Wenn „anonym“ nicht für alle gilt: Was der EuGH zu pseudonymisierten Daten klargestellt hat

Der Meinungsstreit

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Identifizierbarkeit kann direkt (z.B. über den Namen) oder indirekt (z.B. über Alias oder (Kunden-)Nummern) erfolgen.

Mangels ausdrücklicher Vorgaben in der Datenschutz-Grundverordnung (DSGVO) wurde kontrovers diskutiert, ob diese Definition absolut oder relativ zu verstehen ist:

  • Absolute Perspektive: Daten gelten bereits dann als personenbezogen, wenn irgendeine Stelle theoretisch in der Lage ist, eine Identifizierung vorzunehmen.
  • Relative Perspektive: Maßgeblich ist allein, ob der konkret betrachtete Verantwortliche über Mittel verfügt oder diese realistischerweise erlangen kann, um eine Person zu identifizieren.

Zur Verdeutlichung soll folgendes Beispiel dienen:

Ein Verantwortlicher A pseudonymisiert Daten, indem er Klarnamen durch Nummern ersetzt. Die Aufhebung der Pseudonymisierung ist über eine Zuordnungstabelle möglich. Für A sind die Daten daher weiterhin personenbezogen. Übermittelt A diese Daten an den Verantwortlichen B, kann B ohne Zugriff auf die Tabelle keine Identifizierung vornehmen. Fraglich war, ob für B dennoch personenbezogene Daten vorliegen.

Die Entscheidung des EuGH

Diese Rechtsfrage hat der EuGH nun abschließend geklärt. Der Gerichtshof betont, die DSGVO sehe einen relativen, kontextabhängigen Personenbezug. Dieselben Daten können für den Verantwortlichen A personenbezogen sein, während sie aus Sicht des Verantwortlichen B keinen Personenbezug zulassen.

Im konkreten Fall hatte eine EU-Behörde Kommentare von Betroffenen gesammelt und für die Auswertung an einen externen Dienstleister weitergegeben. Vor der Weitergabe wurden die Inhalte pseudonymisiert. Der EuGH entschied, dass die übermittelten Daten für den Dienstleister keine personenbezogenen Daten (mehr) seien. Ihm fehlen als Empfänger das Zusatzwissen und die Mittel zur Rückschlüsselung und es sei realistischerweise nicht davon auszugehen, dass er den Zugang dazu erlangen könne. Die Behörde habe durch hinreichende technische und organisatorische Maßnahmen eine Zuordnung wirksam verhindert.

Nach Auffassung des EuGH ist eine Pseudonymisierung nicht automatisch eine Anonymisierung. Ein pseudonymisierter Datensatz kann für einen Empfänger jedoch wie anonym wirken, wenn er bei realistischer Betrachtung der Gesamtumstände keinen Zugriff auf den Schlüssel oder auf Zusatzinformationen hat oder erlangen kann und die Zuordnung durch technische und organisatorische Maßnahmen effektiv ausgeschlossen ist.

Umgekehrt kann derselbe Datensatz für einen wieder anderen Empfänger C erneut personenbezogen sein; etwa wenn dort zusätzliche Daten vorhanden sind oder eine Zusammenführung realistisch möglich ist.

Die Kernaussagen des Urteils lassen sich wie folgt zusammenfassen:

  • Die DSGVO verfolgt einen relativen Ansatz für die Beurteilung des Personenbezugs. Die Einordnung von Daten als anonym oder personenbezogen muss ausschließlich aus der Perspektive des jeweiligen Verantwortlichen erfolgen. Dieselben Datensätze können daher je nach Verantwortlichem als anonym oder personenbezogen zu bewerten sein.
  • Daten können ihre rechtliche Qualität ändern. Durch die Weitergabe an eine andere Stelle können aus personenbezogenen Daten für diese anonym wirkende Daten werden und umgekehrt.
  • Pseudonymisierte Daten können für Empfänger anonym sein.

Dies gilt, wenn der Empfänger nicht über Mittel oder Zusatzwissen verfügt, um einen Personenbezug herzustellen, und ein Erwerb dieser Mittel realistisch ausgeschlossen ist.

