Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Relativer Ansatz der Anonymisierung: Was Unternehmen jetzt wissen müssen

10/2025 – Fachartikel von Tatjana Furrer und Ursula Thier, Swiss Infosec AG

Während anonymisierte Daten nicht mehr dem Datenschutzrecht unterstehen, bleiben pseudonymisierte Daten grundsätzlich Personendaten. Genau an dieser Schnittstelle kommt es immer wieder zu Diskussionen. Im Entscheid C‑413/23 P hat der EuGH nun verdeutlicht, wie dieser relative Ansatz der Anonymisierung zu verstehen ist. Der EuGH stellte klar: Pseudonymisierte Daten sind nicht in jedem Fall als personenbezogen einzustufen.

Einführung: Absolute vs. relative Anonymisierung

Die Begriffe «Anonymisierung» und «Pseudonymisierung» werden im schweizerischen Datenschutzrecht (DSG) nicht definiert. Unter Anonymisierung ist dabei jede Massnahme zu verstehen, die bewirkt, dass die Identität der betroffenen Personen nicht mehr oder nur noch mit ausserordentlichem Aufwand festgestellt werden kann (Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23. März 1988, 473). Der Aufwand, um den Personenbezug wiederherzustellen, muss dabei so gross sein, dass keine Person diesen vernünftigerweise auf sich nehmen würde (vgl. BGE 136 II 508 E.3.2.) Währenddessen werden bei der Pseudonymisierung Daten kodiert und verschlüsselt, d.h. den jeweiligen Personendaten werden anhand einer Korrespondenztabelle ein Pseudonym zugeordnet. Wer den Schlüssel hat, kann den Personenbezug herstellen.

In der datenschutzrechtlichen Diskussion haben sich zwei Theorien zur Beurteilung, ob Daten als „anonym“ gelten, entwickelt:

  • Absolute Anonymisierungstheorie: Daten sind nur dann anonym, wenn es unter keinen Umständen und für Niemanden mehr möglich ist, einen Personenbezug herzustellen. Dieser Ansatz legt die Messlatte hoch. Faktisch sind fast keine Daten vollständig anonym.
  • Relative Anonymisierungstheorie: Massgebend ist die Perspektive des jeweiligen Empfängers: Wenn für ihn keine realistische Möglichkeit besteht, eine Person zu identifizieren, gelten die Daten als anonym, selbst wenn für andere Organisationen ein Personenbezug mit Zusatzinformationen herstellbar wäre.

EuGH: Keine Bekanntgabe personenbezogener Daten bei nicht aufhebbarer Pseudonymisierung (C-413/23 P)

Im Verfahren (Rs. C-413/23 P) befasste sich der EuGH mit der Frage der Informationspflicht bei der Bekanntgabe pseudonymisierter Daten. Der Hintergrund war ein Beschluss des Single Resolution Board (SRB), der Abwicklungsbehörde der EU-Bankenunion, ein Verfahren gegen eine Bank einzuleiten. Anteilseigner und Gläubiger konnten dazu Stellungnahmen abgeben, die später pseudonymisiert an Deloitte weitergegeben wurden.

Deloitte erhielt nur Stellungnahmen mit alphanumerischem Code. Nur das SRB konnte diese Codes mit den bei der Registrierung erhobenen Daten verknüpfen. Deloitte selbst hatte keinen Zugang zu dieser Datenbank.

Die Streitfrage war, ob die Betroffenen über die Weitergabe an Deloitte hätten informiert werden müssen, was vorausgesetzt hätte, dass es sich bei den Daten um personenbezogene Daten handelt.

Der EuGH stellte in diesem Entscheid klar, dass pseudonymisierte Daten nicht in jedem Fall als personenbezogen gelten. Kann der Empfänger die Pseudonymisierung nicht aufheben und fehlt ihm jede realistische Re-Identifikationsmöglichkeit, verarbeitet er aus seiner Sicht keine personenbezogenen Daten.

Mit seinem Entscheid folgt der EuGH der relativen Anonymisierungstheorie: Entscheidend ist die Perspektive des Empfängers und dessen tatsächlicher Zugriff auf Re-Identifizierungsmöglichkeiten.

Worauf ist in der Praxis zu achten, damit aus Sicht des Empfängers keine personenbezogenen Daten vorliegen?

