In einem aktuellen Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) klargestellt: Pseudonymisierte Daten gelten auch dann als personenbezogene Daten, wenn sie an Dritte weitergegeben werden.
Für Unternehmen bedeutet dies, dass die Pseudonymisierung sie nicht automatisch von den Informationspflichten oder anderen Anforderungen der DSGVO befreit.
Worum ging es im Fall?
In Kurzform
Eine EU-Behörde hatte Stellungnahmen von Betroffenen pseudonymisiert und anschließend an ein Beratungsunternehmen weitergegeben. Die Betroffenen wurden darüber jedoch nicht informiert. Der EU-Datenschutzbeauftragte sah darin einen Verstoß gegen die DSGVO. Nun bekam er vom EuGH recht.
Zusätzliche Hintergrundinformationen
Der Streit hatte seinen Ursprung in der Abwicklung der spanischen Banco Popular Español. Der zuständige Einheitliche Abwicklungsausschuss (SRB) prüfte dabei, ob ehemalige Aktionäre und Gläubiger Anspruch auf Entschädigung haben. Betroffene konnten dazu Stellungnahmen einreichen, die der SRB später in pseudonymisierter Form an das Beratungsunternehmen Deloitte zur Auswertung weitergab.
Mehrere Personen beschwerten sich beim EU-Datenschutzbeauftragten (EDSB), da sie nicht über die Weitergabe ihrer Daten informiert worden waren. Der EDSB sah darin einen Verstoß gegen die DSGVO, da trotz Pseudonymisierung noch Rückschlüsse auf die Verfasser möglich gewesen wären.
Der SRB legte Einspruch ein und bekam zunächst beim Gericht der Europäischen Union (EuG) Recht. Dieses entschied, dass entscheidend sei, ob die Daten für Deloitte als Empfänger personenbezogen waren. Erst in der Berufung stellte der Europäische Gerichtshof (EuGH) jedoch klar, dass maßgeblich die Sicht des ursprünglichen Verantwortlichen, also des SRB, sei. Damit wurde das Urteil aufgehoben und die Befugnisse des EDSB gestärkt.
Kernbotschaften des Urteils
- Pseudonymisierung ≠ Anonymisierung
Auch wenn Namen oder direkte Identifikatoren entfernt sind, können die Daten noch einen Personenbezug haben. - Sicht des Datenverantwortlichen ist entscheidend
Maßgeblich ist nicht, ob der Empfänger die Daten einer Person zuordnen kann, sondern ob der ursprüngliche Verantwortliche dies könnte. - Informationspflicht bleibt bestehen
Betroffene müssen über eine geplante Weitergabe ihrer Daten informiert werden. Dies gilt sogar dann, wenn der Empfänger die Daten faktisch nicht mehr einer Person zuordnen kann.
Was bedeutet das für Unternehmen?
Für die Praxis ergeben sich drei zentrale Konsequenzen:
- 1. Keine „Abkürzungen“ durch Pseudonymisierung
Auch pseudonymisierte Daten sind in der Regel personenbezogen und unterliegen den Pflichten der DSGVO. - 2. Transparenz stärken
Betroffene sind rechtzeitig (also vor einer Weitergabe) zu informieren. Ein Hinweis „die Daten sind ja pseudonymisiert“ reicht nicht. - 3. Dokumentation und Prozesse prüfen
Unternehmen sollten sicherstellen, dass sie Informationspflichten klar geregelt haben und dies auch nachweisen können.
Fazit
Der EuGH hat die Verantwortung eindeutig beim Datenverarbeiter verortet. Unternehmen sind auch bei pseudonymisierten Daten dazu verpflichtet, die Anforderungen der DSGVO einzuhalten.
Wer hier sauber dokumentiert, transparent informiert und technische Maßnahmen mit organisatorischen Pflichten kombiniert, reduziert rechtliche Risiken und stärkt gleichzeitig das Vertrauen von Kunden, Partnern und Mitarbeitern.
Wenn Sie unsicher sind, wie Sie die neuen Vorgaben des EuGH in Ihrem Unternehmen umsetzen sollen oder ob Ihre aktuellen Prozesse den Anforderungen der DSGVO entsprechen, helfen wir Ihnen gerne weiter. Unsere Experten stehen Ihnen bei allen datenschutzrechtlichen Fragestellungen zur Seite – praxisnah, verständlich und lösungsorientiert.
