Pseudonymisierte Daten sind nicht in jeder Konstellation personenbezogene Daten
In seinem Urteil vom 04.09.2025 (Rechtssache C‑413/23 P) hat der EuGH hat den Begriff der personenbezogenen Daten konkretisiert. Demnach sind pseudonymisierte Daten nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten.
Was ist eine Pseudonymisierung?
Unter Pseudonymisierung versteht man ein Verfahren, bei dem personenbezogene Daten so verändert werden, dass sie nicht mehr direkt einer Person zugeordnet werden können. Der Bezug zur Person bleibt zwar erhalten, ist aber nur über zusätzliche Informationen herstellbar – zum Beispiel über eine gesonderte Liste oder einen Schlüssel.
Dies erfordert aber, dass diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Kurz gesagt: Pseudonymisierung macht Daten nicht anonym, aber sie erschwert den direkten Personenbezug erheblich und erhöht so den Datenschutz.
Pseudonyme Daten sind also keine anonymisierten Daten, für welche die DDGVO (oder das DSG-EKD) grundsätzlich nicht gilt.
Mit der Umsetzung technischer und organisatorischer Maßnahmen soll aber das Risiko verringert werden, dass ein bestimmter Datensatz mit der Identität der betroffenen Personen in Verbindung gebracht wird.
Auswirkung auf Personenbezug
Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten auswirken.
In diesem Fall sind pseudonymisierte Daten für den Empfänger nicht mehr personenbezogen. Der EuGH betont aber, dass der Empfänger der Daten keine Mittel zur Identifizierung haben darf.
Keine Mittel zur Identifizierung
Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Informationspflicht bereits bei der Erhebung
Zudem bestätigt der EuGH, dass die Informationspflicht bereits bei der Erhebung personenbezogener Daten entsteht und nicht erst bei deren späterer Pseudonymisierung und Weitergabe an Dritte.
Fazit
Für Unternehmen und Vereine bedeutet der Einsatz pseudonymisierter Daten eine wertvolle Möglichkeit, Datenschutz und Datenverarbeitung in Einklang zu bringen. Wichtig ist:
- Beim Empfänger entscheidet der Kontext. Werden pseudonymisierte Daten an einen Auftragsverarbeiter oder anderen Empfänger weitergegeben, gelten sie für diesen nur dann als nicht personenbezogen, wenn er keinerlei Mittel hat, die Daten wieder einer Person zuzuordnen.
- Technische und organisatorische Maßnahmen sind Pflicht. Die Trennung der Zusatzinformationen (z. B. Schlüssel oder Listen) und deren Schutz müssen konsequent umgesetzt werden. Nur so kann die Pseudonymisierung ihre rechtliche Wirkung entfalten.
- Informationspflicht bleibt bestehen. Unternehmen müssen schon bei der Erhebung klar kommunizieren, dass personenbezogene Daten verarbeitet werden – auch wenn diese später pseudonymisiert weitergegeben werden.
Für die Praxis heißt das: Pseudonymisierung kann das Risiko und die rechtlichen Anforderungen deutlich reduzieren, ersetzt aber keine vollständige Anonymisierung. Unternehmen sollten prüfen, ob der Empfänger tatsächlich keine Re-Identifizierungsmöglichkeit hat – erst dann greift die Entlastung.
Verwandte Beiträge
900.000 Euro Bußgeld wegen nicht gelöschter DatenWeil personenbezogene Daten trotz abgelaufener Löschfristen bis zu fünf Jahre unrechtmäßig gespeichert wurden, verhängte der…
Personenbezogene Daten einer AuskunftNach Art. 15 DSGVO hat jede Person das Recht, von einem Verantwortlichen eine Bestätigung zu…
Betroffenenrechte im MeldeverfahrenHinweisgeberschutz versus Datenschutz: Einschränkungen der Betroffenenrechte im Meldeverfahren Kernidee des neuen Hinweisgeberverfahrens in der internen…