Pseudonymisierung als Ausweg aus der DSGVO? Aktuelle Rechtslage und zukünftige Chancen
Was ist die geltende Rechtslage?
Die DSGVO ist anwendbar, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten liegen nach der DSGVO vor, wenn sich Informationen auf eine identifizierte oder identifizierbare Person beziehen. Ein Blick in die Erwägungsgründe der DSGVO zeigt, dass der Gesetzgeber dies denkbar weit verstanden wissen wollte. So ist in Erwägungsgrund 26 festgehalten, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, gleichermaßen als personenbezogene Daten verstanden werden sollen. Die DSGVO soll nach dem Willen des Gesetzgebers in solchen Fällen also Anwendung finden. Gleichzeitig hat der Gesetzgeber klargestellt, dass vollständig anonyme Informationen – also Daten, die unter keinen Umständen auf eine Person zurückgeführt werden können – mangels Personenbezugs nicht der DSGVO unterfallen.
Nach aktueller Rechtslage gilt daher im Grundsatz:
- Anonyme Daten unterfallen nicht der DSGVO
- Pseudonyme Daten unterfallen der DSGVO
Eine Pseudonymisierung ist zwar in der Regel eine wirksame Maßnahme zur Erhöhung des (technischen) Datenschutzniveaus. Sie stellt jedoch keinen Ausweg aus der DSGVO dar. Insbesondere ist weiterhin stets eine Rechtsgrundlage für die Datenverarbeitung erforderlich.
Worin besteht das Problem?
Erschwerend kommt hinzu, dass eine tatsächliche Anonymisierung nach obigen Erwägungen praktisch nur sehr schwer erreichbar ist. Zieht man hinreichend viele zusätzliche Informationen heran, wird sich auch nachträglich sehr häufig ein Personenbezug einzelner Informationen (wieder-)herstellen lassen. Die Möglichkeit allein aus Metadaten ohne eindeutigen Personenbezug Rückschlüsse auf die Identität zu ziehen, ist hierbei nur ein Beispiel. Es besteht also das ggf. ungewollte Risiko, dass Personenbezüge dort entstehen, wo man sie als Datenverarbeiter weder erwartet noch beabsichtigt hat. Der Europäische Gerichtshof (EuGH) hat zudem bereits vor Geltung der DSGVO entschieden, dass ein Personenbezug auch dann besteht, wenn bloß eine rechtliche Möglichkeit (etwa über ein gerichtliches Auskunftsverfahren) gegeben ist, an eine zusätzliche Information zu gelangen, die den Personenbezug von Informationen wiederherstellt. Im damaligen Fall betraf dies IP-Adressen, was Betreiber von Websiten vor erhebliche Herausforderungen stellte und wodurch sich insbesondere Abmahnwellen ergaben. Welche Auswirkungen nach dieser Rechtsprechung etwa eine starke Verschlüsselung auf den Personenbezug von Daten entfaltet, hatte VOELKER anlässlich des EuGH-Urteils bereits 2016 berichtet (https://www.voelker-gruppe.com/kompetenzen/ip-it-stuttgart/beitraege/sind-verschluesselte-daten-personenbezogene-daten).
Was könnte sich nun ändern?
Zunehmend wird diskutiert, ob dieses inzwischen über zehn Jahre alte Verständnis des Personenbezugs in Zeiten von Big Data möglicherweise zu weit geht. Der Bundesgerichtshof (Beschluss vom 28.08.2025 - VI ZR 258/24) hat etwa jüngst im Zusammenhang mit DSGVO-Massenabmahnungen dem EuGH die Frage vorgelegt, ob die Möglichkeit der Wiederherstellung des Personenbezugs aus Sicht eines Dritten zu verstehen ist (objektiver Maßstab) oder vielmehr die tatsächlich bestehenden faktischen und rechtlichen Möglichkeiten des einzelnen Datenverarbeiters maßgeblich sind (subjektiver Maßstab). In der Rechtsprechung könnte dies eine Abkehr vom seit 2016 bestehenden Rechtsverständnis bedeuten. Im Falle eines subjektiven Maßstabs würde eine tatsächliche Anonymisierung im Sinne der DSGVO ggf. bereits dann vorliegen, wo bislang nur von einer Pseudonymisierung auszugehen war.
Daneben sieht aber auch der europäische Gesetzgeber inzwischen Änderungsbedarf. Neben vielen weiteren Regelungen ist im sog. „Digitale Omnibus“ der Europäischen Kommission unter anderem eine Ergänzung der Definition von personenbezogenen Daten vorgesehen, sodass „Angaben […] nicht notwendigerweise personenbezogene Daten für jede andere Person oder Einrichtung [darstellen], nur weil eine andere Einrichtung diese natürliche Person identifizieren kann“. Vorbehaltlich möglicher Änderungen könnte auch dies dazu führen, dass bisher lediglich pseudonyme Informationen zukünftig faktisch im Sinne der DSGVO und aus der subjektiven Sicht des Datenverarbeiters anonym werden.
Fazit und Ausblick
Im Einzelnen sind diese weiteren Entwicklungen aber noch offen. Ob (und ggf. wann) der EuGH seine bisherige Rechtsprechung auf Basis der bisherigen Gesetzgebung einschränken wird, ist offen. Zugleich stieß auch der Entwurf des „Digitalen Omnibus“ im Rahmen des Gesetzgebungsverfahrens auf Kritik und ist bisher nur ein Gesetzesvorschlag, sodass sich (wie zuletzt häufig bei EU-Gesetzen) noch entscheidende Änderungen ergeben mögen. Bis 13.03.2026 läuft nun die Kommentierungsfrist zum Gesetzesvorhaben.
Für Datenverarbeiter würde das geplanten Gesetzesvorhaben oder eine Rechtssprechungsänderung eine erhebliche und praxistaugliche Entlastung bedeuten. Dies gilt insbesondere für Bereiche, wo bislang fraglich war, ob eine absolute Anonymisierung tatsächlich gewährleistet werden kann oder doch lediglich eine Pseudonymisierung gegeben ist und die DSGVO deshalb dennoch beachtet werden muss.