Der EuGH hat in seiner Entscheidung C‑413/23 P präzisiert, unter welchen Umständen pseudonymisierte Daten weiterhin als personenbezogene Daten gelten und wie die Informationspflichten gegenüber Betroffenen zum Zeitpunkt der Datenerhebung zu beurteilen sind. Diese Klarstellungen haben unmittelbare Bedeutung für Datenschutz-Praxis, insbesondere im Kontext von Datenübermittlungen, Anonymisierungslösungen und Compliance in Institutionen und Unternehmen.
1. Aufhänger und Zielsetzung
Mit Urteil vom 4. September 2025 entschied der EuGH im Fall EDPS v SRB (C‑413/23 P) über die Auslegung zentraler Begriffe der EU‑Datenschutzordnung (hier konkret der Verordnung (EU) 2018/1725, die für Einrichtungen der Union den GDPR-ähnlichen Regelsatz festlegt).
Im Kern ging es um zwei streitige Fragen:
- Wann gelten pseudonymisierte Daten als personenbezogene Daten?
- Welche Pflicht zur Information über Datenempfänger besteht bereits zum Zeitpunkt der Datenerhebung?
Ziel dieses Beitrags ist es, diese Rechtsfragen systematisch zu analysieren, die Urteilsgründe herauszuarbeiten und die Folgen für die Praxis aufzuzeigen — insbesondere für Controller, Datenschutzverantwortliche und Rechtsberater.
2. Juristische Grundlagen
2.1 Verordnung (EU) 2018/1725 und Begriffsbestimmungen
Für EU-Institutionen gilt statt der DSGVO die Verordnung (EU) 2018/1725 („EU-DPR“). Die Begriffsdefinitionen für „personenbezogene Daten“ (Art. 3(1)) und „Pseudonymisierung“ (Art. 3 Abs. 6) sind analog zur DSGVO ausgestaltet.
Nach Art. 3(1) sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbarkeit ist dabei nach Massgabe aller vernünftigerweise einsetzbaren Mittel zu beurteilen (auch technische und organisatorische). Damit folgt der EUCJ mit dem Kriterium der vernüftierweise einsetzbaren Mitteln dem Grundsatzentscheid in der Schweiz (BGE 136 II 508 Logistep), allerdings dann mit einer anderen Schlussfolgerung.
Pseudonymisierung gemäss Art. 3 Abs. 6 EU DPR bedeutet, dass Daten so verarbeitet werden, dass sie nicht direkt einem Betroffenen zugeordnet werden können, es aber zusätzliche Informationen (z. B. einen Schlüssel / Referenztabelle) gibt, durch die Wiederidentifizierung möglich ist, wenn solche Informationen verfügbar sind und aufgrund technischer oder organisatorischer Massnahmen getrennt verwahrt werden.
Weiterhin ist insbesondere Art. 15 Abs. 1 lit. d der EU-DPR relevant (Parallel zu Informationspflichten nach DSGVO Art. 13/14) — dieser verpflichtet den Controller, bei Erhebung personenbezogener Daten den Betroffenen über Empfänger oder Kategorien von Empfängern zu informieren.
Obwohl das Urteil eine EU-Institution betrifft und auf EU-Recht (EU-DPR / DSGVO) abstellt, sind die Lehren auch für schweizerische oder deutsche Datenschutzpraxis relevant — insbesondere bei grenzüberschreitenden Datenflüssen, EU‑Partnern oder Konformitätsüberlegungen.
3. Sachverhalt und Vorgehen im Verfahren
Der Fall rührt von einer Massnahme des Single Resolution Board (SRB) her, das in der Bankenabwicklungsordnung tätig ist. Im Rahmen eines Deckungsverfahrens nahm der SRB Stellungnahmen von früheren Aktionären und Gläubigern auf. Diese Kommentare wurden pseudonymisiert (mit einem alphanumerischen Code) und anschliessend an ein Beratungsunternehmen (Deloitte) übermittelt; der SRB behielt die Schlüsselinformationen zur Identifizierung (also die Re-Identifizierbarkeit).
Der EDPS beanstandete, dass der SRB bei der Erhebung dieser Daten nicht ordnungsgemäss über den Empfänger Deloitte informiert habe – also in Verletzung von Art. 15(1)(d) EU-DPR.
