EuGH, Urt. 4.9.2025 - C-413/23 P
Relativer Personenbezug pseudonymisierter Daten
Autor: RA Dr. Niclas Kunczik (CIPP/E), Köln
Aus: IT-Rechtsberater, Heft 11/2025
Aus: IT-Rechtsberater, Heft 11/2025
Betroffene sind auch über die Weitergabe an Dritte zu informieren, wenn die pseudonymisierten Daten zwar für den Verantwortlichen, aber nicht für die Drittempfänger einen Personenbezug aufweisen.
VO (EU) 2018/1725 Art. 3 Nr. 1
Die beim SRB eingehenden Stellungnahmen waren allein mit einem alphanumerischen Code, einer nach dem Zufallsprinzip generierten 33-stelligen ID, gekennzeichnet. Nach deren Auswertung wurden einige Stellungnahmen zur Bewertung an eine unabhängige Gutachterin auf einen speziell dafür vorgesehenen virtuellen Server übermittelt. Auch die so übermittelten Stellungnahmen waren weiterhin allein mit dem alphanumerischen Code gekennzeichnet, der dem SRB zur Auditierung der Gutachtertätigkeit diente. Einen Zugang zu den im Rahmen der Registrierungsphase erhobenen Daten hatte die Gutachterin zu keinem Zeitpunkt.
Die im Abwicklungsverfahren vom SRB erstellten und den Betroffenen zugänglich gemachten Datenschutzhinweise enthielten keine Information darüber, dass personenbezogene Daten möglicherweise weitergegeben werden könnten. Hiergegen wandten sich mehrere Betroffene mit Beschwerden an den zuständigen Europäischen Datenschutzbeauftragten (EDSB). Er entschied u.a., dass es sich bei den übermittelten Daten um pseudonymisierte Daten handelte, so dass die Gutachterin als Empfängerin von personenbezogenen Daten zu bewerten sei, über die der SRB nicht informiert habe. Daher sei ein Verstoß gegen Art. 15 Abs. 1 Buchst. d VO 2018/1725 gegeben.
Gegen diese Entscheidung erhob der SRB erstinstanzlich u.a. Nichtigkeitsklage gem. Art. 263 AEUV vor dem EuG, welches dem SRB weitestgehend Recht gab und die Entscheidung des EDSB aufhob (EuG v. 26.4.2023 – T-557/20 – SRB, ITRB 2023, 176 f. [Kunczik] = CR 2023, 532 m. Anm. Schweinoch/Peintinger).
Weite Auslegung:Es habe eine einheitliche und kohärente Auslegung des Begriffs „personenbezogene Daten“ i.S.v. Art. 3 Nr. 1 VO 2018/1725 sowie Art. 4 Nr. 1 DSGVO zu erfolgen. Dieser Begriff sei weit zu verstehen. Das EuG habe verkannt, dass die in den Stellungnahmen der Betroffenen enthaltenen persönlichen Meinungen eng mit den Personen verknüpft seien, sich somit auch auf diese bezögen.
Relativer Personenbezug bei Pseudonymisierung:Im Kern gehe es – anknüpfend an die Rechtsprechung des EuGH zum relativen Personenbezug (u.a. EuGH v. 7.3.2024 – C-604/22 – IAB Europe/Gegevensbeschermingsautoriteit, ITRB 2024, 117 ff. [Kunczik] = CR 2024, 312 m. Anm. Schweinoch/Peintinger) – um die Frage, ob diese übermittelten Informationen sich auf eine „identifizierbare“ natürliche Person bezögen. Technisch-organisatorische Maßnahmen, die zu einer Pseudonymisierung führten, könnten gleichzeitig Auswirkung darauf haben, ob es sich weiterhin um personenbezogene Daten handle. Aber aus Sicht des Verantwortlichen, der die Pseudonymisierung vorgenommen habe, blieben diese weiterhin personenbezogene Daten. Im Gegenzug könnten je Einzelfall dieselben pseudonymisierte Daten für Dritte sich durchaus als nicht personenidentifizierbar darstellen, wenn diese Dritte über keine Mittel verfügten und zu diesen Mitteln Zugang hätten, die nach allgemeinem Ermessen wahrscheinlich für die Identifizierung der betroffenen Personen genutzt werden könnten.
Verstoß gegen die Informationspflicht:Die Betroffenenrechte seien Ausdruck der datenschutzrechtlichen Grundsätze der Transparenz und Fairness. Betroffene sollten in voller Kenntnis der Sachlage entscheiden, ob sie ihre personenbezogenen Daten zur Verfügung stellten. Da die pseudonymisierten Daten aus Sicht der Verantwortlichen SRB weiterhin personenbezogene Daten darstellten, hätte der SRB die Betroffen über die Weitergabe der Daten an die Gutachterin informieren müssen, unabhängig davon, ob dieselben Daten für diese Gutachterin noch einen Personenbezug aufweisen würden. Es komme mithin allein auf das Verhältnis zwischen Verantwortlichem und den Betroffenen an.
