Am 4. September 2025 hat der EuGH in einem Urteil (erneut) zu den Begriffen der Pseudonymisierung und Anonymisierung personenbezogener Daten entschieden.
Dem Urteil wird zum Teil gerade im Hinblick auf die Sekundärnutzung personenbezogener Daten zu Forschungszwecken erhebliche Bedeutung beigemessen. Denn gerade im Forschungsbereich ist die klare Abgrenzung zwischen beiden Konzepten von zentraler Bedeutung: Während pseudonymisierte Daten weiterhin dem Anwendungsbereich der DSGVO unterfallen, können anonymisierte Daten grundsätzlich uneingeschränkt für Forschungszwecke genutzt werden.
Der nachfolgende Beitrag beleuchtet, inwieweit die Kernaussagen des Urteils tatsächlich zu einer Entlastung in der Forschungspraxis führen.
Hinweis: Das Urteil befasst sich mit Bestimmungen der Verordnung (EU) 2018/1725, die die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen und sonstige Stellen der Union regelt. Der EuGH hat jedoch ausdrücklich klargestellt, dass der Begriff der „personenbezogenen Daten“ in dieser Verordnung und in der DSGVO identisch auszulegen ist. Das Urteil ist daher gleichermaßen für Unternehmen wie auch für mitgliedstaatliche Behörden von Bedeutung.
Hintergrund des Urteils
Deloitte erhielt den Auftrag, eine Bewertung nach einem Verfahren der SRM Verordnung vorzunehmen. Danach können Anteilseigner und Gläubiger der abzuwickelnden Bank ihr Anhörungsrecht wahrnehmen. Die Anhörung diente dazu, dem Single Resolution Body („SRB“) eine fundierte Grundlage für die abschließende Entscheidung zu liefern, ob den Betroffenen eine Entschädigung zusteht. Das Anhörungsverfahren war in zwei Phasen gegliedert:
- Registrierung: Betroffene konnten online ihr Interesse an einer späteren Anhörung anmelden.
- Stellungnahme: Der SRB versandte anschließend individuelle Links zu einem Fragebogen. Jede Stellungnahme wurde nicht mit einem Namen, sondern mit einem zufällig erzeugten 33 stelligen Code versehen, um die ordnungsgemäße Berücksichtigung der Antworten nachweisen zu können.
Für die Auswertung erhielt Deloitte lediglich die vom SRB sortierten und kategorisierten Stellungnahmen – ohne Zugang zu den in der ersten Phase erhobenen Identitätsdaten. Eine Zusammenführung der Codes mit Registrierungsdaten war daher ausgeschlossen. Der EuGH hatte zu entscheiden, ob es sich bei den an Deloitte übermittelten Stellungnahmen um lediglich pseudonymisierte oder anonymisierte Daten handelte.
Kernaussagen des EuGH
1. Kernaussage: Relativer Personenbezug
Der EuGH stellt klar, dass Daten, die für einen Verantwortlichen eindeutig personenbezogen sind, für einen anderen Empfänger anonym sein können. Diese ausdrückliche Betonung der Relativität des Personenbezugs ist neu in der EuGH Rechtsprechung.
Für den Verantwortlichen, der die Pseudonymisierung vornimmt und in der Regel die „zusätzlichen Informationen“ zur Re-Identifizierung besitzt, bleiben pseudonymisierte Daten stets personenbezogen. Für Empfänger gilt dies jedoch nicht automatisch.
Damit Daten für den Empfänger als anonym gelten können, müssen Positivkriterien erfüllt und Negativkriterien ausgeschlossen sein.
Positivkriterien (Voraussetzungen für Anonymität beim Empfänger)
Anonymität liegt vor, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Der Empfänger kann die Daten faktisch nicht einer identifizierten oder identifizierbaren Person zuordnen.
- Eine theoretische Zuordnung wäre zwar denkbar, ist aber gesetzlich verboten oder praktisch nicht umsetzbar.
