Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) eine für die Praxis des Datenschutzes in Europa sehr wichtige Entscheidung getroffen. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, begrüßt diese Entscheidung sehr, „weil sie einen jahrelangen Streit um das Verständnis von Anonymität beendet. Dieser Streit ist deswegen bedeutsam, weil anonyme Daten nicht in den Anwendungsbereich der DS-GVO fallen. Die Feststellungen des EuGH erleichtern künftig die Annahme von Anonymität und die Verarbeitung von anonymen Daten erheblich.“
Das Urteil stellt fest, dass
- Anonymität oder Personenbeziehbarkeit allein aus der Sicht des jeweils Verantwortlichen bestimmt werden muss. Die gleichen Daten können daher für unterschiedliche Verantwortliche anonym oder personenbeziehbar sein.
- die Daten ihren Charakter als anonym oder personenbezogen wechseln können, wenn sie einem anderen Verantwortlichen übermittelt werden.
- auch pseudonyme Daten anonym sein können, wenn der Verantwortliche die pseudonymen Daten nicht einer bestimmten Person zuordnen kann.
- für anonyme Daten, wenn sie (wieder) personenbeziehbar werden, die DS-GVO anwendbar ist.
Der Entscheidung lag ein Streit zwischen dem Europäischen Datenschutzbeauftragten (EDSB), der durch den Europäischen Datenschutzausschuss (EDSA) unterstützt wurde, und dem Einheitlichen Abwicklungsausschuss der Europäischen Union (SRB), den die Europäische Kommission unterstützte, zugrunde. Der SRB hatte Gläubiger der Banco Popular Espanol SA in dem Verfahren zur Abwicklung dieser Bank aufgefordert, ihre Forderungen zu melden und nachzuweisen. Der SRB pseudonymisierte die eingehenden Meldungen mit einer zufälligen 33-stelligen eindeutigen Identifikationsnummer und sandte die Nachweise an die Wirtschaftsprüfungsgesellschaft Deloitte, um sie für den SRB zu bewerten. Deloitte konnte die Nachweise nicht einzelnen Gläubigern zuordnen. Der SRB unterließ es, die Gläubiger über diese Übermittlung ihrer Unterlagen an Deloitte zu informieren, weil er der Meinung war, die übermittelten Daten seien anonym. Dagegen hielt der EDSB diese Daten nicht für anonym und verwarnte den SRB wegen unterlassener Information. Der SRB klagte dagegen vor dem Europäischen Gericht, das ihm recht gab und die Verwarnung des EDSB für nichtig erklärte. Dagegen legte der EDSB beim EuGH Rechtsmittel ein.
Der EuGH wies die Ansicht zurück, pseudonymisierte Daten seien immer personenbezogen, weil der Inhaber der Zuordnungsinformation die pseudonymen Daten zuordnen könnte. Vielmehr ziele die Pseudonymisierung gerade darauf abziele, dass andere Verantwortliche die Daten nicht der betroffenen Person zuordnen können. Für diese anderen Verantwortlichen – wie z.B. Deloitte – sind die pseudonymen Daten anonym (Rn. 75, 76, 86). Daher bedeutet „die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Information für sich genommen nicht (…), dass pseudonymisierte Daten … in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind“ (Rn. 82). Entscheidend ist allein, ob der jeweils Verantwortliche die Daten einer bestimmten Person zuordnen kann.
Durch die Übermittlung pseudonymisierter Daten an einen Verantwortlichen werden diese Daten nach dem EUGH auch nicht dem Schutzbereich der DS-GVO entzogen. Wenn nämlich die Daten an andere Verantwortliche weitergegeben werden, die durch ihr Wissen die Daten einer betroffenen Person zuordnen können, unterfallen die Daten (wieder) dem Anwendungsbereich der DSGVO (Rn. 85).
Hinsichtlich der fehlenden Information der betroffenen Personen über die Empfänger der erhobenen Daten, die zum Zeitpunkt der Erhebung zu erfolgen hat, ist auf den erhebenden Verantwortlichen abzustellen. Für den SRB waren die Daten personenbezogen. Er hätte also über potenzielle Empfänger informieren müssen, auch wenn für diesen die später übermittelten Daten anonym sind. Nur dadurch erhält die betroffene Person einen vollständigen Überblick, was mit ihren Daten geschieht und kann informiert darüber entscheiden, ob sie ihre Daten preisgibt oder ob sie Rechte gegenüber dem Empfänger geltend macht.
Zur Bedeutung des Urteils fasst Roßnagel zusammen: „Mit diesem überzeugenden Urteil bekräftigt der EuGH seine bisherige Rechtsprechung zur Anonymität von Daten. Es widerlegt eindeutig das bisher vielfach vertretene absolute Verständnis von Anonymität, nach dem die Möglichkeit von irgendjemandem, Daten einer Person zuzuordnen, Anonymität ausschließt. Dadurch wurde der Begriff der Anonymität sehr eingeengt und auf sehr seltene Fälle beschränkt. Indem der EuGH der relativen Ansicht von Anonymität folgt, nach der Anonymität immer nur für den jeweiligen Verantwortlichen bestimmt werden muss, wird die Anwendbarkeit der DSGVO auf die praktisch relevanten Fälle beschränkt und Datenverarbeitung – insbesondere für die Entwicklung von KI oder die Durchführung von Forschungsprojekten – erheblich erleichtert.“