Vorinstanzlich hatte der Generalgerichtshof (General Court) die Entscheidung des EDPS ganz oder teilweise aufgehoben, mit der Begründung, das pseudonymisierte Material sei nicht notwendigerweise personenbezogen für Deloitte und die Information über Deloitte müsse nur erfolgen, wenn der Empfänger die Möglichkeit hätte, Wiederidentifizierung vorzunehmen.
Dem widersprach der EuGH in C‑413/23 P und wies die Sache zur weiteren Entscheidung zurück, nachdem er die Rechtslage klargestellt hatte.
4. Kernentscheidungen des EuGH
In seinem Urteil legt der EuGH mehrere wichtige Leitlinien fest:
4.1 Perspektive der Informationspflicht: zum Zeitpunkt der Erhebung
Entscheidend ist der Stand der Identifizierbarkeit zum Zeitpunkt der Datenerhebung und aus der Perspektive des Controllers (also hier: des SRB). Damit muss der SRB bereits bei der Erhebung beurteilen, ob personenbezogene Daten vorliegen und entsprechend Transparenzverpflichtungen greifen.
Die Frage, ob in den Händen des Empfängers (z. B. Deloitte) die Daten noch identifizierbar sind, ist für die Informationspflicht nicht massgeblich.
Somit kann ein Controller nicht argumentieren, er müsse nicht über Empfänger informieren, weil die Daten nach Übermittlung nicht mehr personenbezogen seien – die Transparenzpflicht hat bereits früher anzusetzen.
4.2 Natur von Äusserungen / Meinungen
Der EuGH betont, dass persönliche Meinungen oder Stellungnahmen per se Daten sind, die „relate to“ den betroffenen Personen — auch ohne dass der Inhalt separat eine Identifizierbarkeit begründet. Anders gesagt: der Umstand, dass jemand eine Äusserung abgibt, ist eng personenbezogen im Sinne der Datenverarbeitung.
Damit müssen solche Äusserungen grundsätzlich als personenbezogene Daten betrachtet werden, sofern eine Identifizierbarkeit — zumindest potenziell — besteht.
4.3 Relativer Datenbegriff und „mittelbar identifizierbar“
Der EuGH bestätigt, dass der Begriff der Personenbezogenheit relativ ist: dieselben pseudonymisierten Daten können für den ursprünglichen Controller personenbezogen sein (weil er den Schlüssel besitzt), jedoch für den Empfänger anonym bzw. nicht identifizierbar sein.
Das heisst: Nur weil ein Empfänger keine Re-Identifizierung vornehmen kann, heisst dies nicht, dass es sich per se um anonyme Daten handelt — massgeblich bleibt die Einschätzung bezüglich der Mittel, die vernünftigerweise einsetzbar sind, um Identifizierung vorzunehmen.
4.4 Konsequenz: Rückverweisung und weitere Prüfung
Da das Generalgericht nicht alle Rechtsbehelfe vollständig geprüft hatte und die zutreffende Anwendung dieser Grundsätze vermengt hatte, verweist der EuGH die Sache zurück zur erneuten Entscheidung durch das Generalgericht.
5. Ergänzung: Schweizer Perspektive – „Bestimmbarkeit“ nach BGE 136 II 508
Die vom EuGH im Fall C‑413/23 P betonte relative Bestimmbarkeit pseudonymisierter Daten findet in der Schweiz eine in weiten Teilen vergleichbare rechtliche Einbettung – insbesondere in der Rechtsprechung des Bundesgerichts (BGE 136 II 508). Dort wird klar zwischen theoretischer und praktischer Identifizierbarkeit unterschieden.
5.1 Abgrenzung zur rein theoretischen Identifizierbarkeit
Das Bundesgericht hielt fest, dass nicht jede theoretische Möglichkeit der Identifizierung genügt, um eine Information als personenbezogen gelten zu lassen. Vielmehr ist entscheidend, ob der Aufwand zur Identifizierung so groß ist, dass nach der allgemeinen Lebenserfahrung nicht damit zu rechnen ist, dass ein Interessent diesen Aufwand auf sich nimmt (BGE 136 II 508 E. 3.2; BBl 1988 II 444 f. Ziff. 221.1). Diese Einschätzung basiert nicht nur auf objektiven Kriterien, sondern auch auf der realistischen Einschätzung der Handlungsabsicht potenzieller Akteure.
