Wann können nach dem EuGH‑Urteil (C‑413/23 P, 4 Sept. 2025) pseudonymisierte Daten nicht mehr als personenbezogene Daten eingestuft werden?
Das Urteil legt fest, dass die Frage nicht per se an der bloßen Existenz einer Pseudonymisierung scheitert, sondern daran, ob nach dem gesamten Umstand des Einzelfalls die betroffene Person identifizierbar bleibt. Nur wenn die pseudonymisierten Daten – trotz aller vorhandenen Zusatzinformationen – für keinen „verantwortlichen“ oder „anderen” Akteur mehr mit einer zumutbaren Anstrengung (unter Berücksichtigung der zum Zeitpunkt der Verarbeitung verfügbaren Technik) zuordnungsfähig sind, fallen sie aus dem Geltungsbereich von Art. 3 Nr. 1 und Nr. 6 der Verordnung (EU) 2018/1725 heraus.
Die Voraussetzungen, die das Gericht als entscheidend für das Nicht‑Personenbezogen‑Sein identifiziert hat, lassen sich in vier übergeordnete Kriterien bündeln:
| # | Voraussetzung (nach dem Urteil) | Kurzbeschreibung |
|---|---|---|
| 1️⃣ | Wirksame technische und organisatorische Maßnahmen | Die Pseudonymisierung muss so ausgestaltet sein, dass die zusätzlichen Informationen (z. B. Schlüssel‑ oder Code‑Listen), die eine Re‑Identifizierung ermöglichen würden, getrennt, sicher verwahrt und nur autorisierten Personen zugänglich sind. Die Maßnahme muss nachweislich verhindern, dass ein Dritter – selbst wenn er die pseudonymisierten Daten erhält – ohne erheblichen Aufwand (z. B. Entschlüsselung, Kombinieren mit anderen Quellen) die Person identifizieren kann. |
| 2️⃣ | Keine zumutbare Möglichkeit zur Wieder‑Identifizierung | Es muss objektiv beurteilt werden, dass alle Personen, die die pseudonymisierten Daten erhalten (einschließlich potenzieller Weiterempfänger), nicht wahrscheinlich in der Lage sind, die betroffene Person zu identifizieren. Die Bewertung berücksichtigt: • Kosten und Zeitaufwand für eine mögliche Identifizierung; • den Stand der verfügbaren Technologie und technologische Entwicklungen zum Zeitpunkt der Verarbeitung; • das Vorhandensein von sonstigen Datenquellen, mit denen ein Abgleich (Linkage‑Attack) durchgeführt werden könnte. |
| 3️⃣ | Keine rechtliche Verpflichtung oder Erlaubnis zur Identifizierung | Es darf weder eine gesetzliche Pflicht noch eine vertragliche Berechtigung bestehen, die dem Empfänger das Recht gibt, die zusätzlichen Informationen zu verlangen oder zu nutzen, um die Person zu identifizieren. Fehlt ein solcher Anspruch, bleibt die Re‑Identifizierbarkeit theoretisch zwar möglich, praktisch aber nicht zulässig. |
| 4️⃣ | Ergebnis der Gesamtprüfung aus Sicht des Verantwortlichen <br> (und – falls relevant – aus Sicht eines „anderen“ Akteurs) | Die Informationspflicht nach Art. 15 Abs. 1 d) DSGVO ist bereits zum Zeitpunkt der Datenerhebung zu beurteilen. Das Gericht betont, dass die Perspektive des Verantwortlichen maßgeblich ist: wenn dieser die Person eindeutig identifizieren kann, gelten die Daten als personenbezogen – selbst wenn ein Dritter dies nicht kann. Nur wenn alle potenziell berechtigten Akteure (Verantwortlicher und mögliche Empfänger) die Daten nicht mehr zuordnen können, verlieren sie den Personenbezug. |
Praktische Konsequenzen:
Pseudonymisierung allein reicht nicht aus, um den Anwendungsbereich der Verordnung auszuschließen. Der Verantwortliche muss nachweisen, dass die oben genannten Kriterien erfüllt sind (z. B. durch Dokumentation von Schlüssel‑Management‑Verfahren, Risiko‑Analysen zur Re‑Identifizierbarkeit und Nachweis, dass keine Rechtsgrundlage zur Identifizierung besteht). Wenn Zweifel an einer der Voraussetzungen bestehen – etwa weil ein Dritter über ergänzende Daten verfügt oder die technischen Schutzmaßnahmen nicht ausreichend sind – bleiben die Daten personenbezogen und unterliegen den vollen Pflichten (Informationspflicht, Rechenschaftspflicht usw.).