Auch pseudonymisierte Daten können unter bestimmten Umständen personenbezogene Daten enthalten. Der Gerichtshof präzisiert die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte.
Der Gerichtshof hebt das Urteil des Gerichts, mit dem die Entscheidung des Europäischen Datenschutzbeauftragten für nichtig erklärt wurde, auf.
Nach der Abwicklung von Banco Populär Espanol erließ der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) am 7. Juni 2017 eine vorläufige Entscheidung darüber, ob ehemaligen Anteilseignern und Gläubigern dieser Bank aufgrund ihrer Abwicklung eine Entschädigung gewährt werden müsse. Da die betroffenen Personen vor Erlass dieser Entscheidung nicht gehört wurden, führte der SRB zu einem späteren Zeitpunkt ein Verfahren durch, in dem diese Personen zu seiner vorläufigen Entscheidung Stellung nehmen konnten.
Im Rahmen dieses Verfahrens übermittelte der SRB bestimmte Stellungnahmen als pseudonymisierte Daten an Deloitte, eine Wirtschaftsprüfungs- und Beratungsgesellschaft, die er mit der Durchführung einer Bewertung der Auswirkungen der Abwicklung auf die Anteilseigner und Gläubiger beauftragt hatte.
Mehrere betroffene Anteilseigner und Gläubiger legten beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerden ein, da der SRB sie nicht darüber informiert habe, dass sie betreffende Daten an Dritte, nämlich an Deloitte, übermittelt würden.
Der EDSB vertrat die Auffassung, dass Deloitte im vorliegenden Fall eine Empfängerin personenbezogener Daten der Beschwerdeführer sei. Er stellte außerdem fest, dass der SRB gegen die in der Verordnung 2018/17251 vorgesehene Informationspflicht verstoßen habe. Daraufhin erhob der SRB beim Gericht der Europäischen Union Nichtigkeitsklage gegen die Entscheidung des EDSB. Das Gericht gab dieser Klage teilweise statt und erklärte die in Rede stehende Entscheidung für nichtig.
Der Gerichtshof, der mit einem Rechtsmittel des EDSB befasst ist, hebt das Urteil des Gerichts auf und verweist die Sache an dieses zurück.
Als Erstes gelangt der Gerichtshof zu dem Ergebnis, dass das Gericht einen Rechtsfehler begangen hat, als es festgestellt hat, dass der EDSB für die Schlussfolgerung, dass sich die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, im Sinne der Verordnung 2018/1725 auf die Personen „bezögen“, die diese Stellungnahmen abgegeben hätten, den Inhalt, den Zweck und die Auswirkungen dieser Stellungnahmen hätte prüfen müssen, obwohl unstreitig war, dass diese die persönliche Meinung oder Sichtweise ihrer Verfasser zum Ausdruck brachten. Die Auslegung des Gerichts verstößt nämlich gegen den besonderen Charakter von persönlichen Meinungen oder Sichtweisen, die als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft sind.
Als Zweites bestätigt der Gerichtshof die Feststellung des Gerichts, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind. Aus den Bestimmungen dieser Verordnung in der Auslegung durch die Rechtsprechung ergibt sich nämlich, dass die Pseudonymisierung – je nach den Umständen des Falles – andere Personen als den Verantwortlichen tatsächlich daran hindern kann, die betroffene Person zu identifizieren, so dass diese für sie nicht oder nicht mehr identifizierbar ist.
In diesem Zusammenhang verweist der Gerichtshof ausdrücklich auf die Lehren aus der Rechtsprechung zur Beurteilung der Identifizierbarkeit der betroffenen Person in Situationen, in denen sich die zur Identifizierung dieser Person erforderlichen Informationen nicht in den Händen verschiedener Personen befanden.
Als Drittes gelangt der Gerichtshof zu dem Ergebnis, dass das Gericht mit der Feststellung, dass der EDSB für die Beurteilung, ob der SRB seine Informationspflicht erfüllt habe, hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten, einen Rechtsfehler begangen hat. Dem Gerichtshof zufolge ergibt sich aus der Rechtsprechung, dass sich die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person wesentlich nach den Umständen der Datenverarbeitung im Einzelfall richtet.
Zu dieser Informationspflicht weist der Gerichtshof darauf hin, dass sie im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen besteht und ihr Gegenstand daher in den mit dieser Person zusammenhängenden Informationen in der Form besteht, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte. Folglich ist die Identifizierbarkeit der betroffenen Person aus der Sicht des Gerichtshofs zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen. Die dem SRB obliegende Informationspflicht entstand somit vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.
Urteil des Gerichtshofs in der Rechtssache C-413/23 P | EDSB / SRB (Begriff der personenbezogenen Daten)
Quelle: Pressemitteilung des EuGH vom 04.09.2025
