EuGH-Urteil vom 4.9.2025, Rechtssache C‑413/23 P
Sachverhalt:
Nach der Abwicklung der spanischen Bank „Banco Popular Español“ prüfte der Einheitliche Abwicklungsausschuss (SRB), ob ehemalige Aktionäre und Gläubiger Anspruch auf Entschädigung haben. Dazu konnten die Betroffenen ihre Stellungnahmen online abgeben. Einige dieser Beiträge leitete der SRB an Deloitte weiter, die die Auswirkungen der Abwicklung fachlich bewerten sollte. Jede online eingereichte Stellungnahme erhielt einen zufällig generierten 33-stelligen alphanumerischen Code. Der SRB verarbeitete die Eingaben, filterte Dubletten und übermittelte thematisch sortierte Stellungnahmen an Deloitte. Deloitte hatte keinen Zugang zu der Registrierungsdatenbank (Ausweise, Nachweise etc). Nur der SRB konnte Stellungnahmen über den Code konkreten Personen zuordnen.
Mehrere Betroffene beschwerten sich beim Europäischen Datenschutzbeauftragten (EDSB), weil sie nicht darüber informiert worden seien, dass ihre Daten an Deloitte übermittelt werden.
Der EDSB war der Ansicht, dass Deloitte im vorliegenden Fall eine Empfängerin personenbezogener Daten der Beschwerdeführer sei. Er stellte außerdem fest, dass der SRB gegen die Informationspflicht über Empfänger verstoßen habe. Nach dem EuG befasste sich nun der EuGH mit dem Fall.
Entscheidung:
Der EuGH bestätigte die Sicht des EDSB, dass die streitigen Informationen personenbezogene Daten sind und der SRB über Empfänger wie Deloitte bereits zum Zeitpunkt der Datenerhebung hätte informieren müssen (Art 15 Abs 1 lit d VO 2018/1725). Der EuGH hielt dazu fest:
Meinungen in Stellungnahmen sind personenbezogene Daten. Informationen „über“ eine Person umfassen alle Arten von Angaben, also auch subjektive Einschätzungen. Die eingereichten Antworten spiegeln persönliche Ansichten der Verfasser wider und beziehen sich damit auf diese Personen. Eine zusätzliche Prüfung von Zweck und Auswirkungen ist hierfür nicht erforderlich; es genügt der Inhalt.
Pseudonymisierte Daten können ggf. für einzelne Akteure nicht (mehr) personenbeziehbar sein. Für den SRB blieben die übermittelten Stellungnahmen jedoch personenbezogen, weil er die Zuordnungsinformationen (Registrierungsdatenbank + Code) besaß. Für den Empfänger (Deloitte) kann Personenbezug fehlen, wenn effektive technische und organisatorische Maßnahmen eine Re-Identifizierung nach allgemeinem Ermessen verhindern. Das ändert aber nichts am Personenbezug beim Verantwortlichen, der pseudonymisiert. Pseudonymisierung ist daher nicht gleich Anonymisierung.
Die Pflicht, über Empfänger zu informieren (Art 15 Abs 1 lit d), greift zum Zeitpunkt der Erhebung und aus der Sicht des Verantwortlichen. Es kommt also nicht darauf an, ob der Empfänger (Deloitte) selbst re-identifizieren könnte. Entscheidend ist, dass der SRB beim Einsammeln der Antworten personenbezogene Daten erhob und Empfänger hätte nennen müssen, damit Betroffene ihre Einwilligung bzw. Mitwirkung in Kenntnis der Sachlage erteilen oder verweigern können.
Der EuGH hob das Urteil des EuG, mit dem die Entscheidung des Europäischen Datenschutzbeauftragten für nichtig erklärt wurde, auf und verwies das Verfahren zur Prüfung eines zweiten (noch ungeprüften) Klagegrundes zurück.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
DSGVO gewährt Patienten das Recht auf eine kostenlose Erstkopie ihrer Krankengeschichte