Empfänger personenbezogener Daten müssen vom Verantwortlichen schon bei der Datenerhebung genannt werden – auch wenn vor der nachgelagerten Übermittlung der Personenbezug entfernt wird. Das entschied der Europäische Gerichtshof (EuGH) und hob damit ein Urteil des Gericht der Europäischen Union (EuG) auf (Urteil vom 4. September 2025, Rechtssache C‑413/23 P).
Der Sachverhalt
Ausgangspunkt des EuGH-Urteils war das vorausgegangene Banco-Popular-Verfahren in 2007, welches sich auf einen Abwicklungsprozess einer spanischen Bank bezog. Der Einheitliche Abwicklungsausschuss (SRB) holte im Rahmen eines Entschädigungsprozesses Stellungnahmen von Anteilseignern und Gläubigern ein und übermittelte diese (pseudonymisiert) an ein Wirtschaftsprüfungsunternehmen als externen Dienstleister.
Der Europäische Datenschutzbeauftragte (EDSB) rügte nach Beschwerden Betroffener u. a., dass der SRB in der Datenschutzerklärung das Wirtschaftsprüfungsunternehmen nicht als (potenzielle) Empfängerin genannt hatte und damit gegen die Informationspflicht verstoßen habe.
Im folgenden Rechtsstreit hob das EuG die überarbeitete EDSB-Entscheidung auf; hiergegen legte der EDSB Rechtsmittel ein. Nun hob wiederum der EuGH das EuG-Urteil auf.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das EuGH-Urteil
Ob übermittelte Daten personenbezogen sind, beurteilt sich nicht ausschließlich aus Empfängersicht, so der EuGH. Für die Informationspflicht hinsichtlich (möglicher) Empfänger der Daten ist die Perspektive des Verantwortlichen zum Zeitpunkt der Erhebung maßgeblich. Die Identifizierbarkeit personenbezogener Daten ist also aus Sicht des Verantwortlichen zu bewerten. Liegt sie vor, bestehen auch alle datenschutzrelevanten Pflichten. Die in der Praxis häufig anzutreffende Annahme, dass Datenschutzpflichten entfallen, wenn am Ende einer Verarbeitung kein Personenbezug mehr vorliegt, ist ein gefährlicher Irrtum.
Allerdings sagt der EuGH, dass pseudonymisierte Daten aus der subjektiven Perspektive eines Empfängers, wie vorliegend dem Wirtschaftsprüfungsunternehmen, ggf. für diesen keine personenbezogenen Daten mehr sein müssen. Entscheidend ist, ob eine Identifikation der Betroffenen durch geeignete Maßnahmen für den Dritten wirksam ausgeschlossen wird – oder eben nicht.
Der EUGH konstatiert ferner, dass Stellungnahmen die persönliche Meinung ihrer Autoren widerspiegeln und sich damit auf individualisierbare Personen beziehen. Daher durfte der EDSB davon ausgehen, dass die an die Dritte übermittelten Informationen personenbezogene Daten darstellten.
Zuletzt stellt der EuGH klar, dass auch wenn für den gegenwärtigen Fall die Verordnung 2018/1725 (für EU-Organe) gilt, dies im Zuge der harmonisierten Auslegung gleichsam auf Verantwortliche, die der DSGVO unterliegen, zu übertragen ist.
Datenschutzrechtliche Einschätzung
Wer Daten als Verantwortlicher erhebt, muss Empfänger so benennen, dass Betroffene informiert entscheiden können, ob sie Daten bereitstellen oder der Verarbeitung widersprechen wollen. Es genügt nicht, erst bei oder nach der Übermittlung aufzuklären. Dass die Daten für den Empfänger möglicherweise keinen Personenbezug mehr aufweisen, ändert an dieser Pflicht nichts.
Eine wirksame Pseudonymisierung vor Übermittlung kann bewirken, dass ein Empfänger Betroffene nicht (mehr) identifizieren kann. Für den Verantwortlichen bleibt die Information jedoch personenbezogen, auch wenn er selbst keine Möglichkeit zur Re-Identifizierung behält. Für die Verpflichtungen aus der DSGVO kommt es einzig auf den Zeitpunkt der Erhebung an.
Welche Auswirkungen die Entscheidung in der Praxis haben wird, ist noch nicht umfassend klar.
Dass Empfänger nicht (mehr) personenbezogener Daten ggf. keine eigenen Datenschutzpflichten erfüllen müssen, ist konsequent.
Inwieweit das Zusammenspiel zwischen Verantwortlichem und Empfänger aber betroffen ist, wird gerade für Auftragsverarbeitungs-Verhältnisse bereits heftig diskutiert. Manche Dienstleister sehen sich schon freudig von allen Fesseln befreit. Dagegen fragen sich Verantwortliche, ob sich ihre Verantwortung nicht doch noch weiterhin auf Dienstleister erstreckt, die dementsprechend gebunden und auch überwacht werden müssen; ggf. auch ganz unabhängig von der DSGVO über allgemeine Sorgfaltspflichten. Wenn ein Dienstleister mangels angemessener technischer und organisatorischer Maßnahmen Daten verliert, hat das Auswirkungen – und die Frage, ob der Verantwortliche allein oder weiterhin gemeinsam mit dem Dienstleister haftet, ist entscheidend.
Auf Verantwortliche und Datenschutzberater kommen vorhersehbar heftige Diskussionen zu.
Fazit
Der EuGH verschärft die Transparenzpflicht. Wer personenbezogene Daten erhebt, muss deren (potenzielle) Empfänger unmittelbar benennen – selbst, wenn eine Weitergabe erst nach der Pseudonymisierung vorgesehen ist. Die Absolutheit des Personenbezugs wird dahingehend aufgeweicht, dass aus Sicht des Dritten ein Personenbezug nicht vorliegen muss, obwohl eine Re-Identifizierung durch den ursprünglichen Verantwortlichen möglich ist.
