für den Sender gestärkt werden, können pseudonymisierte Daten für den Empfänger rechtlich als anonym gelten – unter der strikten Bedingung, dass keine Re-Identifizierung erfolgt. Dies eröffnet Chancen für bestimmte Datennutzungen (z. B. KI-Training, Data Act), erfordert aber klare Compliance-Grenzen. Das Urteil schafft keine neuen Freiheiten: Die DSGVO gilt unverändert, auch für pseudonymisierte Daten. Unternehmen müssen weiterhin sorgfältig prüfen, insbesondere bei besonderen Kategorien.
Die To-Do-Liste: Praktische Handlungserfordernisse
Aus dem Urteil ergeben sich vier zentrale Handlungserfordernisse:
- Datenschutzhinweise überarbeiten: Bestehende Unklarheiten sind zu beseitigen. Alle potenziellen Empfängerkategorien, auch für pseudonymisierte Daten, müssen klar benannt werden.
- Datenweitergaben überprüfen: Alle Verträge zur Datenweitergabe (insb. Auftragsverarbeitungsverträge) müssen dahingehend geprüft werden, ob sie die Verarbeitung pseudonymisierter Daten als personenbezogene Daten korrekt abbilden.
- Datenflüsse neu bewerten: Datenflüsse, insbesondere für KI- und Big-Data-Anwendungen, müssen neu bewertet werden, um die Transparenzanforderungen von Beginn an zu erfüllen.
- Vorbereitung auf den Data Act: Prozesse für Datenzugangsanfragen gemäß Data Act müssen implementiert werden, wobei die Klarstellungen des EuGH zu beachten sind.
