Der Europäische Gerichtshof hat in einem Urteil vom 4.9.2025 (C-413/23 P, https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=17523724) wichtige Aussagen dazu gemacht, wann Daten einen Personenbezug aufweisen und wie weit die Pflicht der verantwortlichen Stelle geht, Betroffene darüber zu informieren, an welche Empfänger solche Daten weitergegeben werden sollen. Das hat erhebliche praktische Auswirkungen auf die Anwendung der Datenschutz-Grundverordnung.
Der Gerichtshof hat zum einen klargestellt, dass pseudonymisierte Daten weder von vornherein immer als personenbezogen noch als nicht personenbezogen angesehen werden können. Vielmehr muss die verantwortliche Stelle stets im Einzelfall entscheiden, wie hoch das Risiko ist, dass ein bestimmter Datensatz einer natürlichen Person zugeordnet werden kann. Auch muss berücksichtigt werden, ob der Verantwortliche an sich nicht personenbezogene Daten durch das von Dritten beschaffte Zusatzwissen doch einem bestimmten Menschen zugeordnet werden können. Auch können nicht personenbezogene Daten nach der Weitergabe an Dritte zu personenbezogenen Daten werden, wenn diese über Mittel verfügen, die nach allgemeinem Ermessen die Herstellung eines Personenbezugs wahrscheinlich machen. Damit bekräftigt der Gerichtshof seine bisherige Rechtsprechung.
In einem zentralen Punkt hat der Gerichtshof zudem dem Europäischen Datenschutzbeauftragten Recht gegeben und das Urteil des erstinstanzlichen Europäischen Gerichts aufgehoben. Der Datenschutzbeauftragten hatte ein EU-Organ, das für die Abwicklung von Banken zuständig ist, verwarnt, weil dieses Organ Stellungnahmen von Aktionären in pseudonymisierter Form an ein Wirtschaftsprüfungsunternehmen weitergegeben hatte, ohne die Aktionäre vorher darüber zu informieren. Nach Auffassung der Gerichtshofs besteht diese Informationspflicht nämlich unabhängig davon, ob tatsächlich eine (wirksame) Pseudonymisierung vor der Weitergabe stattgefunden hat. Denn das EU-Organ war bereits bei Einholung der personenbezogenen Stellungnahmen bei den Aktionären diesen gegenüber zu Information darüber verpflichtet, wie mit den Stellungnahmen weiter verfahren wird. Diese Pflicht kann – so der Gerichtshof – nicht davon abhängen, ob der spätere Empfänger die Möglichkeit hat, die übermittelten Daten einer bestimmten Person zuzuordnen.
Die EAID hatte in einer Stellungnahme vom April 2023 bereits die Auffassung des Europäischen Datzenschutzbeauftragten unterstützt.
Dr. Alexander Dix