EuGH zur Pseudonymisierung: Klare Regeln für Unternehmen im Umgang mit Daten?

Der Ausgangspunkt: Der Streit zwischen EDSB und SRB

Der Fall hatte seinen Ursprung in einem Verfahren des Single Resolution Board (SRB), einer EU-Behörde, die für die Abwicklung von Banken in Schieflage zuständig ist. Im Zuge eines Konsultationsverfahrens mussten Anteilseigner und Gläubiger ihre Stellungnahmen abgeben. Diese wurden von SRB-Mitarbeitern pseudonymisiert, indem Identifikatoren entfernt und Codes vergeben wurden. Anschließend übermittelte der SRB die pseudonymisierten Stellungnahmen an das Beratungsunternehmen Deloitte, das mit der Auswertung beauftragt war.

Der Europäische Datenschutzbeauftragte (EDSB) sah hierin einen Verstoß gegen die DSGVO und war der Auffassung, dass es sich bei den übermittelten Stellungnahmen um personenbezogene Daten handelt. Der SRB habe daher die Anforderungen der DSGVO nicht beachtet. Diese Sichtweise führte zu einem Rechtsstreit, der schließlich beim EuGH landete.

Der Gerichtshof stellte nun klar: Aus Sicht des SRB waren die Daten tatsächlich personenbezogen, weil die Behörde über zusätzliche Informationen verfügte, die eine Identifizierung ermöglichten. Deloitte hingegen hatte keinen Zugang zu diesen Informationen und konnte daher keinen Bezug zu konkreten Personen herstellen. Für Deloitte galten die Daten somit als anonymisiert.

Pseudonymisierung: Personenbezug bleibt für den Verantwortlichen bestehen

Das Urteil verdeutlicht, dass pseudonymisierte Daten für die Stelle, die sie pseudonymisiert hat, grundsätzlich personenbezogen bleiben. Denn nach der DSGVO ist jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht, personenbezogen. Wenn der Verantwortliche über Mittel verfügt, eine Person zu identifizieren, etwa über einen Schlüssel oder eine Zusatzdatenbank, besteht weiterhin ein Personenbezug.

Für Unternehmen lässt sich das anhand einfacher Beispiele illustrieren: Ein Onlinehändler speichert Kundenbestellungen mit einem Kundencode statt mit dem Klarnamen. Solange er intern eine Tabelle hat, die den Code der jeweiligen Person zuordnet, handelt es sich um personenbezogene Daten. Das gilt auch dann, wenn er die Bestelldaten für interne Analysen in pseudonymisierter Form an seine Marketingabteilung weitergibt.

Das Gericht verweist ausdrücklich auf Erwägungsgrund 26 DSGVO, wonach zu prüfen ist, ob eine Identifizierung „wahrscheinlich“ ist. Maßgeblich sind die „vernünftigerweise“ verfügbaren Mittel. Für den SRB war eine Re-Identifizierung zwar aufwendig, aber möglich. Daher musste er die DSGVO einhalten und die pseudonymisierten Stellungnahmen wie personenbezogene Daten behandeln.

Anonymisierung aus Empfängersicht: Keine Anwendung der DSGVO

Die zweite zentrale Feststellung des EuGH betrifft die Empfängerseite. Für Deloitte waren die übermittelten Daten anonym, weil keine realistische Möglichkeit zur Re-Identifizierung bestand. Das Beratungsunternehmen konnte die Stellungnahmen nur inhaltlich auswerten, nicht aber einer bestimmten Person zuordnen.

Für Unternehmen bietet das Urteil praxisnahe Orientierung. Ein Beispiel: Ein Hersteller übermittelt pseudonymisierte Produktions- und Qualitätsdaten an einen externen Statistikdienstleister, der keinerlei Zugang zu Kundeninformationen hat. Für den Hersteller sind die Daten personenbezogen, für den Statistikdienstleister hingegen anonym. Er muss die DSGVO nicht anwenden.

Damit betont der Gerichtshof, dass der Personenbezug relativ ist. Ob Daten personenbezogen sind, hängt nicht allein von ihrer objektiven Beschaffenheit ab, sondern von den tatsächlichen Umständen und den Möglichkeiten der jeweiligen Stelle. Das gleiche Datenpaket kann für den Übermittler personenbezogen sein, für den Empfänger aber anonym.

Pseudonymisierte Daten und die Rolle von Auftragsverarbeitern

Das EuGH-Urteil wirft auch Fragen zur Vertragsgestaltung auf. Wenn zwei Unternehmen Daten austauschen, können sie grundsätzlich entweder als unabhängige Verantwortliche handeln, in einem Verhältnis der Auftragsverarbeitung nach Art. 28 DSGVO stehen oder eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO begründen. Welche Konstellation vorliegt, hängt von den tatsächlichen Umständen ab.

