In einem aktuellen Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) klargestellt: Pseudonymisierte Daten gelten auch dann als personenbezogene Daten, wenn sie an Dritte weitergegeben werden.
Für Unternehmen bedeutet dies, dass die Pseudonymisierung sie nicht automatisch von den Informationspflichten oder anderen Anforderungen der DS-GVO befreit.
Worum ging es im Rechtsstreit?
Eine EU-Behörde hatte Stellungnahmen von Betroffenen pseudonymisiert und anschließend an ein Beratungsunternehmen weitergegeben. Die Betroffenen wurden darüber jedoch nicht informiert. Der EU-Datenschutzbeauftragte sah darin einen Verstoß gegen die DS-GVO. Nun bekam er vom EuGH Recht. Ausgangspunkt des Streits war die Abwicklung der spanischen Banco Popular Español. Der zuständige Einheitliche Abwicklungsausschuss (SRB) prüfte dabei, ob ehemalige Aktionäre und Gläubiger Anspruch auf Entschädigung haben. Betroffenen wurde die Möglichkeit eingeräumt Stellungnahmen einreichen. Diese gab der SRB später in pseudonymisierter Form an das Beratungsunternehmen Deloitte zur Auswertung weiter.
Daraufhin gingen Beschwerden beim EU-Datenschutzbeauftragten (EDSB) ein. Sie monierten, dass sie nicht über die Weitergabe ihrer Daten informiert worden waren. Der EDSB sah darin einen Verstoß gegen die DS-GVO, da trotz Pseudonymisierung noch Rückschlüsse auf die Verfasser möglich gewesen wären.
Der SRB legte Einspruch ein und bekam zunächst beim Gericht der Europäischen Union (EuG) Recht. Dieses entschied, dass entscheidend sei, ob die Daten für Deloitte als Empfänger personenbezogen waren. Dagegen legte der EDSB Berufung ein. Der Europäische Gerichtshof (EuGH) stellte jedoch klar, dass maßgeblich die Sicht des ursprünglichen Verantwortlichen, also des SRB, sei. Das Urteil wurde aufgehoben.
Kernaussage des Urteils
- Pseudonymisierung bedeutet nicht gleich Anonymisierung
Auch wenn Namen oder direkte Identifikatoren entfernt sind, können die Daten noch einen Personenbezug haben. - Die Sicht des Datenverantwortlichen ist entscheidend
Maßgeblich ist nicht, ob der Empfänger die Daten einer Person zuordnen kann, sondern ob der ursprüngliche Verantwortliche dies könnte. - Informationspflicht bleibt bestehen
Betroffene müssen über eine geplante Weitergabe ihrer Daten informiert werden. Dies gilt sogar dann, wenn der Empfänger die Daten faktisch nicht mehr einer Person zuordnen kann.
Was bedeutet in der Praxis?
- Keine „Abkürzungen“ durch Pseudonymisierung
Auch pseudonymisierte Daten sind in der Regel personenbezogen und unterliegen den Pflichten der DS-GVO. - Informationspflichten einhalten
Betroffene sind rechtzeitig (also vor einer Weitergabe) zu informieren. Ein Hinweis „die Daten sind ja pseudonymisiert“ reicht nicht. - Dokumentation und Prozesse prüfen
Unternehmen sollten sicherstellen, dass sie Informationspflichten klar geregelt haben und dies auch nachweisen können.
Fazit
Der EuGH hat die Verantwortung für den Schutz personenbezogener Daten eindeutig dem Datenverarbeiter zugerechnet. Unternehmen sind auch bei pseudonymisierten Daten dazu verpflichtet, die Anforderungen der DS-GVO einzuhalten.
Nur wenn sauber dokumentiert, transparent informiert und technische Maßnahmen mit organisatorischen Pflichten kombiniert werden, können rechtliche Risiken gesenkt werden.
Die Frage, ob ein Unternehmen, dass einem Dienstleister pseudonymisierte Daten für Zwecke der Datenanalyse zur Verfügung stellt, mit diesem einen Auftragsverarbeitungsvertrag schließen muss, hat der EuGH jedoch offengelassen. Hilfreich wäre gewesen, wenn sich der EuGH dazu positioniert hätte, auch wenn dies nicht Gegenstand der Vorlagefrage war.