In einem aktuellen Rechtsstreit (C-413/23) zwischen dem Europäischen Datenschutzbeauftragten (EDSB) und dem Single Resolution Board (SRB) geht es um die Frage, ob pseudonymisierte Daten für den Empfänger personenbezogen bleiben, wenn diesem nicht zugleich die Mittel zur Identifizierung übermittelt wurden.
Im Rahmen eines Insolvenzverfahrens hatte das SRB personenbezogene Daten von Aktionären erfasst und diese in pseudonymisierter Form an Deloitte weitergegeben. Deloitte erhielt die Daten nur mit einem alphanumerischen Code und hatte keinen Zugriff auf die Identifikationsdaten.
Der EDSB sah dennoch einen Datenschutzverstoß, da die Identifizierungsinformationen beim SRB verblieben und somit eine theoretische Re-Identifizierung möglich war. Generalanwalt Spielmann hält die Entscheidung des Gerichts für fehlerhaft, da nicht geprüft wurde, ob Deloitte tatsächlich über „angemessene Mittel“ zur Identifizierung verfügte.
Das Urteil des EuGH könnte klären, ob für die Einordnung als personenbezogene Daten die theoretische Möglichkeit einer Identifizierung durch den Datenverarbeiter oder die tatsächlichen Mittel des Empfängers entscheidend sind.
