Mit Urteil vom 4. September 2025 (C-413/23 P) hat der Europäische Gerichtshof die Kriterien konkretisiert, nach denen pseudonymisierte Daten nicht als personenbezogen gelten.
Bisher war unklar, ob pseudonymisierte Daten immer personenbezogen sind oder ob es darauf ankommt, welche Mittel ein Empfänger tatsächlich zur Identifizierung hat. Diese Unsicherheit führte dazu, dass Unternehmen im Zweifel Datennutzungen unterließen oder die Daten anonymisierten. Durch die Anonymisierung entstehen aber gewichtige Nachteile: Unvollständige Datensätze sind weniger aufschlussreich, Dublettenvermeidung und periodenübergreifende Forschung sind mangels Zuordnung verschiedener Datensätze desselben Patienten nicht möglich. Vor allem aber kann es keine Benachrichtigung des Betroffenen bei signifikanten Ergebnissen geben. Und gerade dies sieht der EHDS als Regelfall für die Sekundärdatennutzung vor („Recht auf Gefundenwerden“).
Der EuGH knüpft nun erfreulicherweise an seine „Breyer“-Rechtsprechung von 2016 an und stellt in „Breyer 2“ klar:
- Maßgeblich ist, ob der jeweilige Empfänger realistischerweise reidentifizieren kann.
- Entscheidend sind die Mittel, die vom Empfänger nach allgemeinem Ermessen wahrscheinlich genutzt werden.
- Damit können Daten für den Absender personenbezogen bleiben, für den Empfänger aber faktisch anonym sein.
Wenn dies der Fall ist, findet das Datenschutzrecht keine Anwendung, und die Daten dürfen ohne gesetzliche Grundlage und ohne Einwilligung genutzt werden. Das ist ein Katalysator für die die Weitergabe und Nutzung von Daten – gerade in Forschung, Medizin und Industrie, unter Wahrung der informationellen Selbstbestimmung der Betroffenen/Patienten.
Die neuen Handlungsspielräume kommen mit Verantwortung. Entscheidend ist die sorgfältige Risikobewertung im Einzelfall. Empfehlenswert sind:
- Dokumentation der Risikoeinschätzung zur Re-Identifizierbarkeit.
- Technische und organisatorische Maßnahmen zur Absicherung.
- Externe Datenschutz-Testate, die die rechtliche Einordnung und die Risikoanalyse nachvollziehbar bestätigen.
So entsteht ein belastbarer Rechtsrahmen für die erweiterte Nutzung pseudonymisierter Daten.
Mit dieser Rechtsprechung im Rücken können wir auch im datenschutzrechtlich konservativen Deutschland unser Forschungsniveau im internationalen Vergleich deutlich verbessern!
Welche Chancen ergeben sich daraus für Sie – und was gilt es nun zu tun?
Mit diesem EuGH Urteil wird endlich der Umgang mit pseudonymisierten Daten möglich. Für die Datenverarbeiter im Gesundheitswesen bedeutet das: Sie können Daten künftig leichter, umfassender und rechtssicher nutzen – sei es für klinische Studien, Versorgungsforschung oder innovative Digital-Health-Anwendungen.
Die Chance liegt darin, Daten ohne Anonymisierung besser zu verknüpfen, Projekte schneller voranzubringen und international wettbewerbsfähig zu werden. Jetzt gilt es, das jeweilige Reidentifikationsrisiko professionell einzuschätzen, die Dokumentation aufzubauen und geeignete Datenschutztestate einzuholen. Wer diese Schritte früh geht, kann die neuen Spielräume rasch nutzen.