Die spannende Frage lautet, ob diese Konstellationen auch dann gelten, wenn die Daten für den Empfänger anonym erscheinen, für den Übermittler jedoch weiterhin personenbezogen bleiben.

Ein anschauliches Beispiel macht dies deutlich. Ein Unternehmen übermittelt pseudonymisierte Kundendaten an einen Dienstleister, der die Daten ausschließlich für Analysen im Auftrag des Unternehmens verarbeitet. In einer solchen Situation wäre normalerweise ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO notwendig. Doch wenn die Daten für den Dienstleister tatsächlich anonym sind und keine Möglichkeit zur Re-Identifizierung besteht, stellt sich die Frage, ob ein solcher Vertrag noch erforderlich ist.

Auch bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO zeigt sich die Unsicherheit. Treffen zwei Unternehmen gemeinsame Entscheidungen über Zwecke und Mittel einer Verarbeitung, spricht vieles für eine gemeinsame Verantwortung. Erhält jedoch einer der Beteiligten die Daten nur in anonymisierter Form, könnte man argumentieren, dass die DSGVO auf ihn gar nicht anwendbar ist.

Hier bleibt das EuGH-Urteil offen. Klar ist lediglich, dass der Übermittler verantwortlich bleibt und sorgfältig prüfen muss, ob durch die Weitergabe eine datenschutzrechtliche Beziehung entsteht, die vertraglich abzusichern ist.

Der EuGH deutet dabei eine Argumentationslinie an, die in der Praxis erhebliche Bedeutung hat. Ein Empfänger, der tatsächlich nur anonyme Daten verarbeitet, ist definitionsgemäß kein Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Denn ein Auftragsverarbeiter verarbeitet stets personenbezogene Daten im Auftrag eines Verantwortlichen. Wenn für den Empfänger aber gar kein Personenbezug vorliegt, ist eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO nicht erforderlich. Unternehmen können dies vor allem dann nutzen, wenn Daten bereits vor der Weitergabe stark verschlüsselt oder durch technische Maßnahmen so abgesichert sind, dass eine Re-Identifizierung für den Empfänger ausgeschlossen bleibt.

Einordnung in die Rechtsprechung: Kontinuität und Fortschritt

Das Urteil reiht sich in eine Linie von Entscheidungen ein, die den relativen Personenbezug betonen. Bereits im Fall Breyer (C-582/14) entschied der EuGH, dass dynamische IP-Adressen für einen Websitebetreiber personenbezogen sind, wenn dieser über zusätzliche Informationen verfügt, während sie für andere Stellen anonym bleiben können. Auch im Verfahren IAB Europe (C-604/22) wurde auf die faktische Möglichkeit der Identifizierung abgestellt.

Neu am aktuellen Urteil ist jedoch die klare Herausarbeitung der unterschiedlichen Perspektiven. Damit schafft der Gerichtshof eine praxistaugliche Handlungsanweisung, die sowohl Unternehmen als auch Aufsichtsbehörden Orientierung bietet.

Praktische Folgen für Unternehmen

Für Unternehmen ergeben sich aus der Entscheidung verschiedene konkrete Konsequenzen. Bei der Pseudonymisierung ist stets zu berücksichtigen, dass der Personenbezug für die pseudonymisierende Stelle bestehen bleibt. Entsprechend sind alle Anforderungen der DSGVO einzuhalten, von der Rechtsgrundlage über Transparenzpflichten bis hin zu technischen und organisatorischen Maßnahmen.

Ein Beispiel aus dem Marketingbereich verdeutlicht dies. Viele Unternehmen nutzen pseudonymisierte Nutzungsdaten, um ihre Kampagnen zu optimieren. Solange der Verantwortliche theoretisch die Möglichkeit hat, Nutzerprofile wieder Personen zuzuordnen, handelt es sich um personenbezogene Daten. Werden dieselben Daten jedoch an einen externen Dienstleister weitergegeben, der keinerlei Möglichkeit zur Zuordnung besitzt, gelten sie für diesen Empfänger als anonym. Während der Dienstleister also keine Pflichten aus der DSGVO beachten muss, bleiben sie für den Verantwortlichen vollständig bestehen.

Auch beim Einsatz von Künstlicher Intelligenz zeigt sich die Tragweite des Urteils. Ein Unternehmen trainiert ein KI-System mit pseudonymisierten Kundendaten. Solange die Schlüssel intern verbleiben, sind die Daten für das Unternehmen personenbezogen. Werden sie hingegen an ein unabhängiges Forschungsinstitut weitergegeben, das keinen Bezug herstellen kann, gelten sie dort als anonym. Unternehmen müssen daher bei jedem Datenfluss sorgfältig prüfen, welche Perspektive gilt und welche Konsequenzen sich daraus ergeben.

