EuGH-Urteil: Pseudonymisierte Daten bleiben personenbezogen

Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 (C-413/23 P) schafft mehr rechtliche Klarheit bezüglich der Einstufung von pseudonymisierten Daten. Das Gericht hat entschieden, dass solche Daten weiterhin als personenbezogen gelten, solange der Datenverantwortliche über die Mittel zur Re-Identifizierung der betroffenen Person verfügt.

Perspektive des Verantwortlichen ist entscheidend

Im Mittelpunkt des Urteils steht, dass der Personenbezug von der Perspektive des Datenverantwortlichen aus zu beurteilen ist. Es ist unerheblich, ob der Empfänger der pseudonymisierten Daten die betreffende Person nicht identifizieren kann. Diese Sichtweise bestätigt, dass die Weitergabe von pseudonymisierten Datensätzen an Dritte die datenschutzrechtlichen Verpflichtungen des Verantwortlichen nicht aufhebt.

Konsequenzen für die Praxis

Das Urteil unterstreicht die Notwendigkeit, Pseudonymisierung nicht mit Anonymisierung gleichzusetzen. Für die praktische Anwendung ergeben sich folgende Implikationen:

• Datenschutzrechtliche Pflichten: Die Pflichten aus der DS-GVO, insbesondere das Prinzip der Datenminimierung und die Informationspflicht, bleiben für pseudonymisierte Daten in vollem Umfang anwendbar.
• Transparenz: Die betroffenen Personen müssen über die Weitergabe ihrer Daten informiert werden, selbst wenn der Empfänger keine Re-Identifizierung vornehmen kann.
• Vertragsgestaltung: Die Urteilsbegründung deutet auf die Notwendigkeit hin, vertragliche Regelungen zu treffen, die den Zugriff auf re-identifizierende Informationen ausschließen oder den Empfänger zur Einhaltung des Datenschutzrechts verpflichten.

(Foto:  Imagecreator – stock.adobe.com)