Um nach der Abwicklung des spanischen Finanzinstituts Banco Popular Español endgültig darüber zu entscheiden zu können, ob Anteilseigner und Gläubiger zu entschädigen sind, gab der Einheitliche Abwicklungsausschuss (SRB), die für die Bankenabwicklung zuständige Behörde der EU-Bankenunion, ihnen in einem Anhörungsverfahren die Möglichkeit Stellung zu nehmen. Einen Teil der Stellungnahmen übermittelte der Ausschuss pseudonymisiert an das Wirtschaftsprüfungs- und Beratungsunternehmen Deloitte, das die Auswirkungen der Abwicklung auf die Anteilseigner und Gläubiger bewerten sollte.
Mehrere Betroffene beschwerten sich beim EU-Datenschutzbeauftragten (EDSB), weil der SRB sie nicht über die Übermittlung der Daten an Deloitte informiert habe. Der EDSB ging davon aus, dass es sich um personenbezogene Daten handelte und bejahte daher einen Verstoß des SRB gegen seine Informationspflicht aus Art. 15 Abs. 1 lit. d der Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union. Nach dieser Vorschrift müssen bei der Erhebung personenbezogener Daten den betroffenen Personen die Empfänger der Daten vom Verantwortlichen mitgeteilt werden. Beim EuG hatte der SRB mit seiner anschließenden Nichtigkeitsklage Erfolg.
Pseudonymisierte Daten nicht immer personenbezogene Daten
Das Rechtsmittel des EDSB beim EuGH führte allerdings zur Aufhebung des Urteils und zur Zurückweisung der Sache (Urteil vom 04.09.2025 - C-413/23 P). Nach Art. 3 Nr. 1 der VO (EU) 2018/1725 sind personenbezogene Daten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen". Das EuG hatte gemeint, die Stellungnahmen seien nicht deshalb automatisch personenbezogene Daten, weil sie Meinungen oder Sichtweisen widerspiegelten. Der EDSB hätte keine auf die Betroffenen bezogenen Informationen annehmen dürfen, ohne den Inhalt, den Zweck und die Auswirkungen der Stellungnahmen zu prüfen. Der EuGH moniert diese Auslegung des EuG: Persönliche Meinungen oder Sichtweisen seien zwangsläufig eng mit der Person verknüpft.
Bestätigt hat der EuGH das EuG darin, dass pseudonymisierte Daten nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten seien. Denn aus den Bestimmungen der Verordnung in der Auslegung durch die Rechtsprechung ergebe sich, dass die Pseudonymisierung – je nach den Fallumständen – andere Personen als den Verantwortlichen tatsächlich daran hindern könne, die betroffene Person zu identifizieren.
Für Identifizierbarkeit Perspektive des Verantwortlichen maßgeblich
Die Identifizierbarkeit der betroffenen Person ist laut EuGH aus der Sicht des Verantwortlichen, des SRB, zum Zeitpunkt der Datenerhebung zu prüfen, nicht aus der Sicht des Empfängers. Die Informationspflicht des SRB sei vor der Übermittlung der Stellungnahmen entstanden und unabhängig davon, ob es sich dabei aus der Sicht von Deloitte nach ihrer Pseudonymisierung um personenbezogene Daten handelte oder nicht.
Das EuG hatte gemeint, der EDSB hätte für die Beurteilung, ob der SRB seine Informationspflicht erfüllt habe, prüfen müssen, ob die übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten.
