adminCuria

C-413/23 P – EDSB/ SRB (Notion de données à caractère personnel)

C-413/23 P – EDSB/ SRB (Notion de données à caractère personnel)

CURIA – Documents

Language of document : ECLI:EU:C:2025:59

Vorläufige Fassung

SCHLUSSANTRÄGE DES GENERALANWALTS

DEAN SPIELMANN

vom 6. Februar 2025(1)

Rechtssache C413/23 P

Europäischer Datenschutzbeauftragter

gegen

Einheitlicher Abwicklungsausschuss

„ Rechtsmittel – Verarbeitung personenbezogener Daten – Verfahren zur Entschädigung von Gläubigern und Anteilseignern nach der Abwicklung einer Bank – Informationspflicht – Art. 15 Abs. 1 Buchst. d der Verordnung (EU) 2018/1725 – Keine Information der Gläubiger und Anteilseigner über den Empfänger der personenbezogenen Daten – Entscheidung des Europäischen Datenschutzbeauftragten, mit der ein Verstoß gegen die Verordnung 2018/1725 bei der Verarbeitung pseudonymisierter personenbezogener Daten festgestellt wird “

I.      Einleitung

1.        Mit seinem Rechtsmittel beantragt der Europäische Datenschutzbeauftragte (EDSB) die Aufhebung des Urteils des Gerichts der Europäischen Union vom 26. April 2023, SRB/EDSB (T‑557/20, im Folgenden: angefochtenes Urteil, EU:T:2023:219), mit dem das Gericht die überarbeitete Entscheidung des EDSB vom 24. November 2020 (im Folgenden: streitige Entscheidung) über fünf Beschwerden von Anteilseignern und Gläubigern für nichtig erklärt hat, die von der Abwicklung von Banco Popular Español SA (im Folgenden: Banco Popular) betroffen waren und beanstandeten, dass sie nicht über die Übermittlung ihrer personenbezogenen Daten informiert worden seien.

2.        Die vorliegende Rechtssache gibt dem Gerichtshof Gelegenheit, im Zusammenhang mit pseudonymisierten Daten den Begriff „personenbezogene Daten“ und die sich daraus ergebenden Pflichten zur Sicherstellung einer fairen und transparenten Verarbeitung von Daten zu präzisieren.

II.    Rechtlicher Rahmen

3.        Im Folgenden werden die wichtigsten für das vorliegende Rechtsmittel relevanten Bestimmungen der Verordnung (EU) 2018/1725(2) aufgeführt.

4.        Die Erwägungsgründe 16 und 17 dieser Verordnung lauten:

„(16)      Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung derartiger anonymer Daten, auch für statistische oder für Forschungszwecke.

(17)      Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der ,Pseudonymisierung‘ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.“

5.        Art. 3 („Begriffsbestimmungen“) Nrn. 1 und 6 der Verordnung bestimmt:

„Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:

1.      ,personenbezogene Daten‘ alle Informationen[,] die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ,betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

6)      ,Pseudonymisierung‘ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

6.        Art. 4 („Grundsätze für die Verarbeitung personenbezogener Daten“) Abs. 1 Buchst. a und Abs. 2 der Verordnung sieht vor:

„(1)      Personenbezogene Daten müssen

a)      auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘),

(2)      Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (,Rechenschaftspflicht‘).“

7.        Art. 15 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) Abs. 1 Buchst. d der Verordnung 2018/1725 bestimmt:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten sämtliche folgenden Informationen mit:

d)      gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“.

III. Vorgeschichte des Rechtsstreits

8.        Am 7. Juni 2017 erließ der Einheitliche Abwicklungsausschuss (SRB) auf der Grundlage der Verordnung (EU) Nr. 806/2014 des Europäischen Parlaments und des Rates vom 15. Juli 2014 zur Festlegung einheitlicher Vorschriften und eines einheitlichen Verfahrens für die Abwicklung von Kreditinstituten und bestimmten Wertpapierfirmen im Rahmen eines einheitlichen Abwicklungsmechanismus und eines einheitlichen Abwicklungsfonds sowie zur Änderung der Verordnung (EU) Nr. 1093/2010(3) ein Abwicklungskonzept für Banco Popular, das am selben Tag durch Beschluss der Europäischen Kommission(4) gebilligt wurde, was konkret bedeutet, dass die Kapitalinstrumente der Bank herabgeschrieben oder umgewandelt und durch Übertragung der Anteile veräußert wurden.

9.        Gemäß Art. 20 Abs. 16 bis 18 der Verordnung (EU) Nr. 806/2014 beauftragte der SRB Deloitte als „unabhängige Person“(5) mit der Durchführung einer Bewertung einer unterschiedlichen Behandlung, um zu bestimmen, ob die von der Abwicklungsmaßnahme betroffenen Anteilseigner und Gläubiger besser behandelt worden wären, wenn für das Unternehmen das reguläre Insolvenzverfahren eingeleitet worden wäre.