Dieser Gedanke steht in engem Einklang mit der vom EuGH hervorgehobenen Prüfung, ob eine Identifizierbarkeit „mit Mitteln, die vernünftigerweise eingesetzt werden können“, möglich ist. Beide Ansätze befürworten eine praxisnahe, realitätsbezogene Auslegung des Datenbegriffs.
5.2 Konkreter Einzelfall als Bewertungsmaßstab
Wie das Unionsrecht, stellt auch das Bundesgericht klar, dass die Beurteilung vom konkreten Fall abhängig ist – unter Einbezug technischer Entwicklungen (z. B. Internet-Suchwerkzeuge) und organisatorischer Umstände. Dabei wird nicht nur die objektive technische Möglichkeit der Identifizierung berücksichtigt, sondern auch das Interesse des Datenbearbeiters oder eines Dritten an der Re-Identifikation.
Diese Bewertung führt zu einer dynamischen Interpretation: Je nachdem, wer über die Information verfügt und unter welchen Umständen, kann dieselbe Datenkategorie personenbezogen oder anonym sein – ein Kerngedanke, den auch der EuGH ausdrücklich übernimmt.
5.3 Perspektive des Empfängers bei Weitergabe
Im Fall der Weitergabe von Daten – etwa an Dritte wie in C‑413/23 P – stellt das Bundesgericht fest: Es genügt, wenn der Empfänger in der Lage ist, die betroffene Person zu identifizieren. Dabei ist unbeachtlich, ob der Empfänger hierzu z. B. auf das Einschreiten von Behörden angewiesen ist (wie im Fall der Identifikation von IP-Adressen durch Strafverfolgungsbehörden), solange der Aufwand für die Bestimmung nicht unverhältnismäßig groß ist.
Damit wird auch aus schweizerischer Sicht die Argumentation zurückgewiesen, wonach Informationen als anonym gelten könnten, nur weil der Empfänger sie nicht ohne Hilfe Dritter entschlüsseln kann. Es genügt vielmehr, dass eine Re-Identifizierung unter bestimmten Umständen realistisch möglich ist – ein Befund, der inhaltlich mit der Entscheidung des EuGH kongruent ist.
5.4 Keine abstrakte Bewertung datentypischer Kategorien
Schließlich betont das Bundesgericht, dass keine abstrakte Aussage darüber möglich ist, ob bestimmte Datentypen – etwa dynamische IP-Adressen – stets personenbezogen oder anonym seien. Auch hier wird dem Prinzip der kontextabhängigen, funktionalen Auslegung des Personenbezugs gefolgt, wie es auch im Unionsrecht etabliert ist.
5.5 Fazit des Vergleichs
Der Vergleich mit BGE 136 II 508 zeigt, dass sowohl das schweizerische wie das europäische Datenschutzrecht eine differenzierte, kontextuelle Betrachtung der Bestimmbarkeit verlangen. Die juristischen Beurteilungskriterien sind weitgehend harmonisiert: Weder eine rein theoretische noch eine ausschließlich technisch basierte Sichtweise genügt. Entscheidend ist stets die praktische Realisierbarkeit der Re-Identifikation unter Berücksichtigung der Mittel, Interessen und Umstände im konkreten Fall.
Für datenverarbeitende Stellen bedeutet dies: Auch im schweizerischen Kontext müssen Empfängerinformationen, technische Zugriffsmöglichkeiten und konkrete Verwendungsinteressen bei der Bewertung der personenbezogenen Qualität von Daten zwingend mitgedacht und dokumentiert werden – insbesondere bei der Pseudonymisierung und bei Datenweitergaben.
Insbesondere zu berücksichtigen ist dabei u.E. auch, inwiefern aufgrund von Kontextinformationen es dem Empfänger möglich ist, eine Re-Identifizierung zu bewerkstelligen und wie die vertraglichen Vereinbarungen diesbezüglich ausgestaltet sind. Wird dem Empfänger schlicht vertraglich untersagt, die Daten zur eigenen Nutzung zu verwenden und damit eine Re-Identifikation vorzunehmen, fehlt ihm das Interesse an einer solchen.
