EuGH: Pseudonymisierte Daten bleiben personenbezogen, neues Urteil schafft Klarheit
Der Europäische Gerichtshof (EuGH) hat Anfang September 2025 ein wegweisendes Urteil (C-413/23 P) zum Datenschutz gefällt. Die Richter entschieden: Auch pseudonymisierte Daten können weiterhin personenbezogene Daten sein – und unterliegen damit den Regeln der DSGVO. Das klingt technisch, betrifft aber in der Praxis viele Unternehmen, Behörden und Organisationen, die regelmäßig Daten für Analysen, Forschung oder Prüfungen weitergeben.
Worum ging es im Fall?
Im Zuge der Abwicklung der spanischen Bank Banco Popular Español prüfte der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) Entschädigungsansprüche ehemaliger Gläubiger und Anteilseigner.
Betroffene Anleger konnten hierzu Stellungnahmen abgeben, die der SRB anschließend in pseudonymisierter Form an die Beratungsfirma Deloitte zur Bewertung der wirtschaftlichen Auswirkungen weiterleitete.
Einige Betroffene sahen darin jedoch einen Verstoß gegen den Datenschutz, weil sie nicht informiert wurden, dass ihre Daten (auch in pseudonymisierter Form) weitergegeben wurden. Der Europäische Datenschutzbeauftragte (EDSB) gab den Betroffenen teilweise recht, und der Fall gelangte schließlich vor den EuGH.
Was hat der EuGH entschieden?
Der EuGH stellte klar: Pseudonymisierte Daten sind keine anonymen Daten.
Selbst wenn Namen oder direkte Identifikationsmerkmale entfernt wurden, gelten Daten weiterhin als personenbezogen, wenn eine realistische Möglichkeit besteht, die betroffene Person wiederzuerkennen, beispielsweise etwa über Zusatzinformationen, die der ursprüngliche Datenverarbeiter besitzt.
Drei zentrale Aussagen des Urteils
- Pseudonymisierung ist kein Freifahrtschein: Wenn derjenige, der die Daten pseudonymisiert, weiterhin Zugriff auf die Zuordnungsschlüssel oder Zusatzinformationen hat, bleiben die Daten für ihn personenbezogen.
- Die Perspektive ist entscheidend: Für den Empfänger kann die Situation anders aussehen: Hat dieser keine Möglichkeit, die Person hinter den Daten zu identifizieren, kann die DSGVO für ihn unter Umständen nicht greifen.
- Einzelfallprüfung bleibt Pflicht: Ob Daten tatsächlich anonym sind, hängt immer vom konkreten Fall ab. Pauschale Aussagen wie „pseudonymisierte Daten fallen nicht unter die DSGVO“ gelten also nicht mehr.
Was bedeutet das in der Praxis?
Für Unternehmen, Behörden und Organisationen heißt das:
- Pseudonymisierung ersetzt keinen Datenschutz.
- Technische und organisatorische Maßnahmen bleiben entscheidend.
- Die Verantwortung liegt beim Datenübermittelnden.
- Dokumentation ist weiterhin Pflicht.
Das EuGH-Urteil schafft endlich mehr Rechtssicherheit
Daten gelten oft weiterhin als personenbezogen, wenn die Möglichkeit einer Identifizierung besteht und das selbst indirekt. Für die Praxis bedeutet das: Datenschutz endet nicht bei der Pseudonymisierung. Wer Daten teilt, analysiert oder weitergibt, sollte genau wissen, welche Informationen er besitzt und wie leicht sich daraus eine Person wiedererkennen lässt.
Veröffentlicht am 9. Oktober 2025
Laura Stöhr, ist Juristin mit Schwerpunkt Datenschutzrecht und unterstützt unsere Consultants durch wissenschaftliche Arbeit zu aktuellen rechtlichen Fragestellungen. Auf unserem Blog schreibt sie über Themen rund um Datenschutz, die KI-Verordnung und Informationssicherheit.
Weitere Artikel des Autoren
- iPhone-Standortdaten im Griff behalten: So steuern Sie, wer Sie wirklich ortet
- NIS-2 in Deutschland: Ambition trifft auf Umsetzungshürden
- Beteiligungsrechte des Betriebsrats: Wie das Hinweisgeberschutzgesetz die Arbeitnehmer stärkt
- Das Zusammenspiel zwischen der NIS2 und dem Lieferkettengesetz
- Pflegeversicherung und Elternnachweis: Neue Beitragsregeln und deren Datenschutzanforderungen
- Transparente Verantwortung: Betroffeneninformation im Hinweisgeberverfahren