10.      Am 14. Juni 2018 übermittelte Deloitte dem SRB diese Bewertung einer unterschiedlichen Behandlung (im Folgenden: Bewertung 3). In einer vorläufigen Entscheidung wies der SRB darauf hin, dass er, damit er endgültig darüber entscheiden könne, ob den von der Abwicklung von Banco Popular betroffenen Anteilseignern und Gläubigern eine Entschädigung gemäß Art. 76 Abs. 1 Buchst. e der Verordnung (EU) Nr. 806/2014 gewährt werden müsse, das Anhörungsverfahren eingeleitet habe, das aus einer ersten Registrierungsphase zur Überprüfung der Berechtigung der Parteien, die ihr Interesse bekundet hätten, und einer zweiten Konsultationsphase bestehe, in der die betroffenen Anteilseigner und Gläubiger zur vorläufigen Entscheidung des SRB, der die Bewertung 3 als Anhang beigefügt gewesen sei, Stellung genommen hätten.

11.      Die während der Registrierungsphase erhobenen Daten, also die Identitätsnachweise der Beteiligten und der Beleg für das Eigentum an herabgeschriebenen oder umgewandelten und übertragenen Kapitalinstrumenten von Banco Popular, waren einer beschränkten Zahl an mit der Verarbeitung dieser Daten betrauten Mitarbeitern des SRB zugänglich, damit diese die Berechtigung der Beteiligten feststellen konnten. Diese Daten waren nicht sichtbar für diejenigen Mitarbeiter des SRB, die mit der Bearbeitung der während der Konsultationsphase eingehenden Stellungnahmen betraut waren und nur Stellungnahmen erhielten, die mit einem alphanumerischen Code(6) gekennzeichnet waren, der jeder mittels des Fragebogens eingereichten Stellungnahme zugewiesen wurde.

12.      Nach der Zusammenfassung, automatischen Sortierung und Kategorisierung der Stellungnahmen übermittelte der SRB die sortierten, kategorisierten und zusammengefassten Stellungnahmen zur Bewertung 3 an Deloitte(7). An Deloitte wurden lediglich Stellungnahmen übermittelt, die während der Konsultationsphase eingegangen und mit einem alphanumerischen Code versehen waren, der für Audit-Zwecke entwickelt wurde, damit der SRB nachprüfen und gegebenenfalls nachträglich beweisen konnte, dass jede Stellungnahme bearbeitet und ordnungsgemäß berücksichtigt worden war. Nur der SRB konnte anhand dieses Codes die Stellungnahmen mit den während der Registrierungsphase erhobenen Daten verbinden. Deloitte hatte und hat keinen Zugang zur Datenbank mit den während der Registrierungsphase erhobenen Daten.

13.      Betroffene Anteilseigner und Gläubiger (im Folgenden: Beschwerdeführer) legten beim EDSB fünf auf die Verordnung 2018/1725 gestützte Beschwerden ein, weil die vom SRB veröffentlichte Datenschutzerklärung zur Verarbeitung personenbezogener Daten keinen Hinweis auf die Übermittlung der mittels des Formulars erhobenen Daten an Deloitte enthalten habe. Sie machten geltend, dass der SRB dadurch gegen seine in Art. 15 Abs. 1 Buchst. d der vorgenannten Verordnung vorgesehene Informationspflicht hinsichtlich der Verarbeitung personenbezogener Daten verstoßen habe.

14.      Der EDSB erließ am 24. Juni 2020 die ursprüngliche Entscheidung, die nach der Aufforderung des SRB zur Überprüfung dieser Entscheidung aufgehoben und am 24. November 2020 durch die streitige Entscheidung ersetzt wurde, in der es heißt:

„1. Nach Auffassung des EDSB handelt es sich bei den vom SRB mit Deloitte geteilten Daten um pseudonymisierte Daten, weil die Stellungnahmen der [Konsultations‑]Phase personenbezogene Daten waren und weil der SRB den alphanumerischen Code geteilt hat, anhand dessen die während der [Registrierungs‑]Phase eingegangenen Antworten mit denen der [Konsultations‑]Phase verknüpft werden konnten, auch wenn Deloitte die von den Teilnehmern während der [Registrierungs‑]Phase zwecks Identifizierung gemachten Angaben nicht mitgeteilt wurden.

2. Nach Auffassung des EDSB war Deloitte im Sinne von Art. 3 Nr. 13 der Verordnung 2018/1725 Empfängerin personenbezogener Daten der Beschwerdeführer. Die Tatsache, dass Deloitte in der Datenschutzerklärung des SRB nicht als potenzielle Adressatin der im Rahmen des Anhörungsverfahrens vom SRB als Verantwortlichem erhobenen und verarbeiteten personenbezogenen Daten genannt wird, stellt einen Verstoß gegen die in Art. 15 Abs. 1 Buchst. d [der Verordnung 2018/1725] vorgesehene Informationspflicht dar.

