Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Sonstige Rechtsgebiete
Blog News
Am 4. September 2025 hat der Europäische Gerichtshof (EuGH, Erste Kammer) in der Rechtssache C-413/23 P ein wegweisendes Urteil zur Auslegung des Begriffs „personenbezogene Daten“ gefällt. Die Entscheidung stellt klar: Auch pseudonymisierte Daten können personenbezogen bleiben, jedenfalls dann, wenn der Verantwortliche über die zur Identifizierung erforderlichen Zusatzinformationen verfügt. Für Unternehmen und Behörden ergeben sich daraus erhebliche Konsequenzen für Datenschutzorganisation, Vertragsgestaltung und Informationspflichten.
Der EuGH betont, dass der Begriff der personenbezogenen Daten weit auszulegen ist. Erfasst werden nicht nur objektive Angaben, sondern auch subjektive Informationen wie persönliche Meinungen oder Einschätzungen, da diese unmittelbar mit der Person des Verfassers verknüpft sind. Besonders praxisrelevant ist die Abgrenzung zwischen pseudonymisierten Daten beim Verantwortlichen und deren möglicher Weitergabe an Dritte: Für den Verantwortlichen bleiben pseudonymisierte Daten personenbezogen, solange er die Möglichkeit zur Re-Identifizierung hat. Für Dritte können die gleichen Daten hingegen nicht personenbezogen sein, wenn wirksame technische und organisatorische Maßnahmen eine Identifizierung ausschließen. Die Richter stellen außerdem klar, dass für die Frage der Identifizierbarkeit nicht jede theoretische Möglichkeit der Re-Identifizierung genügt. Maßstab sind die „Mittel, die nach allgemeinem Ermessen wahrscheinlich genutzt werden“ (Erwägungsgrund 16 der VO 2018/1725).
Von zentraler Bedeutung für Unternehmen ist die Auslegung der Informationspflicht nach Art. 15 Abs. 1 lit. d VO 2018/1725: Der Verantwortliche muss schon bei der Erhebung personenbezogener Daten auch die potenziellen Empfänger pseudonymisierter Daten nennen, selbst wenn diese Empfänger die Daten später nicht ohne Weiteres einer Person zuordnen können. Im konkreten Fall hätte die betroffene Institution Deloitte als Empfänger nennen müssen. Das Gericht der Europäischen Union hatte dies in der Vorinstanz noch anders gesehen und wurde nun vom EuGH korrigiert.
Das Urteil unterstreicht einmal mehr die strengen Maßstäbe im europäischen Datenschutzrecht. Unternehmen sollten insbesondere:
Dürfen Mitarbeiterfotos in die Unternehmenswebsite?
Der EuGH stärkt mit diesem Urteil die Rechte betroffener Personen und konkretisiert die Pflichten von Verantwortlichen. Unternehmen müssen pseudonymisierte Daten künftig mit größerer Sorgfalt behandeln und ihre Informationspflichten umfassend erfüllen. Haben Sie Fragen dazu, wie sich dieses Urteil auf Ihr Unternehmen auswirkt?
Unsere Kanzlei unterstützt Sie bei der Prüfung Ihrer Datenschutzprozesse, der Gestaltung von Datenschutzerklärungen und der rechtssicheren Zusammenarbeit mit externen Dienstleistern.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?