EuGH konkretisiert die Relativität des Personenbezugs
TCI Rechtsanwälte > IT-Vertragsrecht & Outsourcing > IT-Sicherheitsrecht > EuGH konkretisiert die Relativität des Personenbezugs

EuGH konkretisiert die Relativität des Personenbezugs

31.03.2026 Datenschutz und Compliance

Mit Urteil vom 04. September 2025 (Rs. C-413/23 P) hat der EuGH zentrale Fragen zur Relativität des Personenbezugs, insbesondere zur datenschutzrechtlichen Einordnung pseudonymisierter Daten geklärt und zugleich die Anforderungen an Informationspflichten gegenüber Betroffenen präzisiert. Die Entscheidung hat erhebliche praktische Relevanz, insbesondere im Kontext von Datenweitergaben an Dritte.

Hintergrund des Verfahrens

Ausgangspunkt war die Bankenabwicklung der spanischen Banco Popular, in deren Verlauf Entschädigungsansprüche früherer Gläubiger und Anteilseigner geprüft wurden. Der zuständige europäische Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) hat in diesem Zusammenhang Stellungnahmen der betroffenen Anteilseigner und Gläubiger erhoben. Diese Stellungnahmen wurden anschließend mit einem 33-stelligen Code pseudonymisiert und an den externen Dienstleister Deloitte weitergeleitet. Dabei verfügte nur das SRB über die zusätzlichen Informationen, die eine Personenidentifizierung ermöglicht hätte.

Der Europäische Datenschutzbeauftragte (EDSB) sah hierin einen Verstoß gegen die Informationspflichten gem. Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725, da die Betroffenen nicht durch das SRB als verantwortliches Organ über die Weitergabe ihrer Daten informiert worden seien. Das SRB hielt dem entgegen, es habe sich bei den übermittelten Daten nicht um personenbezogene Daten gehandelt.

Das SRB erhob gegen die Entscheidung des EDSB Klage vor dem Gericht erster Instanz der Europäischen Union, dem EuG. Dieses hat der Klage des SRB zunächst stattgegeben und die Entscheidung des EDSB für nichtig erklärt.

Der EuGH hat hingegen einen Verstoß gegen die Informationspflichten der Verordnung (EU) 2018/1725 festgestellt. Zudem ist das Urteil, wie der EuGH deutlich gemacht hat, auch für die Anwendung der DSGVO von Bedeutung, da Art. 3 Nr. 1 VO (EU) 2018/1725 und Art. 4 Nr. 1 DSGVO übereinstimmen und gleich ausgelegt werden, um eine einheitliche und kohärente Anwendung des Unionsrechts zu gewährleisten.

Kernaussagen des EuGH

Der EuGH bestätigt zunächst seine bisherige Linie nach der der Begriff der personenbezogenen Daten weit auszulegen ist. Er umfasst grundsätzlich alle Informationen, die sich auf eine Person beziehen.

Dabei ist besonders hervorzuheben, dass Stellungnahmen, Meinungen und Bewertungen regelmäßig personenbezogene Daten sind, sowie eine gesonderte Prüfung von Zweck oder Auswirkungen nicht erforderlich ist, wenn bereits der Inhalt eine persönliche Sichtweise widerspiegelt. Damit stellt der EuGH klar, dass subjektive Inhalte nahezu immer einen Personenbezug aufweisen.

Die Pseudonymisierung ist kein Ausschlusskriterium für den Personenbezug. Entscheidend ist vielmehr, ob die betroffene Person identifizierbar ist.

Der EuGH betont dabei die Relativität des Personenbezugs: Daten können für einen Verantwortlichen pseudonym, für einen anderen Verantwortlichen anonym sein. Im vorliegenden Fall bleiben die Daten für den Verantwortlichen (hier: SRB), der über Zusatzinformationen verfügt, personenbezogen. Für einen Empfänger (hier: Deloitte) können dieselben Daten unter Umständen nicht personenbezogen sein – sofern eine Identifizierung praktisch ausgeschlossen ist. Damit kommt es stets auf die konkrete Perspektive und die tatsächlich verfügbaren Identifizierungsmöglichkeiten an. Die datenschutzrechtlichen Vorgaben fänden insoweit für den Empfänger keine Anwendung.

Weiterhin stellt der EuGH klar, dass die Identifizierbarkeit nach objektiven Kriterien zu beurteilen ist. Dabei ist unter anderem einzubeziehen, welche Mittel realistischerweise zur Verfügung stehen, wie hoch Aufwand, Kosten und Zeit sind sowie bestehende rechtliche Hindernisse. Ist eine Identifizierung nur mit unverhältnismäßigem Aufwand möglich, kann der Personenbezug entfallen.

Besonders praxisrelevant ist die Klarstellung zu Art. 15 VO (EU) 2018/1725, die der EuGH vorgenommen hat. Die Informationspflicht gegenüber Betroffenen über möglichen Drittempfänger von Daten besteht bereits zum Zeitpunkt der Datenerhebung und unabhängig davon, ob es sich für den Empfänger um personenbezogene Daten handelte oder nicht. Maßgeblich ist also die Perspektive des Verantwortlichen, hier des SRB und nicht die des späteren Empfängers, hier Deloitte.

Das bedeutet, dass auch wenn Daten beim Empfänger möglicherweise keinen Personenbezug mehr haben, muss deren Weitergabe entsprechend der Informationspflichten vorab offengelegt werden, sofern sie beim Verantwortlichen personenbezogen sind.

Fazit

Der EuGH schärft mit diesem Urteil die dogmatischen Grundlagen des Datenschutzrechts, bringt Klarstellung für den Umgang mit pseudonymisierten Daten und stärkt zugleich die Rechte der Betroffenen. Die Relativität des Personenbezugs wird vom EuGH entsprechend seiner bisherigen Linie aufrechterhalten. Für die Praxis bedeutsam ist aber, dass Unternehmen Datenübermittlungen auch dann als datenschutzrechtlich relevant behandeln sollten, wenn die Daten für den Empfänger anonym, für das übermittelnde Unternehmen aber nur pseudonym ist.

Autor

Carsten Gerlach
Carsten Gerlach

Partner, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gie­recht

TCI Rechts­an­wäl­te Ber­lin

  • LinkedIn