VO (EU) 2018/1725 Art. 3 Nr. 1
Das Problem
Der für die ordnungsgemäße Abwicklung von insolventen Banken in der EU behördlich zuständige Einheitliche Abwicklungsausschuss (SRB) war mit dem Abwicklungsverfahren einer spanischen Bank befasst. In diesem Verfahren erhob der SRB zunächst im Rahmen einer „Registrierungsphase“ die Daten von potentiellen Gläubigern und Anteilseignern der Bank. In der anschließenden „Konsultationsphase“ wurden die durch die Registrierungsphase identifizierten Anteilseigner und Gläubiger aufgefordert, zur vorläufigen Entscheidung des SRB mittels der Beantwortung von Fragebögen Stellung zu nehmen.Die beim SRB eingehenden Stellungnahmen waren allein mit einem alphanumerischen Code, einer nach dem Zufallsprinzip generierten 33-stelligen ID, gekennzeichnet. Nach deren Auswertung wurden einige Stellungnahmen zur Bewertung an eine unabhängige Gutachterin auf einen speziell dafür vorgesehenen virtuellen Server übermittelt. Auch die so übermittelten Stellungnahmen waren weiterhin allein mit dem alphanumerischen Code gekennzeichnet, der dem SRB zur Auditierung der Gutachtertätigkeit diente. Einen Zugang zu den im Rahmen der Registrierungsphase erhobenen Daten hatte die Gutachterin zu keinem Zeitpunkt.
Die im Abwicklungsverfahren vom SRB erstellten und den Betroffenen zugänglich gemachten Datenschutzhinweise enthielten keine Information darüber, dass personenbezogene Daten möglicherweise weitergegeben werden könnten. Hiergegen wandten sich mehrere Betroffene mit Beschwerden an den zuständigen Europäischen Datenschutzbeauftragten (EDSB). Er entschied u.a., dass es sich bei den übermittelten Daten um pseudonymisierte Daten handelte, so dass die Gutachterin als Empfängerin von personenbezogenen Daten zu bewerten sei, über die der SRB nicht informiert habe. Daher sei ein Verstoß gegen Art. 15 Abs. 1 Buchst. d VO 2018/1725 gegeben.
Gegen diese Entscheidung erhob der SRB erstinstanzlich u.a. Nichtigkeitsklage gem. Art. 263 AEUV vor dem EuG, welches dem SRB weitestgehend Recht gab und die Entscheidung des EDSB aufhob (EuG v. 26.4.2023 – T-557/20 – SRB, ITRB 2023, 176 f. [Kunczik] = CR 2023, 532 m. Anm. Schweinoch/Peintinger).
Die Entscheidung des Gerichtshofs
Der EuGH hob die Entscheidung des EuG auf und verwies sie teilweise an das Gericht zurück.Weite Auslegung:Es habe eine einheitliche und kohärente Auslegung des Begriffs „personenbezogene Daten“ i.S.v. Art. 3 Nr. 1 VO 2018/1725 sowie Art. 4 Nr. 1 DSGVO zu erfolgen. Dieser Begriff sei weit zu verstehen. Das EuG habe verkannt, dass die in den Stellungnahmen der Betroffenen enthaltenen persönlichen Meinungen eng mit den Personen verknüpft seien, sich somit auch auf diese bezögen.
Relativer Personenbezug bei Pseudonymisierung:Im Kern gehe es – anknüpfend an die Rechtsprechung des EuGH zum relativen Personenbezug (u.a. EuGH v. 7.3.2024 – C-604/22 – IAB Europe/Gegevensbeschermingsautoriteit, ITRB 2024, 117 ff. [Kunczik] = CR 2024, 312 m. Anm. Schweinoch/Peintinger) – um die Frage, ob diese übermittelten Informationen sich auf eine „identifizierbare“ natürliche Person bezögen. Technisch-organisatorische Maßnahmen, die zu einer Pseudonymisierung führten, könnten gleichzeitig Auswirkung darauf haben, ob es sich weiterhin um personenbezogene Daten handle. Aber aus Sicht des Verantwortlichen, der die Pseudonymisierung vorgenommen habe, blieben diese weiterhin personenbezogene Daten. Im Gegenzug könnten je Einzelfall dieselben pseudonymisierte Daten für Dritte sich durchaus als nicht personenidentifizierbar darstellen, wenn diese Dritte über keine Mittel verfügten und zu diesen Mitteln Zugang hätten, die nach allgemeinem Ermessen wahrscheinlich für die Identifizierung der betroffenen Personen genutzt werden könnten.
Verstoß gegen die Informationspflicht:Die Betroffenenrechte seien Ausdruck der datenschutzrechtlichen Grundsätze der Transparenz und Fairness. Betroffene sollten in voller Kenntnis der Sachlage entscheiden, ob sie ihre personenbezogenen Daten zur Verfügung stellten. Da die pseudonymisierten Daten aus Sicht der Verantwortlichen SRB weiterhin personenbezogene Daten darstellten, hätte der SRB die Betroffen über die Weitergabe der Daten an die Gutachterin informieren müssen, unabhängig davon, ob dieselben Daten für diese Gutachterin noch einen Personenbezug aufweisen würden. Es komme mithin allein auf das Verhältnis zwischen Verantwortlichem und den Betroffenen an.