+++ Please find the English version below. +++
EuGH stellt klar, wann anonymisierte Daten vorliegen
In seinem Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) klargestellt, wann anonymisierte Daten vorliegen und damit effektiv die Anwendbarkeit der DSGVO konkretisiert. Die sachgerechte Entscheidung ist eine Fortführung der Linie des EuGH und setzt einen weiteren Meilenstein in einer stark umstrittenen Rechtsfrage.
Zwar lässt sich dem 26. Erwägungsgrund der DSGVO auf den ersten Blick entnehmen, dass dieser auf anonymisierte Daten nicht anwendbar ist. Doch entzündete sich schon lange vor dem Inkrafttreten der DSGVO der Streit darüber, wann eine Anonymisierung von Daten im rechtlichen Sinne überhaupt vorliegen kann. Schon im Urteil vom 19. Oktober 2016, der Rechtssache Breyer, entschied der EuGH, dass IP-Adressen personenbezogene Daten darstellen können, wenn Verantwortliche über Möglichkeiten verfügen, die Kundendaten von Internetprovidern zu erhalten. Diese Entscheidung hatte bereits fundamentale Auswirkungen auf den Datenschutz im weltweiten Internet. Der EuGH setzt diese Rechtsprechung nun fort und klärt damit diese Frage.
Die abstrakte Fragestellung, wann eine Anonymisierung vorliegt, dreht sich um das Problem, welche Mittel einer verantwortlichen Stelle zur Verfügung stehen, um eine Person hinter einem Datensatz zu identifizieren (oder zu „re-identifizieren“). Es ist denkbar, dass eine andere Stelle über das verknüpfende Element verfügt – so wie es bei IP-Adressen der Fall ist, da Internetprovider diese ihren Kund:innen zuordnen können. So stellte sich die Frage auch im jetzigen Rechtsstreit zwischen dem Europäischen Datenschutzbeauftragten und dem Einheitlichen Abwicklungsausschuss (Single Resolution Board, SRB). Der SRB hatte in einem Abwicklungsverfahren einer spanischen Bank Gläubigerdaten mit einem Drittunternehmen geteilt, wobei der Personenbezug durch eine alphanummerische Kennziffer ersetzt wurde. Die betroffenen Personen wurden über diesen Transfer nicht informiert. Der Europäische Datenschutzbeauftragte argumentierte, dass lediglich pseudonymisierte Daten vorliegen, selbst wenn das Drittunternehmen die Personen nicht identifizieren kann, da die Kennziffern nur durch den SRB zugeordnet werden konnten. Der EuGH entschied sich, abermals, für den Ansatz, der die jeweilige Perspektive einer verantwortlichen Stelle einnimmt: so liegen aus Sicht des SRB pseudonymisierte (und damit personenbezogene) Daten vor, aus Sicht des Drittunternehmens aber anonymisierte Daten, auf die die DSGVO keine Anwendung findet.
Informationspflichten bleiben jedoch bestehen
Jedoch entschied der EuGH weiter, dass der SRB die betroffenen Personen über den Transfer zu informieren hatte, da jedenfalls aus dessen Sicht der Personenbezug gegeben war. Diese Entscheidung ist nachvollziehbar und begrüßenswert, da so weiterhin bei betroffenen Personen Klarheit herrscht, welche Stellen ihre Daten erhalten und warum gegebenenfalls diese aber die DSGVO nicht beachten müssen.
Anonymisierung von branchenübergreifendem Interesse
Das Problem, wie Daten rechtssicher zu anonymisieren sind, stellt sich in zahlreichen Bereichen. So taucht diese Fragen immer wieder bei medizinischen oder statistischen Forschungsdaten auf, kann jedoch auch beim Training von KI-Modellen oder der Anwendung von KI-Systemen sehr relevant sein, da anonymisierte Datensätze DSGVO-rechtskonforme Trainings- und Ausgabedaten sind.
Gleichzeitig sind betroffene Personen nicht schutzlos gestellt. Anonymisierung muss Anonymität bedeuten und die Gefahren der Re-Identifizierung ausschließen. Diejenigen Stellen, welche den notwendigen Schlüssel zur Re-Identifizierung vorhalten, müssen die Vorschriften der DSGVO vollständig anwenden. Diejenigen Stellen, bei denen anonymisierte Daten vorliegen, müssen laufend überwachen, dass die Anwendbarkeit der DSGVO nicht dadurch wiederauflebt, dass ihnen die Re-Identifizierung durch neue Mittel plötzlich wieder möglich ist.
+++
Landmark decision by the CJEU on the anonymization of personal data
In its ruling of September 4, 2025, the European Court of Justice (CJEU) clarified when data is considered anonymised, thereby effectively specifying the applicability of the GDPR. This appropriate decision is a continuation of the CJEU's line and sets another milestone in a highly controversial legal issue.
At first glance, it appears from recital 26 of the GDPR that it does not apply to anonymised data. However, long before the GDPR came into force, there was already controversy over when data can be considered anonymised in the legal sense. In its judgment of October 19, 2016, in the Breyer case, the CJEU ruled that IP addresses can constitute personal data if controllers have the means to obtain customer data from internet providers. This decision already had a fundamental impact on data protection on the global internet. The CJEU is now continuing this case law and thus clarifying this issue.
The abstract question of when anonymization exists revolves around the problem of what means are available to a controller to identify (or “re-identify”) a person behind a data record. It is conceivable that another body may have the linking element – as is the case with IP addresses, since Internet service providers can assign them to their customers. This question also arose in the current legal dispute between the European Data Protection Supervisor and the Single Resolution Board (SRB). In a resolution procedure involving a Spanish bank, the SRB had shared creditor data with a third-party company, replacing the personal reference with an alphanumeric code. The individuals concerned were not informed of this transfer. The European Data Protection Supervisor argued that only pseudonymised data was available, even if the third-party company could not identify the individuals, as the codes could only be assigned by the SRB. The CJEU once again opted for the approach that takes the perspective of the respective controller: from the SRB's point of view, the data is pseudonymised (and therefore personal), but from the third-party company's point of view, it is anonymised data to which the GDPR does not apply.
However, information obligations remain in place
However, the CJEU further ruled that the SRB had to inform the data subjects about the transfer, as it considered the data to be personal. This decision is understandable and welcome, as it continues to provide clarity to data subjects as to which entities receive their data and why, in some cases, these entities are not required to comply with the GDPR.
Anonymization of cross-industry interest
The problem of how to anonymize data in a legally compliant manner arises in numerous areas. This question arises repeatedly in the context of medical or statistical research data, but can also be very relevant in the training of AI models or the application of AI systems, as anonymised data sets are training and output data that comply with the GDPR.
At the same time, data subjects are not left unprotected. Anonymization must mean anonymity and exclude the risks of re-identification. Those entities that hold the necessary key to re-identification must fully apply the provisions of the GDPR. Those entities that hold anonymised data must continuously monitor that the applicability of the GDPR is not revived by the fact that re-identification is suddenly possible again through new means.
