Europäischer Gerichtshof – Pseudonymisierung ist kein Freipass

Sep. 4, 2025

Nach Einleitung eines Abwicklungsverfahrens gegen die Banco Popular führte der Einheitliche Abwicklungsausschuss (SRB) ein Anhörungsverfahren für betroffene Aktionäre und Gläubiger durch. Diese mussten sich registrieren und konnten Stellungnahmen abgeben, die jeweils mit einem alphanumerischen Code, einer Pseudonymisierung, versehen waren. Pseudonymisierung ist kein Freipass !

Die Stellungnahmen wurden anschliessend an Deloitte als externe Gutachterin weitergeleitet – allerdings ohne, dass in der Datenschutzerklärung offengelegt wurde, dass Deloitte Empfängerin dieser Daten sein würde.

Mehrere Betroffene reichten daraufhin Beschwerden beim Europäischen Datenschutzbeauftragten (EDSB) ein. Der EDSB sah darin einen Verstoss gegen die Informationspflicht. Das EuG hob diese Entscheidung jedoch auf – mit der Begründung, die übermittelten Daten seien nicht personenbezogen.

Strittig war, ob die betroffenen Anteilseigner und Gläubiger über die Bekanntgabe an Deloitte hätten informiert werden müssen und ob es sich dabei um eine Bekanntgabe von Personendaten handelte. Am 4. September 2025 – C-413/23 P hebt der EuGH das Urteil auf und verweist die Sache zurück.

Argumente des EuGH

Personenbezogene Daten der Verfasser

Der EuGH stellt klar: Subjektive Inhalte wie Stellungnahmen, Bewertungen oder Meinungen sind „Informationen über“ die abgebende Person. Sie spiegeln deren Gedanken/Ansichten wider und sind daher personenbezogen – auch ohne Namensnennung. Entscheidend ist die inhaltliche Verknüpfung mit der Person.

Pseudonymisierung kann den Personenbezug beim Empfänger begrenzen

– nicht beim Verantwortlichen mit „Schlüssel“
Pseudonymisierung ist nicht gleich Anonymisierung. Wenn der Verantwortliche (hier: SRB) den Zuordnungsschlüssel behält, bleibt der Datensatz für ihn personenbezogen. Beim Empfänger (hier: Deloitte) kann der Personenbezug entfallen, wenn technische und organisatorische Massnahmen eine Re-Identifikation ausschliessen.

„Sofern solche technischen und organisatorischen Massnahmen tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der Daten zur betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten auswirken.“

Hier war dies jedoch nicht der Fall: Der SRB verfügte weiterhin über zusätzliche Informationen und damit über den Schlüssel zur Re-Identifikation. Folglich blieben die Stellungnahmen aus Sicht des SRB personenbezogen.

Nach der Rechtsprechung können zudem auch zunächst „neutrale“ oder pseudonymisierte Daten zu personenbezogenen Daten werden, sobald sie an Dritte gelangen, die mit vertretbarem Aufwand eine Re-Identifikation vornehmen könnten (z. B. durch Abgleich mit anderen Informationen). Entscheidend ist, ob es für diese Dritten realistisch möglich ist, die betroffene Person wiederzuerkennen.

Auch hat der EuGH betont: Wenn das Risiko einer Identifizierung de facto unbedeutend erscheint (z. B. weil rechtlich verboten oder praktisch unverhältnismässig), ist eine Re-Identifikation nicht anzunehmen. Damit bestätigt er: Pseudonymisierte Daten sind nicht automatisch personenbezogen – die Einordnung hängt von den Umständen ab.

Empfänger/Kategorien müssen bereits bei der Erhebung benannt werden

Betroffene müssen zum Zeitpunkt der Erhebung wissen, an wen ihre Daten gehen (oder gehen können) – konkret: Empfänger oder Empfängerkategorien (z. B. „externe Gutachter wie Deloitte“). Diese Information ist Voraussetzung für eine informierte Entscheidung.

Einwand „pseudonymisierte Daten sind nicht personenbezogen“ zurückgewiesen

Der EuGH folgt nicht der Argumentation, bei den übermittelten pseudonymisierten Stellungnahmen handle es sich um nicht personenbezogene Daten. Entscheidend ist, dass aus Sicht des Verantwortlichen Personenbezug besteht (Schlüssel vorhanden) und dass Transparenzpflichten vor jeder Weitergabe greifen.

Praxis: Pseudonymisierung reduziert Risiken, hebt Transparenz- und Rechenschaftspflichten aber nicht auf.

Fazit

Pseudonymisierung ist kein Freipass. Für den Verantwortlichen mit Schlüssel bleiben Daten personenbezogen; für Dritte können sie es sein – oder nicht, wenn eine Identifizierung praktisch ausgeschlossen ist. Pseudonymisierung kann den Personenbezug für Empfänger aufheben, im konkreten Fall war dies jedoch nicht gegeben. Damit blieben die Daten für den SRB personenbezogen.

Pseudonymisierung ist eine anerkannte Sicherheitsmassnahme (Art. 8 DSG: TOMS), aber kein Freipass, um Daten aus dem Anwendungsbereich des DSG auszuschliessen. Nur bei echter Anonymisierung (keine Identifikation mehr möglich) fällt die Bearbeitung ausserhalb des DSG.

Auch nach dem Datenschutzgesetz (DSG) gilt: Pseudonymisierte Daten sind weiterhin Personendaten, solange eine Re-Identifikation mit verhältnismässigen Mitteln möglich ist (Art. 5 lit. a DSG, Botschaft revDSG, BBl 2017 6941).

Konsequenzen für die Praxis

  • Technische und organisatorische Massnahmen: Schlüssel getrennt aufbewahren, Zugriffe minimieren, Logging und Kontrollen etablieren.
  • Transparenzpflichten: Empfänger oder Kategorien bereits bei der Erhebung nennen.
  • Langfristiges Ziel: Wo möglich echte Anonymisierung erreichen.
  • Bearbeiter solcher Daten müssen einen Auftragsbearbeitungsvertrag nach DSG/DSGVO abschliessen.

Pressemitteilung:

Der Gerichtshof präzisiert die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte

EuGH Urteil: CURIA – Ergebnisliste

Kontaktieren Sie uns für eine umfassende Datenschutzanalyse:

Datenschutz und Datensicherheit – Balthasar Legal

Unverbindlich anfragen

Ihr Kontakt

Portrait Dr. iur. Michèle Balthasar
Silvia Mathys

lic. iur. Senior Beraterin

lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sebastian Andres

Student, Content Manager

Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.