Rechtssicherheit bei Pseudonymisierung
Mit der Veröffentlichung der Leitlinien zur Pseudonymisierung durch den Europäischen Datenschutzausschuss (EDSA) vom 17. Januar 2025 und der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 in der Rechtssache C-413/23 P (EDSB/SRB) wurde der unionsrechtliche Begriff der Pseudonymisierung neu konturiert. Beide Dokumente schließen eine bislang relevante Auslegungslücke: Sie präzisieren, wie Pseudonymisierung technisch und rechtlich einzuordnen ist, welches Schutzniveau sie garantiert und unter welchen Bedingungen pseudonymisierte Daten weiterhin als personenbezogene Daten zu qualifizieren sind.
Was ist Pseudonymisierung und wie funktioniert sie?
Nach Art. 4 Nr. 5 DSGVO bezeichnet Pseudonymisierung eine Verarbeitung personenbezogener Daten, bei der diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die für die Zuordnung erforderlichen Zusatzinformationen müssen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden.
Der EDSA betont in seinen Leitlinien, dass Pseudonymisierung kein einheitliches Verfahren, sondern ein Bündel technischer und organisatorischer Maßnahmen darstellt. Dazu gehören unter anderem Tokenisierung, die Trennung von Identifikations- und Inhaltsdaten sowie kryptographische Verfahren mit abgesichertem Schlüsselmanagement.
Zentral ist die Abgrenzung zur Anonymisierung. Während pseudonymisierte Daten weiterhin personenbezogene Daten darstellen, wird durch Anonymisierung eine Identifizierung dauerhaft und realistisch ausgeschlossen. Pseudonymisierte Daten fallen daher aus Sicht des Verantwortlichen vollständig unter die DSGVO, anonymisierte Daten dagegen nicht.
Der EuGH bestätigt diese Differenzierung ausdrücklich und weist darauf hin, dass bereits inhaltliche Informationen (z. B. persönliche Meinungen oder Wertungen) eine Personenbeziehbarkeit begründen können, selbst wenn formale Identifikatoren entfernt wurden.
Zweck der Pseudonymisierung und Bedeutung für Verantwortliche
Pseudonymisierung dient primär der Risikominimierung. Durch die Trennung der Identifikationsmerkmale vom eigentlichen Datenmaterial wird das Schadenspotenzial bei Verlust oder unbefugtem Zugriff deutlich reduziert. Dies unterstützt die Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 lit. c und lit. f DSGVO (Datenminimierung, Integrität und Vertraulichkeit).
Darüber hinaus entfaltet sie eine Compliance-Funktion für zentrale Pflichten der DSGVO. Sie dient als technische Maßnahme, die eine datensparsame Gestaltung fördert (Art. 25 DSGVO) und als Sicherheitsinstrument (Art. 32 DSGVO).
Pseudonymisierung kann somit eine wirksame Schutzmaßnahme im Sinne der DSGVO darstellen, vorausgesetzt, die technischen und organisatorischen Anforderungen sind ausreichend implementiert.
Daneben kann Pseudonymisierung Rechtmäßigkeitsfragen erleichtern. Durch sie wird die Position des Verantwortlichen bei der Berufung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestärkt, indem sie die Risiken für Betroffene senkt und wirkt sich positiv auf die Prüfung der Zweckvereinbarkeit nach Art. 6 Abs. 4 DSGVO aus, insbesondere bei Forschungsvorhaben, statistischen Analysen oder Weiterverarbeitungen. Der EuGH bestätigte in seiner Rechtsprechung, dass Pseudonymisierung jedoch weiterhin keine Rechtsgrundlage oder das Erfordernis der Transparenz ersetzt.
