Sind Empfänger von pseudonymisierten Personendaten nach dem Entscheid der Vorinstanz des EuGH Bearbeiter von Personendaten oder von anonymisierten Daten, wenn sie keine realistische oder legale Möglichkeit haben, an den Re-Identifizierungsschlüssel zu gelangen? Nach konstanter europäischer Rechtsprechung sind vom Verantwortlichen pseudonmysierte Daten für den Datenempfänger keine personenbezogene Daten, vorausgesetzt der Empfänger kann eine betroffene Person nicht Re-Identifizieren. Wenn der Datenempfänger nicht über zusätzliche Informationen verfügt, die eine Re-Identifizierung der betroffenen Personen ermöglichte und ihm keine rechtlichen Mittel zur Verfügung stehen, um auf solche Informationen zuzugreifen, können die übermittelten Daten als anonymisiert und somit als nicht Personendaten betrachtet werden.

Die DSGVO enthält keine Definition des Begriffs "Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation". Eine Definition ist deshalb relevant, weil in den nachfolgenden Artikeln geregelt wird, unter welchen Voraussetzungen ein solcher Datentransfer überhaupt rechmässig ist, etwa gestützt auf einen Angemessenheitsbeschluss, den Standvertragsklauseln, der Einwilligung, usw. Am 18. November 2021 erliess der Europäische Datenschutzausschuss (EDSA) den Entwurf der Leitlinie zur internationalen Datenübermittlung und versucht, dieses Konzept zu präzisieren.