Wann sind Daten anonym?

Unternehmen, Forschungseinrichtungen und digitale Dienstleister in der Schweiz und der EU, die mit grossen Datenmengen arbeiten, müssen die Vorgaben der DSGVO einhalten. Gerade bei anonymisierten und pseudonymisierten Daten ist entscheidend, wann die strengen Datenschutzregeln gelten und wann mehr Spielraum besteht. Ein aktuelles Urteil des EuGH vom 4. September 2025 (Rs. C‑413/23) schafft hier Klarheit und zeigt, wie pseudonymisierte Daten praktisch wie anonymisierte Daten behandelt werden können.

Wann ist ein Datum personenbezogen?

Personenbezogen sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Nehmen wir Herrn Schweizer als Beispiel. Er ist 30 Jahre alt, arbeitet seit fünf Jahren beim Unternehmen X und verdient jährlich CHF 100 000. Diese Angaben scheinen auf den ersten Blick harmlos, doch bereits diese Angaben stellen personenbezogene Daten dar.

Im Gegensatz dazu betreffen Sachdaten nur Dinge, wie ein Auto oder ein Gerät. Sobald sich die Daten einer Person zuordnen lassen, gelten sie als personenbezogen. Auch ohne Namen kann ein Personenbezug bestehen. Mit Zusatzwissen zum Alter, Gehalt und Unternehmenszugehörigkeit könnte jemand Herrn Schweizer auch ohne Namen identifizieren. Das Entfernen des Namens reicht somit nicht automatisch aus, um die Daten zu anonymisieren. Die Frage der Identifizierbarkeit ist folglich kontextabhängig und genau hier setzt die Diskussion um die Anonymisierung und Pseudonymisierung an.

Anonymität nach der absoluten und relativen Theorie

Bei der Anonymisierung werden die Daten so verändert, dass der Personenbezug nicht mehr hergestellt werden kann. Anonymität ist nicht immer eindeutig, wobei es unterschiedliche Ansätze gibt, wie man diese beurteilen kann. Nach der absoluten Theorie wird vorausgesetzt, dass eine Person unter keinen Umständen identifiziert werden kann, egal welche Mittel, welches Wissen oder welche technischen Möglichkeiten Dritten zur Verfügung stehen. Praktisch ist diese Theorie heute kaum realistisch, weil durch moderne Datenanalysen und KI lassen sich Personen oft wiedererkennen, selbst wenn offensichtliche Identifikatoren entfernt wurden.

Aus diesem Grund hat sich in der DSGVO die relative Theorie durchgesetzt, wonach eine Person als anonym gilt, wenn eine Identifizierung nur mit unverhältnismässigem Aufwand an Mitteln, Zeit oder Kosten möglich ist. Entscheidend ist also nicht, ob theoretisch eine hundertprozentige Anonymität besteht, sondern ob die Identifikation für den Verantwortlichen oder Dritte unter normalen Umständen praktikabel ist.

Diese Perspektive spiegelt sich auch in der EuGH-Rechtsprechung wider. Demnach gelten etwa dynamische IP-Adressen oder Fahrzeugidentifikationsnummern nur dann als personenbezogen, wenn Zusatzwissen oder bestimmte Mittel eine Identifizierung realistisch ermöglichen. Die relative Theorie erlaubt es also, Daten praktisch anonymisiert zu nutzen, ohne dass der Schutz der Betroffenen untergraben wird, wobei gleichzeitig ein realistischer Rahmen für Unternehmen und Forschungseinrichtungen geschaffen wird.

Der SRB Fall - Pseudonymisierung in der Praxis

Bei der Pseudonymisierung werden Merkmale mit Personenbezug entfernt, wobei diese allerdings separat aufbewahrt werden und der Personenbezug durch das Hinzufügen dieser Merkmale wiederhergestellt werden kann.