Rechtliche Einordnung nach EuGH und EDSA
Nach dem Urteil C-413/23 P bleibt für die Qualifikation als personenbezogene Daten entscheidend, ob der Verantwortliche über Mittel verfügt, um eine Person zu identifizieren. Die Perspektive eines Datenempfängers, der selbst keine Re-Identifizierung vornehmen kann, ist rechtlich unerheblich. Daraus resultiert, dass bereits bei Erhebung Informationspflichten nach Art. 13 und 14 DSGVO bestehen und nicht erst im Hinblick auf die Sichtweise eines späteren Dritten. In der Leitlinie werden auch weitere Anforderungen an eine wirksame Pseudonymisierung konkretisiert, etwa eine sichere Schlüsselverwaltung, Zugriffskontrollen und Protokollierung, Schutz gegen unbefugte Rückführung und Risikoanalysen. Die Wirksamkeit der Pseudonymisierung hängt daher im Wesentlichen von der Sicherheitsarchitektur und den tatsächlich implementierten Kontrollmechanismen ab.
Ein weiterer Schwerpunkt der Leitlinien betrifft die Zusammenarbeit zwischen Verantwortlichen, insbesondere zwischen Behörden, die verschiedene pseudonymisierte Datensätze rechtlich verknüpfen müssen. Der EDSA hebt hervor, dass es dabei sinnvoll sein kann, Mechanismen zur Pseudonymisierung gemeinsam zu entwickeln oder auszutauschen sowie zentrale Anlaufstellen für die Koordinierung und das Management von Verstößen einzurichten. Diese Aspekte unterstreichen, dass Pseudonymisierung nicht allein eine technische Disziplin ist, sondern zunehmend eine interinstitutionelle organisatorische Aufgabe darstellt – insbesondere dort, wo mehrere Stellen gemeinsame Verantwortlichkeiten oder parallellaufende Aufsichtszuständigkeiten haben. Die praktische Notwendigkeit einer solchen abgestimmten Zusammenarbeit zeigt sich auch im Zusammenspiel zwischen Datenschutz- und Wettbewerbsbehörden.
Bereits im Urteil vom 4. Juli 2023 (ECLI:EU:C:2023:537 –Meta/Bundeskartellamt) stellte der EuGH klar, dass das Bundeskartellamt zwar nicht als Datenschutzaufsichtsbehörde im Sinne des Art. 58 DSGVO tätig werden darf, jedoch im Rahmen seiner wettbewerbsrechtlichen Ermittlungen die Unvereinbarkeit einer Datenverarbeitung mit der DSGVO feststellen kann, sofern diese Feststellung für die Beurteilung eines Missbrauchs einer marktbeherrschenden Stellung erforderlich ist. Dieser Ansatz wird in einem gesonderten Positionspapier des EDSA nochmals vertieft. Er verdeutlicht, dass Pseudonymisierung und deren rechtliche Bewertung zunehmend an den Schnittstellen unterschiedlicher Regulierungsregime relevant wird und eine koordinierte Behördenpraxis notwendig ist.
Praktische Konsequenzen
Verantwortliche müssen Verfahren, Schlüsselverwaltung, Rollen- und Berechtigungskonzepte sowie Risikoabwägungen verständlich und nachweisbar dokumentieren. Pseudonymisierung ist nur dann rechtssicher, wenn der Verantwortliche den Nachweis der Wirksamkeit erbringen kann. Eine unbefugte Re-Identifizierung oder ein Verlust der Zusatzinformationen stellt eine Verletzung des Schutzes personenbezogener Daten dar und kann Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) auslösen.
Sie dient jedoch auch als geeignetes Schutzinstrument im Rahmen von Art. 44 ff. DSGVO zur Übermittlung von Daten in ein Drittland, ersetzt dabei aber nicht die erforderlichen rechtlichen Garantien, wie Standardvertragsklauseln oder Transfer Impact Assessments.
Pseudonymisierung ist ein zentrales, technisch effektives und juristisch bedeutsames Instrument des Datenschutzes, das die Verarbeitung personenbezogener Daten erleichtert und sicherer gestaltet. Sie wirkt entlastend für Verantwortliche und stärkt die Rechtssicherheit vieler Verarbeitungsvorgänge. Jedoch bleibt der personenbezogene Charakter bei der Pseudonymisierung bestehen, sodass eine sichere Implementierung, sorgfältige Dokumentation und ein kohärentes Datenschutzkonzept erforderlich sind.
Gerne helfen wir Ihnen bei der Erstellung und Implementierung entsprechender rechtssicherer Dokumente.
Kontaktieren Sie uns gerne für eine Beratung.