6. Praktische Auswirkungen und Empfehlungen
6.1 Transparenzpflichten über Empfänger klarstellen
Controller müssen schon bei der Erhebung personenbezogener Daten offenlegen, welche Empfänger oder Kategorien von Empfängern gegebenenfalls Daten erhalten — und zwar unabhängig davon, ob die Empfänger nach Übermittlung als anonym gelten könnten. Damit sollten Datenschutzhinweise präzise angepasst werden, pseudonymisierte Datenflüsse explizit abdecken und Empfänger benannt werden.
6.2 Prüfung bei Datenübertragungen und Schnittstellen
Bei Datenweitergaben sollte intern analysiert werden:
- Ob der Empfänger Zugang zu Re-Identifizierungsmöglichkeiten besitzt (z. B. Schlüssel, zusätzliche Datenquellen). Was im Zeitalter von KI u.E. wohl stets zu bejahen ist.
- Ob technische oder organisatorische Massnahmen bestehen, die Re-identifizierung praktisch unmöglich machen.
- Welche Risiken typisch sind (Kosten, Zeit, technologischer Aufwand).
Nur wenn eindeutig ausgeschlossen werden kann, dass der Empfänger vernünftigerweise eine Identifizierung vornehmen könnte, kann argumentiert werden, die Daten seien in seinen Händen anonym. E contrario bedeutet dies: Im Zweifelsfall sind sie nicht anonym.
6.3 Verarbeitungsverträge und Governance anpassen
Verpflichtungen in Verträgen mit Datenempfängern sollten klar regeln, dass kein Versuch der Re-Identifizierung erfolgt, Schlüsselzugang ausgeschlossen bleibt und die Datenverarbeitung auf strikt pseudonymisierter Basis erfolgt. Zudem empfiehlt sich Dokumentation und Nachweisführung über technische und organisatorische Massnahmen.
6.4 Relevanz für KI, Datenanalytik und Forschung
Die Entscheidung ist auch bedeutsam in Bereichen wie KI-Modell-Training oder Big‑Data-Analysen: Wenn pseudonymisierte Daten an Dritte weitergegeben werden, sind die Transparenzpflichten strikt zu beachten. Die Praxis, pseudonymisierte Daten ohne Offenlegung über Empfänger zu übermitteln, dürfte weitgehend ausgeschlossen sein.
6.5 Anpassung nationaler Datenschutzpraxis
Für Institutionen in der Schweiz oder Deutschland, die mit EU-Institutionen oder EU-Datenflüssen arbeiten, ist diese Rechtsprechung richtungsweisend. Auch wenn das Bundesrecht (z. B. DSG, DSGVO) Unterschiede kennt, liefert der EuGH-Entscheid eine wichtige Orientierung.
7. Fazit und Ausblick
Mit dem Urteil in C‑413/23 P bringt der EuGH entscheidende Klarstellungen zur Transparenzpflicht, zum relativen Verständnis von personenbezogenen Daten und zur Rolle pseudonymisierter Daten im Datenschutzrecht. Die Pflicht zur Information über Empfänger beginnt schon bei der Datenerhebung, und pseudonymisierte Äusserungen gelten grundsätzlich als personenbezogene Daten.
Für Datenschutzverantwortliche bedeutet dies konkret: Datenschutzhinweise, Datenweitergabeverträge und Data-Governance-Strukturen müssen angepasst werden. Wer heute pseudonymisierte Daten weiterreicht, muss bereits im Zeitpunkt der Erhebung die Empfänger offenlegen und Re-Identifizierbarkeit technisch/vertraglich ausschliessen.
Zukünftig bleibt zu beobachten, wie das Generalgericht die Rückverweisung umsetzt und ob der EuGH in weiteren Fällen noch konkrete Massstäbe formuliert — insbesondere zur konkreten Abgrenzung zwischen anonymen und pseudonymisierten Daten in Datennetzen mit komplexen Verarbeitungsströmen (z. B. im Gesundheitswesen, wissenschaftlicher Forschung, KI).
Quellen
- „Judgment of the Court in Case C‑413/23 P (EDPS v SRB)“ – EuGH-Urteilstext (pdf) Curia
- Bundesgerichtsentscheid vom 8. September 2010 BGE 136 II 508 (Logistep)