Das Gericht der Europäischen Union («EuG»), die Vorinstanz des Europäischen Gerichtshofs «EuGH», musste Folgendes entscheiden: Ein Verantwortlicher verwendete ein elektronisches Formular, in dem die Befragten nach Registrierung ihre Kommentare abgeben konnten. Der Verantwortliche gab die eingegangenen Antworten an ein Beratungsunternehmen weiter. Vor der Weitergabe der Antworten ersetzte der Verantwortliche die registrierten Namen der einzelnen Befragten durch einen nicht personenbezogenen Code. Aufgrund dieses Codes konnte nur der Verantwortliche die Kommentare mit den in der Registrierungsphase eingegangenen Daten verknüpfen. Der alphanumerische Code wurde für Prüfungszwecke entwickelt, um zu überprüfen und gegebenenfalls nachträglich nachzuweisen, dass jeder Kommentar bearbeitet und ordnungsgemäss berücksichtigt wurde. Das Beratungsunternehmen hatte und hat keinen Zugang zur Datenbank mit den während der Registrierungsphase erhobenen Daten.

Nach einer Reihe von Beschwerden entschied der Europäische Datenschutzbeauftragte («EDSB»), dass der Verantwortliche pseudonymisierte Personendaten an das Beratungsunternehmen weitergegeben hatte,...