3. Im Licht aller vom SRB ergriffenen technischen und organisatorischen Maßnahmen zur Risikominderung für das Recht der Personen auf Schutz ihrer Daten im Rahmen des den Anspruch auf Anhörung betreffenden Verfahrens beschließt der EDSB, keinen Gebrauch von seinen Abhilfebefugnissen nach Art. 58 Abs. 2 [der Verordnung 2018/1725] zu machen.

4. Der EDSB empfiehlt dem SRB jedoch, in künftigen den Anspruch auf Anhörung betreffenden Verfahren sicherzustellen, dass seine Datenschutzerklärungen die Verarbeitung personenbezogener Daten sowohl während der Registrierungs- als auch während der Konsultationsphase abdecken und dass sie alle potenziellen Empfänger der erhobenen Daten einschließen, um der gemäß Art. 15 [der Verordnung 2018/1725] gegenüber den betroffenen Personen bestehenden Informationspflicht in vollem Umfang nachzukommen.“

IV.    Das angefochtene Urteil

15.      Mit am 1. September 2020 bei der Kanzlei des Gerichts eingegangener Klageschrift und am 29. Januar 2021 eingegangenem Schriftsatz zur Anpassung der Klageschrift erhob der SRB Klage, mit der er zum einen die Nichtigerklärung der streitigen Entscheidung und zum anderen begehrte, die ursprüngliche Entscheidung des EDSB vom 24. Juni 2020 für rechtswidrig zu erklären.

16.      Zur Stützung seines ersten Klageantrags(8) machte der SRB zwei Klagegründe geltend. Der erste Klagegrund wurde aus einem Verstoß gegen Art. 3 Nr. 1 der Verordnung 2018/1725 hergeleitet, weil es sich bei den an Deloitte übermittelten Informationen nicht um personenbezogene Daten handele, und der zweite Klagegrund aus einem Verstoß gegen das in Art. 41 der Charta der Grundrechte der Europäischen Union verankerte Recht auf eine gute Verwaltung.

17.      Mit dem angefochtenen Urteil hat das Gericht diesen Klageantrag für zulässig erklärt. In der Sache hat es dem ersten Klagegrund stattgegeben und die streitige Entscheidung für nichtig erklärt, ohne den zweiten Klagegrund zu prüfen.

18.      Hinsichtlich des ersten Klagegrundes hat das Gericht erstens angenommen, dass der EDSB davon ausgegangen sei, dass sich die an Deloitte übermittelten Informationen auf eine natürliche Person im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 „beziehen“, wobei er sich auf eine Vermutung gestützt habe, ohne den Inhalt, den Zweck oder die Auswirkungen der an Deloitte übermittelten Informationen zu prüfen(9), und somit entgegen dem Urteil Nowak(10) entschieden habe.

19.      Zweitens hat das Gericht in Bezug auf die in Art. 3 Nr. 1 der Verordnung 2018/1725 vorgesehene Voraussetzung, dass sich die Information auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, die Ansicht vertreten, dass es im vorliegenden Fall Sache des EDSB sei, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten gewesen seien. Dem angefochtenen Urteil zufolge hatte sich der EDSB jedoch auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht der von Deloitte) beschränkt. Somit habe der EDSB, weil er nicht geprüft habe, ob Deloitte das Recht gehabt habe, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar gewesen sei, nicht zu dem Ergebnis gelangen dürfen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 bezögen(11).

V.      Verfahren vor dem Gerichtshof und Anträge der Parteien

20.      Mit Schriftsatz, der am 5. Juli 2023 bei der Kanzlei des Gerichtshofs eingegangen ist, hat der EDSB gegen das angefochtene Urteil Rechtsmittel eingelegt. Mit Beschluss des Präsidenten des Gerichtshofs vom 29. November 2023(12) ist der Europäische Datenschutzausschuss als Streithelfer zur Unterstützung der Anträge des EDSB zugelassen worden, und mit Beschluss vom 20. Oktober 2023 ist die Europäische Kommission als Streithelferin zur Unterstützung des SRB zugelassen worden.

21.      Der EDSB beantragt,

–        das angefochtene Urteil aufzuheben;

–        endgültig über den Rechtsstreit zu entscheiden;

–        dem SRB die im Rechtsmittelverfahren und im Verfahren vor dem Gericht entstandenen Kosten aufzuerlegen.

22.      Der Europäische Datenschutzausschuss, der den EDSB unterstützt, beantragt,

–        das angefochtene Urteil aufzuheben;

–        endgültig über den Rechtsstreit zu entscheiden und die streitige Entscheidung zu bestätigen.