Ein anschauliches Beispiel zur Pseudonymisierung lieferte der Fall rund um den Einheitlichen Abwicklungsausschuss (SRB). Anlass war die Abwicklung einer Bank, wobei tausend Anleger und Gläubiger Stellungnahmen abgegeben haben. Diese Eingaben wurden im System erfasst und pseudonymisiert an Deloitte, einer externen Gutachterin, übermittelt. Zunächst wirkte dies wie ein cleveres Datenschutzkonzept. Deloitte sah nur die Codes, nicht aber die Namen der Personen. Strittig war nun, ob der SRB die Betroffenen über die Weitergabe an Deloitte hätte informieren müssen und ob es sich bei der Übermittlung der Codes um eine Bekanntgabe von Personendaten handelte.

Liegt eine Datenbekanntgabe vor?

Der EuGH verneinte dies und argumentierte damit, dass pseudonymisierte Daten nicht zwingend personenbezogen sind, insbesondere wenn der Empfänger praktisch keine Möglichkeit hat, die Pseudonymisierung aufzuheben. Im vorliegenden Fall war es Deloitte nicht möglich, die Codes mit echten Personen zu verknüpfen. Die Betroffenen Personen konnten von Deloitte nicht identifiziert werden. Mit anderen Worten können Daten, die für den SRB eindeutig einer Person zugeordnet sind, für Deloitte praktisch keine personenbezogenen Informationen darstellen.

Das Gericht stellt damit klar, dass es beim Personenbezug nicht um eine abstrakte „absolut denkbare“ Identifizierbarkeit geht, sondern um die konkreten Mittel und Möglichkeiten des jeweiligen Empfängers. Diese Auslegung folgt dem relativen Ansatz, wonach es darauf an kommt, ob die Re-Identifizierung für die konkrete Stelle realistisch mit den zur Verfügung stehenden Mitteln möglich ist.

Pseudonymisierung kann folglich je nach Perspektive wie eine Anonymisierung wirken. Wichtig ist aber, dass die eingesetzten Massnahmen robust genug sind, sodass eine Re-Identifizierung für den Empfänger wirklich ausgeschlossen bleibt.

Auswirkungen auf die Informationspflicht

Strittig war auch, zu welchem Zeitpunkt die Informationspflicht gegenüber den Empfängern gilt. Entscheidend ist dabei nicht, ob ein späterer Empfänger die Daten möglicherweise identifizieren kann.

Der EuGH stellt klar, dass die Informationspflicht des SRB vor der Übermittlung der Stellungnahmen besteht und dabei irrelevant ist, ob die Daten nach einer möglichen Pseudonymisierung für Deloitte personenbezogen sind oder nicht. Das bedeutet, dass es auf den Zeitpunkt der Erhebung durch den Verantwortlichen ankommt und es keine Rolle spielt, welche Identifikationsmöglichkeiten ein späterer Empfänger haben könnte.

Im Vordergrund steht nicht die Perspektive des Empfängers, da sich sonst die Kontrolle über die Informationspflicht zeitlich verschieben würde. Das wäre unlogisch, weil die Informationspflicht sich auf die Beziehung zwischen Verantwortlichem und betroffener Person bezieht und nicht auf die Möglichkeiten Dritter.

Nur wenn zum Zeitpunkt der Erhebung der Daten damit gerechnet werden muss, dass Daten einem Empfänger effektiv personenbezogen übermittelt werden, entsteht eine Informationspflicht. Ist dies nicht zu erwarten, liegt kein datenschutzrelevanter Vorgang vor und es entstehen keine Verpflichtungen gegenüber den Betroffenen.

Fazit

Der EuGH zeigt auf, dass die Pseudonymisierung von Daten in der Praxis viel Spielraum bietet. Wird Pseudonymisierung konsequent und technisch sauber umgesetzt, lassen sich Datenflüsse deutlich vereinfachen, ohne den Datenschutz zu gefährden. Entscheidend ist die Einzelfallbetrachtung. Nicht die theoretische Möglichkeit einer Identifizierung ist entscheidend, sondern ob die betroffene Person mit realistischem Aufwand von der bearbeitenden Stelle identifiziert werden kann. Dabei sind Wissen, Aufwand, Kosten, rechtliche Möglichkeiten und technische Mittel zur Re-Identifizierung sowohl beim Verantwortlichen als auch beim Empfänger zu berücksichtigen. Trotzdem bleibt die Verantwortung für Datensicherheit immer beim Verantwortlichen.