10.09.2025
Zurück zur Übersicht
Zurück zur Übersicht
10.09.2025

EuGH konkretisiert Personenbezug

EuGH konkretisiert Personenbezug und Anonymisierung

Der Europäische Gerichtshof (EuGH) hat am 4. September 2025 ein wichtiges Urteil gefällt. Es geht um die Frage, wann Daten als personenbezogen gelten und wann sie als anonymisiert einzustufen sind. Damit wird die Anwendbarkeit der DSGVO geschärft und eine seit Jahren offene Rechtsfrage weiter konkretisiert.

Was der EuGH entschieden hat

Der EuGH stellt klar: Personenbezogene Daten liegen schon dann vor, wenn eine Person identifiziert oder identifizierbar ist. Dazu reicht es aus, dass eine verantwortliche Stelle oder eine andere Stelle über zusätzliche Informationen verfügt, die eine Re-Identifizierung möglich machen. Auch persönliche Meinungen oder Bewertungen über eine Person gehören dazu.

Pseudonymisierte Daten bleiben personenbezogen, wenn eine Rückführung auf eine Person mit vertretbarem Aufwand möglich ist. Nur wenn Empfänger keine realistische Möglichkeit haben, Zusatzinformationen zu nutzen, können sie die Daten als anonymisiert ansehen. Damit knüpft der EuGH an sein Urteil in der Rechtssache Breyer von 2016 an, in dem IP-Adressen als personenbezogen eingestuft wurden.

Im aktuellen Verfahren ging es um den Einheitlichen Abwicklungsausschuss (Single Resolution Board, SRB). Dieser hatte Gläubigerdaten mit Kennziffern versehen und an ein Drittunternehmen übermittelt. Aus Sicht des SRB waren die Daten pseudonymisiert, weil nur er die Kennziffern zuordnen konnte. Aus Sicht des Drittunternehmens waren die Daten anonymisiert, weil es keine Möglichkeit hatte, die Identität der Gläubiger zu ermitteln. Der EuGH bestätigte diesen differenzierten Ansatz: Die Bewertung hängt davon ab, welche Mittel der jeweiligen Stelle tatsächlich zur Verfügung stehen.

Warum das Urteil wichtig ist

Das Urteil zeigt klar, dass Pseudonymisierung nicht gleich Anonymisierung ist. Unternehmen dürfen sich nicht darauf verlassen, dass eine Kennziffer oder Verschlüsselung automatisch die Anforderungen erfüllt. Entscheidend ist, ob eine Identifizierung durch die verantwortliche Stelle oder Dritte praktisch möglich bleibt.

Damit setzt der EuGH die Linie seiner bisherigen Rechtsprechung fort. Er stellt die Perspektive der jeweils verantwortlichen Stelle in den Mittelpunkt. Das bedeutet: Ein Datensatz kann aus Sicht einer Stelle personenbezogen sein, aus Sicht einer anderen Stelle aber anonymisiert.

Was Unternehmen jetzt tun sollten

Unternehmen müssen prüfen, ob Daten in ihrem konkreten Kontext noch einem Personenbezug unterliegen. Verfahren zur Pseudonymisierung oder Anonymisierung müssen dokumentiert und technisch so ausgestaltet sein, dass ein Rückschluss auf Einzelpersonen ausgeschlossen ist. Nur so entfällt die Anwendung der DSGVO.

Die Frage lässt sich auf zwei Prüfpunkte herunterbrechen. Erstens: Gibt es in Ihrer Organisation oder bei Partnern zusätzliche Informationen, die eine Identifizierung möglich machen? Zweitens: Ist die Re-Identifizierung mit einem Aufwand verbunden, der realistisch betrachtet geleistet werden kann? Wenn beide Fragen zu bejahen sind, handelt es sich nicht um anonymisierte Daten.

Weiterführende Links

Das Urteil finden Sie hier: EuGH, Urteil vom 4.9.2025 – C-741/21.
Relevante Grundlagen: Artikel 4 DSGVO (Begriffsbestimmungen) und Erwägungsgrund 26 DSGVO. Es macht deutlich, dass Unternehmen ihre Verfahren kritisch überprüfen müssen. Nur eine realistisch nicht mögliche Identifizierung schafft echte Anonymität. Alles andere bleibt personenbezogen und unterliegt der DSGVO.

Sind Sie sicher, ob Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks