Richtungsweisendes EuGH-Urteil: Wann pseudonymisierte Daten nicht mehr personenbezogen sind

Der EuGH stellt klar:

👉 Pseudonymisierte Daten können für Dritte anonym sein, wenn diese keine Möglichkeit haben, die betroffene Person wiederzuerkennen.

👉 Gleichzeitig bleibt der Verantwortliche verpflichtet, bereits bei der Erhebung personenbezogener Daten anzugeben, an wen die Daten weitergegeben werden – auch wenn der Empfänger die Personen gar nicht identifizieren kann.

👉 Und: Der Begriff „personenbezogene Daten“ wird erneut sehr weit ausgelegt – er umfasst nicht nur Namen oder Adressen, sondern auch persönliche Meinungen, Kommentare und Sichtweisen.

1. Pseudonymisierung ist kein Freifahrtschein

Viele Unternehmen glauben, dass pseudonymisierte Daten automatisch „anonym“ sind. Das ist ein häufiger Irrtum.

Beispiel:

Ein Unternehmen übermittelt Mitarbeiterfeedbacks an einen externen Dienstleister und ersetzt die Namen durch Codes. Wenn der Dienstleister diese Codes nicht zurückverfolgen kann, sind die Daten für ihn anonym. Für das Unternehmen, das die Zuordnung kennt, bleiben sie aber personenbezogen – mit allen DSGVO-Pflichten.

Fazit:

Pseudonymisierung kann Datenschutzrisiken senken, aber sie entbindet nicht automatisch von der DSGVO. Entscheidend ist, wer über die Mittel zur Re-Identifizierung verfügt.

2. Informationspflichten gelten schon bei der Datenerhebung

Der EuGH betont, dass Verantwortliche bereits bei der Erhebung personenbezogener Daten klarstellen müssen, wer potenziell Empfänger der Daten ist – selbst dann, wenn die Daten nur pseudonymisiert weitergegeben werden.

Das bedeutet konkret:

Wenn z. B. ein Bewerbungsformular über einen Dienstleister läuft, muss bereits in der Datenschutzerklärung darauf hingewiesen werden, dass Daten an diesen weitergegeben werden.

Gleiches gilt, wenn Kunden- oder Nutzungsdaten an externe Analyse- oder Bewertungsunternehmen übermittelt werden – auch pseudonymisiert.

3. Selbst Meinungen sind personenbezogene Daten

Der EuGH stellt ausdrücklich klar: Auch subjektive Äußerungen wie Kommentare, Bewertungen oder Meinungen gelten als personenbezogene Daten, weil sie Rückschlüsse auf den Verfasser zulassen.

Beispiel:

Ein Mitarbeitender äußert sich im Intranet kritisch zu einer internen Entscheidung – selbst wenn nur ein Alias angezeigt wird, kann der Beitrag durch Kontextinformationen einer Person zugeordnet werden. Auch das fällt unter die DSGVO.

✅ Datenschutzerklärungen prüfen:

Sind alle potenziellen Empfänger – auch externe Dienstleister oder Gutachter – klar benannt oder wenigstens als Empfängerkategorie aufgeführt?

✅ Pseudonymisierung sauber dokumentieren:

Wird wirklich verhindert, dass der Empfänger die betroffene Person identifizieren kann? Wer Zugriff auf den „Schlüssel“ hat, sollte klar festgelegt sein.

✅ Regelmäßige Überprüfung einplanen:

Wenn sich technische Möglichkeiten ändern oder neue Datenquellen hinzukommen, kann aus einer pseudonymisierten wieder eine personenbezogene Verarbeitung werden.

✅ Bewusstsein schaffen:

Schule Mitarbeitende im Umgang mit pseudonymisierten Daten. Viele unterschätzen, dass schon harmlose Kommentare oder Notizen personenbezogen sein können.

Das EuGH-Urteil ist ein Meilenstein – und gleichzeitig ein Weckruf für alle Unternehmen, die mit pseudonymisierten oder anonymisierten Daten arbeiten.

Die gute Nachricht:
Wer seine Prozesse transparent gestaltet, Empfänger klar benennt und Pseudonymisierung technisch sauber umsetzt, kann Daten datenschutzkonform weitergeben – ohne sich unnötigen Risiken auszusetzen.