Hintergrund und Sachverhalt
Die Entscheidung betrifft die Verarbeitung personenbezogener (insbesondere pseudonymisierter) Daten durch EU-Behörden im Rahmen eines Entschädigungsverfahrens nach der Abwicklung der Banco Popular. Konkret wurde streitgegenständlich, ob der Einheitliche Abwicklungsausschuss (SRB) bei der Datenweitergabe an die Wirtschaftsprüfungsfirma Deloitte geltende Informationspflichten nach der Datenschutzverordnung für EU-Organe (Verordnung (EU) 2018/1725) eingehalten hat. Der Volltext der Entscheidung kann hier abgerufen werden.
Datenschutzrechtliche Kernaussagen
- Weite Definition personenbezogener Daten: Der EuGH bestätigt, dass der Begriff „personenbezogene Daten“ im EU-Datenschutzrecht sehr weit zu verstehen ist. Auch pseudonymisierte Daten gelten grundsätzlich als personenbezogen, solange ein Verantwortlicher (hier SRB) die Möglichkeit hat, die Identität der betroffenen Person durch Zusatzinformationen zu ermitteln.
- Pseudonymisierung ist keine Anonymisierung: Daten, die lediglich pseudonymisiert (z. B. mit Codes versehen) sind, fallen weiterhin unter das Datenschutzrecht, solange die Re-Identifizierung möglich bleibt. Nur tatsächlich anonymisierte Daten sind von den Vorschriften ausgenommen.
- Informationspflicht über Empfänger: EU-Behörden müssen Personen schon zum Zeitpunkt der Datenerhebung darüber informieren, ob und an wen ihre Daten (auch in pseudonymisierter Form) weitergegeben werden. Die Information muss präzise, transparent und verständlich erfolgen. Es genügt nicht, wenn erst der potentielle Empfänger (hier Deloitte) nicht als solcher genannt wird – dies verstößt gegen das Transparenzgebot der Verordnung.
- Perspektive des Verantwortlichen ist maßgeblich: Für die Beurteilung, ob Daten personenbezogen sind und Informationspflichten greifen, kommt es auf die Sicht des Verantwortlichen (SRB), nicht auf jene des Drittempfängers (Deloitte) an.
Bedeutung für Datenschutz und Praxis
Die Entscheidung stärkt die datenschutzrechtliche Stellung der Betroffenen:
- Betroffene müssen umfassend informiert werden, insbesondere bei behördlicher Weitergabe und Nutzung ihrer Daten.
- Behörden und Unternehmen dürfen Pseudonymisierung nicht als Umgehung der Datenschutzpflichten begreifen; die Transparenz- und Informationspflichten gelten auch bei pseudonymisierten Daten.
- Die Auslegung des Datenschutzes nach VoG 2018/1725 und DSGVO bleibt einheitlich: Ein hohes Schutzniveau auf Basis weiter Begriffsverständnisse ist verpflichtend – auch in regulatorischen Verfahren.
Fazit: Einerseits unterstreicht das Urteil die weite Auslegung des Begriffs personenbezogener Daten, insbesondere wenn es um persönliche Äußerungen geht. Andererseits, so meinen manche, lässt der EuGH Spielraum für Konstellationen, in denen Pseudonymisierung tatsächlich dazu führt, dass Daten für Dritte nicht mehr als personenbezogen einzustufen sind. Das Urteil betont, dass selbst streng pseudonymisierte Daten im Behördenkontext dem gleichen strengen Schutz und den Transparenzpflichten wie reguläre personenbezogene Daten unterliegen. Verantwortliche müssen Empfänger und Verarbeitungszwecke vollständig und verständlich offenlegen, um das Vertrauen in Datenschutz zu gewährleisten. Unternehmen dürfen sich nicht auf die Sichtweise ihrer Dienstleister verlassen. Maßgeblich ist, ob sie selbst bei der Erhebung der Daten einen Personenbezug feststellen können. Sobald dies der Fall ist, muss die betroffene Person über eine mögliche Weitergabe informiert werden.
