Neue Perspektive – EuGH-Urteil zum relativen Personenbezug

Hin und wieder gibt es Urteile im Datenschutz, die derart brisant sind, dass sie unmittelbar Einzug in unsere Datenschutzschulungen finden. Ein solchen Urteil fällte der Europäische Gerichtshof (EuGH) mit seiner Entscheidung C-413/23 P vom 04. September 2025. Gegenstand des Urteils ist der sog. relative Personenbezug, also die Frage, für wen Daten in einer Verarbeitungskette als personenbezogen gelten. Der nun vom EuGH bestätigte relative Personenbezug kann dazu führen, dass für einzelne Empfänger die DSGVO bei bestimmten Verarbeitungen nicht länger anwendbar ist. Aus datenschutzrechtlicher Sicht ein bahnbrechendes Urteil und absolute Pflichtlektüre für Datenschützende. Wir haben die wesentlichen Erkenntnisse aus dem Urteil für Sie zusammengefasst:

Der Einheitliche Abwicklungsausschuss (Single Resolution Board – SRB) ist ein EU Behörde, die mit der Abwicklung insolvenzbedrohter Finanzinstitute beauftragt ist. Der SRB sendete im Rahmen einer Anhörungsverfahrens pseudonymisierte Stellungnahmen zur Auswertung an eine Wirtschaftsprüfungs- und Beratungsgesellschaft. Betroffene legten daraufhin Beschwerde beim Europäischen Datenschutzbeauftragten (EDSB) ein, da Sie über die Weitergabe ihrer personenbezogenen Daten nicht informiert wurden. Der EDSB rügte die fehlenden Informationen des SRB. Gegen die Entscheidung des EDSB zog der SRB vor das Europäische Gericht (EuG). Das EuG entschied 2023 (Az. T-557/20), dass ein Personenbezug für den Empfänger entfallen könne, sofern dieser nicht über Mittel zur Re-identifizierung verfüge (wir berichteten). Gegen diese Entscheidung wurden Rechtsmittel eingelegt, sodass der Fall durch den EuGH zu beurteilen war.

Aus dem Urteil des EuGH lassen sich drei wesentliche Erkenntnisse ableiten:

Zunächst bewertete der EuGH, ob Stellungnahmen, wie sie Gegenstand der Verarbeitung waren, einen Personenbezug aufweisen. Entgegen der Auffassung des EuG wurde diese Frage bejaht. Persönliche Meinungen oder Sichtweisen seien – ohne Rücksicht auf deren Inhalt und Zweck – als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft und im Grundsatz als personenbezogene Daten zu behandeln.

Der Personenbezug selbst kann jedoch nach Auffassung des EuGH nicht als absolut angesehen werden und kann für jeden Empfänger von Daten unterschiedlich beurteilt werden. Eine Pseudonymisierung von personenbezogenen Daten könne andere Personen als den Verantwortlichen tatsächlich wirksam daran hindern, die Betroffenen zu identifizieren. Liegt eine solche wirksame Pseudonymisierung vor, könne der Empfänger diese Daten nicht re-identifizieren. Dies hätte zur Folge, dass die Daten zwar für den Verantwortlichen personenbezogene Daten darstellen, für den Empfänger aber nicht.

Dennoch hat der Verantwortliche den Informationspflichten gegenüber den Betroffenen vollumfänglich zu erfüllen. Schließlich seien die Betroffenen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten zu informieren. Zu diesem Zeitpunkt waren die Personen für den Verantwortlichen identifizierbar. Daher könne diese Pflicht nicht dadurch entfallen, dass der Empfänger die Betroffenen nicht identifizieren könne.

Das Urteil des EuGH macht deutlich: Durch effektive technische und organisatorische Maßnahmen zum Datenschutz können Daten nutzbar gemacht werden. Wo eine strikte Anonymisierung nicht umsetzbar ist, kann eine faktische Anonymisierung für einzelne Empfänger erreicht werden. Dies eröffnet neue Möglichkeiten im Bereich Datennutzung und in der Forschung. Im Konzernumfeld ist besonders auf die Implementierung technischer und vertraglicher Maßnahmen zum Schutz der Pseudonymisierung zu achten. Die Verantwortlichkeit wird zudem ihre Grenzen finden, wenn pseudonymisierte Daten durch den Empfänger zu anderen Zwecken weiterverarbeitet werden. Für seinen eigene Verarbeitung muss der Verantwortliche dennoch vollumfänglich Transparenz gegenüber den Betroffenen herstellen.

In Zeiten, in denen die Stimmen nach weniger Bürokratie und Lockerungen im Datenschutz immer lauter werden, zeigt der EuGH, dass die DSGVO auch im Sinne der Verantwortlichen ausgelegt werden kann, ohne den Schutz der Betroffenen einzuschränken. Durch den Einsatz von künstlicher Intelligenz wird der (Wieder-)Herstellbarkeit eines Personenbezugs in den nächsten Jahren vermutlich immer größere Bedeutung zukommen. Dabei muss sich die Verantwortlichkeit von Stellen, die personenbezogene Daten durch verlässliche Maßnahmen schützen, eingrenzen lassen. Zu begrüßen ist daher auch, dass der Einzug des relativen Personenbezugs in die DSGVO aktuell im Entwurf des EU Digital Omnibus diskutiert wird.

Autorin: Rebecca Schimkat LL.M. (Manager)