Negativkriterien (Umstände, die trotz Positivkriterien zu personenbezogenen Daten führen)
Selbst wenn ein Positivkriterium erfüllt ist, bleibt der Personenbezug bestehen, wenn einer der folgenden Fälle vorliegt:
- Dem Empfänger ist eine Re Identifizierung durch öffentlich verfügbare Informationen möglich (z. B. Abgleich mit Internetquellen oder Pressemitteilungen ohne Namensnennung).
- Der Empfänger hat eine rechtliche Befugnisse, zusätzliche Informationen von Dritten zu verlangen (z. B. Behörden, Provider, Verbände), die eine Identifizierung ermöglichen.
- Der Empfänger gibt die für ihn anonymen Pseudonyme an einen Dritten weiter, der über Informationen verfügt, die eine Zuordnung ermöglichen. In diesem Fall werden die Daten ab Weitergabe für beide Akteure personenbezogen.
- Der Empfänger übermittelt die Pseudonyme an einen Dritten, und es kann nicht ausgeschlossen werden, dass dieser Dritte die Zuordnung zu Personen vornehmen kann (z. B. durch Abgleich mit eigenen Datenbeständen). Dann liegt sowohl bei der Weitergabe als auch bei der Verarbeitung durch den Dritten eine Verarbeitung personenbezogener Daten vor.
Sind mindestens ein Positivkriterium erfüllt und keines der Negativkriterien gegeben, gelten die Daten für den Empfänger als anonym.
Für Verantwortliche ergeben sich in der Praxis jedoch keine wesentlichen Änderungen: Die Begriffe der Pseudonymisierung und Anonymisierung bleiben unverändert; neu ist lediglich die deutliche Hervorhebung des relativen Personenbezugs.
2. Kernaussage: Maßgeblich ist die Sicht des Verarbeitenden im Einzelfall
Der EuGH stellt zudem klar, dass die Einordnung von Daten als pseudonymisiert oder anonym ausschließlich aus der Perspektive des jeweils verarbeitenden Akteurs zu erfolgen hat. Gelten die Daten für den Verantwortlichen als pseudonymisiert, unterliegt deren Verarbeitung damit vollständig den Vorgaben der DSGVO. Der Empfänger ist aus Sicht des Verantwortlichen als Dritter anzusehen, sodass die Weitergabe auch den Anforderungen der DSGVO genügen muss. So ist der Empfänger z.B. in den Datenschutzinformationen zu erwähnen und es sind gegebenenfalls entsprechende datenschutzrechtliche Vereinbarungen abzuschließen (z.B. Auftragsverarbeitungsvereinbarung). Dies gilt auch dann, wenn die Daten für den Empfänger (relativ) anonym sind.
Besonders hervorzuheben ist, dass das Urteil des EuGH die Verarbeitung nicht sensibler personenbezogener Daten betrifft. Für die Verarbeitung besonderer Kategorien personenbezogener Daten zu Forschungszwecken (z.B. Gesundheitsdaten) legen Behörden und Gerichte regelmäßig deutlich strengere Maßstäbe an.
Fazit
Im Ergebnis ist die praktische Bedeutung des EuGH Urteils differenziert zu bewerten. Die ausdrückliche Bestätigung des relativen Personenbezugs schafft zwar zusätzliche Klarheit für die Forschungspraxis, insbesondere bei der Abgrenzung zwischen Pseudonymisierung und Anonymisierung. Forschende Einrichtungen erhalten damit eine verlässlichere Grundlage, um einzuschätzen, wann Daten für sie tatsächlich als anonym gelten können.
Gleichzeitig ändert das Urteil jedoch nichts daran, dass die datenschutzrechtlichen Anforderungen für Verantwortliche weiterhin hoch bleiben. Sobald Daten aus ihrer eigenen Perspektive als personenbezogen einzustufen sind, greifen sämtliche Pflichten der DSGVO. Die Entscheidung erleichtert daher zwar die Bewertung auf Empfängerseite, führt aber nicht zu einer generellen Entlastung der Verantwortlichen im Forschungsbereich.
