EuGH: Pseudonymisierte Daten bleiben personenbezogen, neues Urteil schafft Klarheit

Der Europäische Gerichtshof (EuGH) hat Anfang September 2025 ein wegweisendes Urteil (C-413/23 P) zum Datenschutz gefällt. Die Richter entschieden: Auch pseudonymisierte Daten können weiterhin personenbezogene Daten sein – und unterliegen damit den Regeln der DSGVO. Das klingt technisch, betrifft aber in der Praxis viele Unternehmen, Behörden und Organisationen, die regelmäßig Daten für Analysen, Forschung oder Prüfungen weitergeben.

Worum ging es im Fall?

Im Zuge der Abwicklung der spanischen Bank Banco Popular Español prüfte der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) Entschädigungsansprüche ehemaliger Gläubiger und Anteilseigner.

Betroffene Anleger konnten hierzu Stellungnahmen abgeben, die der SRB anschließend in pseudonymisierter Form an die Beratungsfirma Deloitte zur Bewertung der wirtschaftlichen Auswirkungen weiterleitete.

Einige Betroffene sahen darin jedoch einen Verstoß gegen den Datenschutz, weil sie nicht informiert wurden, dass ihre Daten (auch in pseudonymisierter Form) weitergegeben wurden. Der Europäische Datenschutzbeauftragte (EDSB) gab den Betroffenen teilweise recht, und der Fall gelangte schließlich vor den EuGH.

Was hat der EuGH entschieden?

Der EuGH stellte klar: Pseudonymisierte Daten sind keine anonymen Daten. 

Selbst wenn Namen oder direkte Identifikationsmerkmale entfernt wurden, gelten Daten weiterhin als personenbezogen, wenn eine realistische Möglichkeit besteht, die betroffene Person wiederzuerkennen, beispielsweise etwa über Zusatzinformationen, die der ursprüngliche Datenverarbeiter besitzt.

Drei zentrale Aussagen des Urteils

• Pseudonymisierung ist kein Freifahrtschein: Wenn derjenige, der die Daten pseudonymisiert, weiterhin Zugriff auf die Zuordnungsschlüssel oder Zusatzinformationen hat, bleiben die Daten für ihn personenbezogen.
• Die Perspektive ist entscheidend: Für den Empfänger kann die Situation anders aussehen: Hat dieser keine Möglichkeit, die Person hinter den Daten zu identifizieren, kann die DSGVO für ihn unter Umständen nicht greifen.
• Einzelfallprüfung bleibt Pflicht: Ob Daten tatsächlich anonym sind, hängt immer vom konkreten Fall ab. Pauschale Aussagen wie „pseudonymisierte Daten fallen nicht unter die DSGVO“ gelten also nicht mehr.

Was bedeutet das in der Praxis?

Für Unternehmen, Behörden und Organisationen heißt das:

• Pseudonymisierung ersetzt keinen Datenschutz.
• Technische und organisatorische Maßnahmen bleiben entscheidend.
• Die Verantwortung liegt beim Datenübermittelnden.
• Dokumentation ist weiterhin Pflicht.

Das EuGH-Urteil schafft endlich mehr Rechtssicherheit

Daten gelten oft weiterhin als personenbezogen, wenn die Möglichkeit einer Identifizierung besteht und das selbst indirekt. Für die Praxis bedeutet das: Datenschutz endet nicht bei der Pseudonymisierung. Wer Daten teilt, analysiert oder weitergibt, sollte genau wissen, welche Informationen er besitzt und wie leicht sich daraus eine Person wiedererkennen lässt.

Veröffentlicht am 9. Oktober 2025