Positive Reaktionen und neue Herausforderungen

Das Urteil des EuGH stieß auf positive Reaktionen. Auch einige deutsche Aufsichtsbehörden äußerten sich zu der Entscheidung. Die Entscheidung sei überzeugend und sorge für aufsichtsrechtliche Sicherheit. Der Anwendungsbereich der DSGVO werde auf praktisch relevante Fälle beschränkt und es entstünden Erleichterungen für die Datenverarbeitung in den Bereichen der KI-Entwicklung und bei Forschungsprojekten.

Die Entscheidung wirft zugleich neue Fragen auf, insbesondere im Bereich der Auftragsverarbeitung. Wenn ein Verantwortlicher pseudonymisierte Daten an einen Auftragsverarbeiter übermittelt, der nicht über die Mittel verfügt, um die Pseudonymisierung aufzuheben, stellen sich folgende Fragen:

  • Verarbeitet der Auftragsverarbeiter überhaupt personenbezogene Daten? Wenn nicht, muss aus Sicht des Verantwortlichen ein Auftragsverarbeitungsvertrag geschlossen werden, obwohl der Auftragsverarbeiter aus seiner eigenen Perspektive keine personenbezogenen Daten verarbeitet.
  • Was gilt, wenn der Auftragsverarbeiter die Daten weitergibt? Übermittelt der Auftragsverarbeiter die Daten an eine andere Stelle, die die Pseudonymisierung aufheben kann, handelt es sich dort erneut um personenbezogene Daten.

 

Für die datenschutzkonforme Verarbeitung in dieser Kette bleibt der Verantwortliche rechenschaftspflichtig. Derartige Risiken können insbesondere bei der Verwendung von Muster-Auftragsverarbeitungsverträgen leicht übersehen werden. Wir beraten Sie deshalb gerne bei diesen und anderen Rechtsfragen in Bezug zur Verarbeitung personenbezogener Daten.
 

Ähnliche Beiträge

14. Oktober 2020

H&M: Hamburgischer Datenschutzbeauftragte verhängt deutsches Rekordbußgeld

Gegen die Modekette H&M hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, einen Bußgeldbescheid in Höhe von 35.258.707,95 € erlassen. Dem Konzern wird vorgeworfen, seit 2014 in großem Umfang Daten über die privaten Lebensumstände der Mitarbeiter und Mitarbeiterinnen des Servicecenters in Nürnberg erfasst zu haben.
Datenschutz
EU-DSGVO
24. Oktober 2025

KI-Innovation und Datenschutz – ein Widerspruch?

Künstliche Intelligenz verändert unseren (Arbeits-)Alltag – doch der Umgang mit personenbezogenen Daten bleibt herausfordernd. Der Beitrag zeigt, wie Unternehmen Innovation und DSGVO-konformen Datenschutz bei KI-Systemen vereinen können.
Datenschutz
EU-DSGVO
Künstliche Intelligenz
20. Oktober 2025

Zweijährige Speicherung für Werbezwecke datenschutzkonform

Bei einer Steuerprüfung, ob Außenprüfung oder Umsatzsteuer-Nachschau, kann das Finanzamt auf die digitalen Buchhaltungsdaten Ihres Unternehmens zugreifen. Mithilfe spezieller Analyseprogramme werden relevante Informationen effizient ausgewertet.
Datenschutz
EU-DSGVO
IT-Recht
12. Mai 2025

Datenschutzverstoß – Abmahnung durch Verbraucherverbände

Vor Inkrafttreten der DSGVO im Jahr 2018 wurde vielfach vor den drohenden Abmahnungen gewarnt. Bisher blieb diese Abmahnwelle aus, da die Klagebefugnis nicht abschließend geklärt war. Dies könnte sich nun nach drei neuen BGH-Urteilen ändern.
Datenschutz
EU-DSGVO
14. August 2024

KI und Large Language Models im Fokus des Hamburgischen Datenschutzbeauftragten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte kürzlich ein Diskussionspapier zu den rechtlichen und praktischen Aspekten der Nutzung von Large Language Models (LLMs).
Datenschutz
EU-DSGVO
Künstliche Intelligenz
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

EU-DSGVO Datenschutz IT-Recht

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden