Drei EU-Urteile verschärfen Datenschutzpflichten für Unternehmen : Relativer Personenbezug, USA-Transfers, Schadensersatz

In der ersten Septemberwoche 2025 haben der Europäische Gerichtshof (EuGH) und das Gericht der Europäischen Union (EuG) eine Reihe von Grundsatzurteilen zum Datenschutzrecht gefällt. Sie betreffen den gesamten Lebenszyklus personenbezogener Daten – von der Erhebung und Verarbeitung über internationale Datentransfers bis hin zur Haftung bei Datenschutzverstößen. Die Entscheidungen schaffen zwar teilweise rechtliche Klarheit in zentralen Fragestellungen, verschärfen zugleich aber die Anforderungen an Verantwortliche und Auftragsverarbeiter.

Besonders betroffen sind Organisationen mit umfangreicher Datenverarbeitung und sensiblen Informationen, etwa Krankenhäuser, Medizintechnik (MedTech), Forschungseinrichtungen sowie Versicherer und Banken. Für sie stellt sich vor allem die Frage, welche bestehenden Prozesse, Verträge und Risikobewertungen jetzt pragmatisch anzupassen sind.

Wir fassen die wichtigsten Kernaussagen zusammen und analysieren, welche praktischen Konsequenzen sich daraus für die datenintensiven Branchen ergeben.

Relativer Personenbezug: Perspektive des Empfängers entscheidet

Im Verfahren des Einheitlichen Abwicklungsausschusses (Single Resolution Board, SRB), der als europäische Behörde für die Abwicklung von großen Kreditinstituten zuständig ist, ging es um die Frage, wann Daten als personenbezogen einzustufen sind und aus wessen Perspektive dies zu beurteilen ist (EuGH, Urt. v. 04.09.2025 – Az. C-413/23 P). Der SRB hatte Fragebögen an Anteilseigner und Gläubiger einer europäischen Bank verteilt und die Antworten pseudonymisiert an eine Wirtschaftsprüfungsgesellschaft übermittelt. Betroffene beschwerten sich, weil sie nicht über die Weitergabe informiert worden waren. Der SRB argumentierte, die pseudonymisierten Daten seien für den Wirtschaftsprüfer keine personenbezogenen Daten.

Entscheidend sei die Sicht des Verantwortlichen. Solange der Empfänger keine Mittel habe, die nach allgemeinem Ermessen wahrscheinlich für eine Re-Identifizierung genutzt werden könnten, liege kein personenbezogenes Datum vor. Damit wurde die Theorie des relativen Personenbezugs ausdrücklich bestätigt. Maßgeblich ist nicht allein das eingesetzte Verfahren, sondern ob der konkrete Empfänger realistische, zumutbare Re-Identifizierungsmöglichkeiten hat. Fehlen diese, gelten die übermittelten Daten für ihn nicht als personenbezogen – auch wenn sie für den ursprünglichen Verantwortlichen noch personenbeziehbar sind.

Für Unternehmen und öffentliche Einrichtungen bedeutet dies, dass bestehende Risikobewertungen, Pseudonymisierungs- und Anonymisierungsverfahren (vor allem bei mehreren beteiligten Parteien) – etwa im Rahmen von Datenschutz-Folgenabschätzungen – überprüft und gegebenenfalls angepasst werden sollten. Von zentraler Bedeutung sind Maßnahmen, die eine Re-Identifizierung (RE-ID) natürlicher Personen wirksam verhindern.

Eine Re-Identifizierung liegt vor, wenn pseudonymisierte oder vermeintlich anonymisierte Daten wieder einer Person zugeordnet werden können. In diesem Fall gelten sie für den jeweiligen Empfänger erneut als personenbezogene Daten und unterliegen folglich dem Schutz der Datenschutzgrundverordnung (DSGVO).

Konkrete Anforderungen für Gesundheit, Forschung und Finanzbranche

• Gesundheitseinrichtungen und Forschung: In Gesundheitseinrichtungen treffen hohe Schutzbedarfe auf komplexe Versorgungs- und Studienprozesse. Relevante Maßnahmen sind klar getrennte Datenströme zwischen Versorgung, Forschung und Dienstleistern, strikte Schlüsselverwaltung und vertragliche Re-Identifizierungsverbote. Die Idee einer relativen Anonymisierung hat durch das Urteil erneut an Bedeutsamkeit gewonnen. Entscheidend ist, dass Empfänger keinen Zugriff auf Re-ID-Hilfsmittel (Schlüssel, Zuordnungstabellen, externe Referenzdaten) haben. Verträge mit IT-Dienstleistern und Laboren sollten dies ausdrücklich festhalten. Da die Daten beim Dienstleister vielfach nicht mehr als personenbezogen gelten, sollten die Verträge angepasst und aktualisiert werden, um sicherzustellen, dass keine gegen die DSGVO verstoßende Verarbeitung erfolgt. So sollte etwa eine Vermischung von Informationen aus unterschiedlichen Quellen (etwa verschiedenen Nutzern oder Geräten) durch strikt getrennte Datenströme verhindert werden. Außerdem ist jeglicher Zugriff auf Zuordnungstabellen zu unterbinden, da solche Tabellen eine Re-Identifizierung ermöglichen würden.
• MedTech: Bei MedTech, Software as a Medical Device (SaMD) und KI-Diagnostik entstehen Re-Identifizierungsrisiken vor allem in der Telemetrie, beim Logging und im Support. Sinnvoll sind datenflussbezogene Trennungen zwischen Produktbetrieb, Fehleranalyse und Analytics, eine klare Schlüsselhoheit beim Verantwortlichen sowie Auditklauseln für Dritte. Zusätzlich sollte geprüft werden, ob ein KI-Modell aus seinen Ergebnissen Rückschlüsse auf einzelne Personen zulässt (Model-Inversion-Risiko). Protokolldaten sollten nur zweckgebunden und zeitlich begrenzt vorgehalten werden.
• Versicherungen und Finanzdienstleistungen: In Scoring, Underwriting und Betrugsprävention wird häufig mit pseudonymisierten Risikodaten gearbeitet. Der bestätigte relative Personenbezug ermöglicht Analysen beim Dienstleister, sofern Re-Identifizierung praktisch ausgeschlossen und vertraglich untersagt ist. Proxy-Merkmale und Datenanreicherungen aus Drittquellen sind eng zu kontrollieren und regelmäßig zu auditieren.

USA-Transfers: Angemessenheitsbeschluss vorläufig bestätigt

Die nächste Entscheidung betrifft die Frage, wann personenbezogene Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden dürfen (EuG, Urt. v. 03.09.2025 – Az. T-553/23). Geklagt hatte Philippe Latombe, ein französischer Abgeordneter und Mitglied der französischen Datenschutzaufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL).

Latombe wandte sich mit seiner Klage gegen den Durchführungsbeschluss der EU-Kommission, der die Angemessenheit des Datenschutzniveaus in den USA auf Grundlage des sogenannten EU-U.S. Data Privacy Frameworks festgestellt hatte. Zentrales Argument der Kommission war, dass die Einrichtung des sogenannten Data Protection Review Courts (DPRC) angemessene Verfahrensgarantien für europäische Bürgerinnen und Bürger gewährleiste.

Latombe griff den Durchführungsbeschluss vor allem damit an, dass der DPCR kein unparteiisches und unabhängiges Gericht sei. Außerdem sei die massenhafte Datenverarbeitung („Bulk Collection“) durch amerikanische Geheimdienste rechtswidrig.

Überraschend ließ das EuG die Klage zu und bestätigte den Angemessenheitsbeschluss. Dabei stärkte es zwar die Rechte der Betroffenen, hielt den Beschluss insgesamt jedoch für wirksam – wenn auch auf teilweise wenig überzeugender Grundlage. Beobachter rechnen deshalb mit einem Rechtsmittel Latombes oder weiteren Klagen von Datenschutzorganisationen (etwa der NGO „None of Your Business“). Für die Praxis gilt: Der Angemessenheitsbeschluss für die USA steht derzeit, bleibt aber politisch und rechtlich umstritten. Mittelfristig dürfte letztlich der EuGH über den Fortbestand des Data Privacy Frameworks entscheiden.

Was bedeutet das operativ? Datentransfers in die USA bleiben vorerst zulässig. Unternehmen sollten eine aktuelle Data-Privacy-Framework-(DPF)-Zertifizierung ihrer US-Dienstleister dokumentieren, auf DPF gestützte Transfers sauber kennzeichnen und Standardvertragsklauseln als Fallback vorhalten. So bleiben Wechseloptionen verfügbar, falls sich die Rechtslage ändert.

Dokumentations- und Vorsorgepflichten bei Drittlandtransfers

Forschungseinrichtungen, Medizintechnikunternehmen sowie Versicherungs- und Finanzdienstleister werten Daten aus, häufig unter Einbindung externer Dienstleister und – aus Effizienz- oder Spezialisierungsgründen – auch in Drittstaaten wie den USA. Durch die erstinstanzliche Entscheidung des EuG erhalten sie zumindest vorübergehend eine belastbare Orientierung bei diesen Transfers. Gleichwohl sollte den Unternehmen bewusst sein, dass dem Kläger weiterhin ein Rechtsmittel offensteht.

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten daher den Fortbestand des Angemessenheitsbeschlusses für die USA genau verfolgen, ihre Diensteanbieter regelmäßig auf eine aktuelle DPF-Zertifizierung prüfen und gegebenenfalls vorab Alternativen vertraglich absichern, um im Fall einer etwaigen gegenteiligen EuGH-Entscheidung Datentransfers rechtzeitig zu stoppen und Haftungsrisiken vorzubeugen.

Gleichzeitig ist es essenziell, sämtliche Datenübermittlungen zu dokumentieren – also festzuhalten, welche Daten übermittelt werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Darüber hinaus sollten Unternehmen frühzeitig alternative Maßnahmen vorbereiten, um ein angemessenes Datenschutzniveau sicherzustellen, zum Beispiel zusätzliche vertragliche Garantien sowie klar definierte Fallback-Prozesse für den Wechsel auf Standardvertragsklauseln oder EU-basierte Anbieter.

Schadensersatz: Negative Gefühle reichen aus

Die dritte Entscheidung gehört zu einer Reihe von Urteilen deutscher und europäischer Gerichte, die klären, wann Betroffene Anspruch auf Schadensersatz nach Art. 82 DSGVO haben (EuGH, Urt. v. 04.09.2025 – Az. C-655/23). Im vorliegenden Fall ging es um einen Bewerber, der über das berufliche Netzwerk XING Gehaltsverhandlungen mit der Quirin Privatbank geführt hatte. Die Bank verschickte die Absage versehentlich an einen ehemaligen Kollegen des Bewerbers. Dieser klagte auf Schadensersatz wegen der erlittenen Bloßstellung.

Die Gerichte sprachen in den Instanzen teils sowohl Unterlassungs- als auch Schadensersatzansprüche zu, teils nur Unterlassung. Schließlich legte der Bundesgerichtshof (BGH) dem EuGH sechs Fragen zur Auslegung vor.

Der EuGH entschied unter anderem, dass auch negative Gefühle wie Unmut, Sorge, Angst oder Scham immaterielle Schäden nach der DSGVO darstellen, die daher zu kompensieren sind.

Die Entscheidung verdeutlicht, dass die Hürden für Schadensersatzansprüche weiter sinken. Unternehmen und öffentliche Stellen müssen nun damit rechnen, dass beinahe jeder DSGVO-Verstoß eine Schadensersatzforderung nach sich ziehen kann. Dies gilt auch für die zuvor diskutierten Konstellationen – etwa wenn sich ein Pseudonymisierungskonzept in der Praxis als unzureichend erweist oder Daten unrechtmäßig in ein unsicheres Drittland übermittelt werden.

Der EuGH stellte zugleich klar, dass bereits negative Gefühle wie Sorge, Ärger oder Scham als immaterieller Schaden im Sinne von Art. 82 DSGVO anerkannt werden können – vorausgesetzt, deren Vorliegen und konkrete nachteilige Folgen sind belegt. Eine Erheblichkeitsschwelle ist nicht erforderlich.

Ferner enthält die DSGVO keinen eigenständigen präventiven Unterlassungsanspruch. Mitgliedstaaten dürfen jedoch nationale Unterlassungsregelungen vorsehen. Ein vorbeugender Unterlassungsanspruch lässt sich nicht unmittelbar aus der DSGVO ableiten; stattdessen können Betroffene über Art. 17 und 18 DSGVO Löschung oder Einschränkung der Verarbeitung verlangen. Für die Bemessung des Schadensersatzes kommt es allein auf die Auswirkungen beim Betroffenen an; weder Verschulden noch nationale Abhilfemaßnahmen dürfen kompensationsmindernd berücksichtigt werden.

Präventionsmaßnahmen und Kommunikationsstrategien erforderlich

Gerade im Gesundheits- und Forschungsbereich können Datenschutzverletzungen erhebliche immaterielle Schäden verursachen. Bereits das Bekanntwerden sensibler Informationen oder der Verlust des Vertrauens in die Datenverarbeitung kann einen kompensationspflichtigen Schaden darstellen. Um dies zu vermeiden, sind präventive Maßnahmen unverzichtbar, um Datenschutzverstöße möglichst zu verhindern oder zumindest das Ausmaß des Schadens zu begrenzen. Besonders anfällig hierfür sind Gesundheitseinrichtungen aufgrund der umfangreichen Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO. Bei Verstößen mit solchen Daten drohen besonders gravierende Folgen, sodass eine ausgefeilte Prävention unerlässlich ist, um Schadensersatzansprüche zu verhindern.

Falls es dennoch zu einem Datenschutzvorfall kommt, sollten Verantwortliche klare interne Abläufe etablieren – von technischen Sofortmaßnahmen über die rechtliche Bewertung bis hin zur sensiblen, transparenten Kommunikation mit den Betroffenen. Andernfalls drohen erhebliche Reputations- und Haftungsrisiken. Eine offene und sachliche Kommunikation kann die Schadenshöhe wesentlich begrenzen. Für forschende Einrichtungen und MedTech-Unternehmen bedeutet dies insbesondere, Support- und Logging-Zugriffe strikt zu steuern, Protokolldaten nur zweckgebunden und zeitlich begrenzt zu speichern und die Rollen- und Berechtigungskonzepte regelmäßig zu auditieren. Versicherer und Banken sollten zusätzlich Fehladressierungen in der Korrespondenz durch Vier-Augen-Prinzip und Adressvalidierung minimieren sowie Scoring-Erläuterungen transparent dokumentieren.

Zudem sollten Unternehmen berücksichtigen, dass die DSGVO selbst keinen eigenständigen Anspruch auf vorbeugende Unterlassung kennt. Allerdings können Betroffene nach deutschem Recht – etwa über § 1004 Bürgerliches Gesetzbuch (BGB) analog in Verbindung mit Art. 6 ff. DSGVO – auf Unterlassung klagen, sofern eine rechtswidrige Datenverarbeitung droht. Die Gefahr entsprechender präventiver Klagen ist daher real und muss im Risikomanagement berücksichtigt werden. Praktisch empfiehlt sich eine dokumentierte Eskalationskette mit Zuständigkeiten, Fristen und Kommunikationsleitlinien, damit Unterlassungs-, Lösch- oder Einschränkungsverlangen nach Art. 17 und 18 DSGVO zeitnah und nachweisbar bearbeitet werden können.

Fazit und Handlungsempfehlungen

Die Entscheidungen des EuGH und des EuG schaffen Klarheit in lange umstrittenen Fragen und zeigen zugleich, dass die rechtlichen Anforderungen zwar flexibler, aber auch anspruchsvoller werden. Die Bestätigung des relativen Personenbezugs unterstreicht die Bedeutung wirksamer Pseudonymisierungs- und Anonymisierungskonzepte. Verantwortliche sollten fortlaufend prüfen, welche Möglichkeiten zur Re-Identifizierung beim Empfänger bestehen, und sämtliche technischen sowie organisatorischen Schutzmaßnahmen sorgfältig dokumentieren, um Rechtssicherheit zu gewährleisten und Haftungsrisiken zu minimieren.

Die Bestätigung des Data Privacy Frameworks verschafft Unternehmen vorübergehend Stabilität bei internationalen Datenflüssen. Unternehmen sollten jedoch überprüfen und dokumentieren, ob ihre US-Dienstleister DPF-zertifiziert sind. Zudem sind ein kontinuierliches Monitoring der Rechtslage und die Vorbereitung von Alternativlösungen – etwa Standardvertragsklauseln – ratsam, um auf künftige Änderungen flexibel reagieren zu können.

Die Anerkennung der Ersatzfähigkeit immaterieller Schäden bedeutet für Unternehmen, dass sie besonders vorsichtig mit personenbezogenen Daten umgehen müssen, da schon geringfügige Beeinträchtigungen Schadensersatzansprüche auslösen können. Darüber hinaus sollten sie ihr Datenschutzmanagement und ihre Löschprozesse optimieren, um Unterlassungsansprüche nach nationalem Recht sowie zukünftige Schäden zu vermeiden.