Logo Heussen
  • Home
  • Über Uns
  • Expertise
  • Team
  • Aktuelles
  • Karriere
  • Kontakt
  • LinkedIn

Home Aktuelles News

IT/Datenschutz

EuG klärt Fragen zur Pseudonymisierung und dem Personenbezug von Daten

Hintergrund: Der Fall Banco Popular und die Datenweitergabe

Der Gerichtshof der Europäischen Union (EuG) hat am 4. September 2025 in der Rechtssache C-413/23 P ein Urteil gefällt, das sich grundlegend mit der Frage auseinandersetzt, wann pseudonymisierte Daten als personenbezogen einzustufen sind. Anlass war die Abwicklung der spanischen Bank Banco Popular Español, bei der der Einheitliche Abwicklungsausschuss (SRB) Stellungnahmen betroffener Gläubiger und Anteilseigner einholte und diese in pseudonymisierter Form zur Bewertung an die Beratungsgesellschaft Deloitte weitergab. Betroffene beschwerten sich, weil sie über die Datenübermittlung nicht informiert worden waren.

Wann ist eine Information „personenbezogen“?

Der zentrale Punkt des Urteils: Pseudonymisierte Daten sind nicht automatisch anonymisiert. Ob sie als personenbezogen einzustufen sind, hängt wesentlich davon ab, ob und für wen eine Identifizierbarkeit besteht. Der EuGH stellt klar: Wer – wie der ursprüngliche Datenverarbeiter (der SRB) – über zusätzliche Informationen verfügt, mit denen eine Re-Identifizierung der betroffenen Person möglich ist, für den sind die Daten weiterhin personenbezogen. Es genügt also nicht, Namensangaben durch einen Code zu ersetzen, wenn sich die Identität durch Rückgriff auf Zusatzinformationen weiterhin entschlüsseln lässt.

Die maßgebliche Perspektive

Der EuG hebt hervor, dass es auf die Perspektive des Verantwortlichen zum Zeitpunkt der Erhebung und Übermittlung ankommt. Kann dieser die Person (theoretisch oder praktisch) identifizieren, gelten die Daten weiterhin als personenbezogen. Für den Empfänger – in diesem Fall Deloitte – kommt es darauf an, ob er realistisch Zugang zu Zusatzinformationen hat, um die Identifikation herstellen zu können. Technische und organisatorische Maßnahmen, die eine Re-Identifizierung für Dritte tatsächlich unterbinden, bewirken, dass aus Sicht des Empfängers keine personenbezogenen Daten mehr vorliegen. Der EuGH vertritt somit die Theorie des relativen Personenbezugs. Der Personenbezug ist subjektiv und aus Sicht des jeweiligen Verarbeiters  zu bestimmen.

Relevanz für die Informationspflicht

Der übermittelnde Verantwortliche kann sich nicht darauf berufen, dass der Empfänger keinen Personenbezug mehr hat, um sich seinen eigenen Informationspflichten zu entziehen.

Im konkreten Fall wurde betont, dass die Informationspflicht – insbesondere die Pflicht, über den Empfänger der Daten zu informieren – bereits dann entsteht, wenn der Verantwortliche die Übermittlung vorbereitet und durchführt. Es spielt keine Rolle, ob die Daten für den Empfänger nach der Pseudonymisierung noch identifizierbar sind. Maßgeblich ist die Situation zum Zeitpunkt der ursprünglichen Verarbeitung.

Praxisfolgen 

Wenn der Empfänger personenbezogener Daten nicht identifizieren kann, sind diese für ihn anonym. Die Nutzung der Mittel zur Identifizierung darf nicht nur theoretisch möglich, dies muss auch praktisch und realistischerweise umsetzbar sein.

Der Verantwortliche ist bei einer Pseudonymisierung nicht von den Transparenz- und Informationspflichten entbunden.

Aktuelles

Autor

Faussner Kreis

Ihr Ansprechpartner

Dr. Robert Faußner, M.A. T +49 89 290 97 161 robert.faussner@heussen-law.de