Von besonderer Bedeutung erscheint zudem, dass der EuGH andeutet, dass vertragliche Regelungen zwischen Verantwortlichem und Empfänger erforderlich sein könnten. Sie sollten vor allem sicherstellen, dass der Empfänger keine Maßnahmen zur Re-Identifizierung trifft und die Daten ausschließlich zweckgebunden nutzt. Auch wenn die Daten aus Sicht des Empfängers anonym erscheinen, bleibt es Aufgabe des Verantwortlichen, diese Schutzmechanismen vertraglich abzusichern. In der Praxis wird dies teilweise als eine Art „Quasi-Auftragsverarbeitung“ verstanden, die insbesondere Vertraulichkeits- und Zweckbindungszusagen umfasst.

Darüber hinaus betont der EuGH, dass die Transparenzpflichten nach der DSGVO unberührt bleiben. Der Verantwortliche muss die Weitergabe pseudonymisierter Daten an Dritte gegenüber den Betroffenen offenlegen, auch dann, wenn diese Dritten selbst keinen Personenbezug mehr herstellen können. Entscheidend ist, dass die Informationspflichten nach Art. 13 DSGVO allein aus der Sicht des Verantwortlichen bestehen. Unternehmen müssen also in ihren Datenschutzhinweisen auch solche Empfänger nennen, für die die Daten faktisch anonym sind. Der EuGH begründet dies mit dem Zeitpunkt der Erhebung. Schon zu diesem Zeitpunkt muss der Betroffene die Möglichkeit haben, über eine Weitergabe an Dritte informiert zu werden, auch wenn diese Dritten keinen Personenbezug herstellen können. Für die Praxis bedeutet das, dass Datenschutzhinweise nicht verkürzt werden dürfen, Empfänger oder zumindest Empfängerkategorien sind stets transparent zu benennen.

Unternehmen sollten zudem dokumentieren, warum Daten für einen Empfänger anonym sind, etwa durch Nachweise über technische und organisatorische Maßnahmen, Zertifikate oder unabhängige Audits. Diese Dokumentation stärkt nicht nur die Rechtsposition gegenüber Aufsichtsbehörden, sondern schafft auch Nachvollziehbarkeit im Unternehmen selbst.

Schließlich zeigt das Urteil, dass die DSGVO flexibel genug ist, um neue Formen digitaler Zusammenarbeit zu erfassen, sei es in Cloud-Umgebungen, beim Einsatz von KI oder in datengetriebenen Wertschöpfungsketten. Für Unternehmen bedeutet das, ihre Datenprozesse regelmäßig zu überprüfen und die jeweilige Einordnung sorgfältig zu dokumentieren.

Offene Fragen und Ausblick

Das Urteil beantwortet nicht alle Fragen. Besonders spannend ist die Diskussion, wie sich die neue Perspektive auf künftige Entwicklungen wie den Data Act oder den Einsatz von KI-Systemen auswirken wird. Wenn Daten in komplexen Wertschöpfungsnetzen zwischen mehreren Akteuren zirkulieren, wird es noch schwieriger, eine klare Linie zwischen personenbezogen und anonym zu ziehen.

Auch bleibt die Frage offen, wie sich die Pflichten des Empfängers entwickeln, wenn Daten im Laufe der Zeit wieder personenbezogen werden. Denkbar ist etwa, dass neue Technologien oder externe Datenquellen eine Re-Identifizierung ermöglichen, die zum Zeitpunkt der Übermittlung ausgeschlossen war. Hier könnte künftig die Pflicht entstehen, den Status der Daten regelmäßig zu überprüfen.

Fazit

Das EuGH-Urteil bringt wichtige Klarheit für Unternehmen. Pseudonymisierte Daten bleiben für die Stelle, die sie pseudonymisiert hat, personenbezogen. Für Empfänger ohne Re-Identifizierungsmöglichkeit sind sie anonym. Damit bestätigt der Gerichtshof einen relativen Ansatz, der den praktischen Gegebenheiten Rechnung trägt und zugleich die Rechte der Betroffenen schützt.

Unternehmen sollten die Entscheidung zum Anlass nehmen, ihre Datenflüsse kritisch zu analysieren und ihre Verträge auf die neue Rechtslage abzustimmen. Unsere Kanzlei unterstützt Sie dabei mit praxisnahen Lösungen für derartige komplexe Datenschutzfragen.