Pseudonymisierte Daten gelten nur dann nicht als personenbezogen, wenn eine Re-Identifizierung wirksam ausgeschlossen ist. Lässt sich dies nicht sicherstellen, sind die Daten weiterhin als Personendaten zu behandeln.

Für eine wirksame Pseudonymisierung ist daher Folgendes zu beachten:

  • Schlüsseltrennung: Nur der Verantwortliche darf den Zuordnungsschlüssel besitzen, Empfänger darf keinen Zugriff darauf haben.
  • Wirksame Massnahmen: Die eingesetzten Verfahren müssen tatsächlich verhindern, dass eine Re-Identifizierung möglich ist, auch nicht über Abgleiche mit anderen Daten.
  • Realistische Identifizierbarkeit: Massgeblich ist, ob nach allgemeinem Ermessen eine Identifizierung vernünftigerweise möglich wäre. Rein theoretische Risiken genügen nicht.
  • Unverhältnismässigkeit: Ist eine Re-Identifizierung nur mit unverhältnismäßigem Aufwand (Zeit, Kosten, Ressourcen) oder rechtlich verboten, gelten die Daten beim Empfänger nicht als personenbezogen.
  • Drittempfänger: Werden pseudonymisierte Daten an andere Personen übermittelt, die über geeignete Mittel zur Re-Identifizierung verfügen, gelten sie weiterhin als personenbezogene Daten.
  • Dokumentation und Vertrag: Wichtig bleibt eine saubere Dokumentation und vertragliche Absicherung, dass der Empfänger die Pseudonymisierung nicht aufheben kann und wird.

Informationspflicht

Das Gericht hat auch klargestellt, dass die Informationspflicht des Verantwortlichen bereits zum Zeitpunkt der Datenerhebung greift und nicht erst bei einer späteren Weitergabe. Verantwortliche müssen die Empfänger daher schon bei der Erhebung nennen, selbst wenn diese später nur pseudonymisierte Daten erhalten. Entscheidend ist dabei allein das Verhältnis zwischen Verantwortlichem und betroffener Person, nicht die Sicht des Empfängers. Ob ein späterer Empfänger die Daten identifizieren könnte, ist aus Sicht des EuGH für die Informationspflicht unerheblich.

Verantwortlicher vs. Datenempfänger – zwei Perspektiven

Für den Datenempfänger gelten wirksam pseudonymisierte Daten wie anonymisierte Daten, es braucht weder einen Auftragsbearbeitungsvertrag noch Standardvertragsklauseln bei Auslandsübermittlungen.

Der Verantwortliche bleibt jedoch in der Pflicht: Unter dem Aspekt der Datensicherheit kann es sinnvoll sein, mit dem Datenempfänger die Vertraulichkeit und Zweckbindung vertraglich abzusichern. Auch die Informationspflicht hat der Verantwortliche zu beachten.

Fazit

Richtig umgesetzt, kann Pseudonymisierung den Datenschutzaufwand erheblich reduzieren. Sie ersetzt jedoch nicht die Pflicht zur Transparenz und zur sorgfältigen Vertragsgestaltung mit jeweiligen Datenempfängern. Wir empfehlen, vertraglich ein ausdrückliches Verbot jeglicher Re-Identifizierungsversuche zu vereinbaren. Prüfen Sie in Ihren Projekten regelmässig, ob die Pseudonymisierung wirksam umgesetzt ist, und dokumentieren Sie dies. Nur so können Sie im Fall einer Kontrolle nachweisen, dass keine Re-Identifizierung für die allfälligen Datenempfänger möglich ist. Aus Sicht des Datenempfängers, der ausschliesslich mit anonymisierten Daten arbeiten will, ist vertraglich und technisch sicherzustellen, dass sämtliche Schlüssel zur Re-Identifizierung beim Verantwortlichen verbleiben. Der Datenempfänger erhält weder Zugriff noch Anspruch auf diese Schlüssel, und der Verantwortliche verpflichtet sich, die Schlüssel vor unbefugtem Zugriff zu schützen.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 17.09.2025
Kompetenzzentrum Datenschutz

Zur Datenschutz-Übersicht
Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Tatjana Furrer
Managing Consultant
Anfrage
Tatjana Furrer
Managing Consultant
Anfrage
© Swiss Infosec AG 2025