23.      Der SRB beantragt,

–        das Rechtsmittel zurückzuweisen;

–        hilfsweise, die streitige Entscheidung aufzuheben;

–        weiter hilfsweise, die Sache an das Gericht zurückzuverweisen, und

–        dem EDSB die im Rechtsmittelverfahren und im Verfahren vor dem Gericht entstandenen Kosten aufzuerlegen.

24.      Die Europäische Kommission, die den SRB unterstützt, beantragt,

–        das Rechtsmittel zurückzuweisen;

–        dem EDSB die Kosten aufzuerlegen.

VI.    Zum Rechtsmittel

25.      Zur Begründung seines Rechtsmittels macht der EDSB, unterstützt vom Europäischen Datenschutzausschuss, zwei Rechtsmittelgründe geltend. Mit dem ersten Rechtsmittelgrund wird der Auslegung des Begriffs „personenbezogene Daten“ gemäß Art. 3 Nrn. 1 und 6 der Verordnung 2018/1725 durch das Gericht im Sinne der Auslegung durch die Rechtsprechung des Gerichtshofs widersprochen. Der zweite Rechtsmittelgrund wird auf einen Verstoß gegen den in Art. 4 Abs. 2 und Art. 26 Abs. 1 dieser Verordnung festgelegten Grundsatz der Rechenschaftspflicht gestützt.

A.      Zum ersten Rechtsmittelgrund

26.      Der erste Rechtsmittelgrund ist in zwei Teile unterteilt. Der erste Teil betrifft die Voraussetzung, dass die streitigen Informationen sich auf eine natürliche Person „beziehen“ müssen, und der zweite Teil betrifft die Voraussetzung, dass es sich bei dieser Person um eine „identifizierte oder identifizierbare“ Person handeln muss.

1.      Zum ersten Teil betreffend die Frage, ob sich die Informationen auf eine natürliche Person „beziehen“

a)      Vorbringen der Parteien

27.      Der EDSB, unterstützt vom Europäischen Datenschutzausschuss, macht geltend, das Gericht habe zu Unrecht angenommen, dass sich der EDSB bei der Auslegung der Voraussetzung, dass sich die an Deloitte übermittelten Informationen im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine natürliche Person beziehen müssten, auf eine Vermutung gestützt habe. Nach seiner Ansicht war unter den Umständen des vorliegenden Falls eine eingehendere Prüfung seinerseits nicht erforderlich.

28.      Der SRB hingegen macht geltend, dass sich der EDSB, wie vom Gericht festgestellt, auf den Hinweis beschränkt habe, dass die streitigen Stellungnahmen, die von den Beschwerdeführern während der Konsultationsphase im Rahmen des Anhörungsverfahrens abgegeben worden seien, ihre Meinungen oder Standpunkte widerspiegeln würden, während er hätte prüfen müssen, ob die an Deloitte übermittelten Informationen aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft gewesen seien, wie es im Urteil Nowak gefordert werde.

b)      Würdigung

29.      Es sei daran erinnert, dass der Gerichtshof wiederholt entschieden hat, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen umfasst(13), sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt.

30.      Eine Information über eine identifizierte oder identifizierbare natürliche Person liegt dabei vor, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person „verknüpft“ ist(14).

31.      Bei Stellungnahmen oder Beurteilungen, wie den im vorliegenden Fall in Rede stehenden Stellungnahmen der Beschwerdeführer, ist es meines Erachtens sinnvoll, danach zu unterscheiden, ob untersucht wird, ob diese Stellungnahmen oder Beurteilungen einer oder mehreren Personen „zuzuordnen sind“, um die es im Text der Stellungnahme oder Beurteilung geht, oder ob, wie im vorliegenden Fall, festgestellt werden soll, ob sie ihrem Verfasser zuzuordnen sind. Im ersten Fall muss, um auf das Vorliegen einer Information zu schließen, die der Person zuzuordnen ist, die Gegenstand der Beurteilung ist, geprüft werden, ob es sich aufgrund des Inhalts, des Zwecks oder der Auswirkungen der Beurteilung um eine Information über diese Person handelt. Im zweiten Fall hingegen kann man im Rahmen der Feststellung, ob die Beurteilung der Person zuzuordnen ist, die sie abgegeben hat, meiner Ansicht nach davon ausgehen, dass dies der Fall ist und dass eine Stellungnahme oder Beurteilung notwendigerweise ihrem Verfasser zuzuordnen ist.

32.      So ging es im Urteil Nowak im Wesentlichen darum, die in einer Prüfungsarbeit enthaltenen Informationen zu beurteilen. Es waren also zwei Personen betroffen: der Prüfling und der Prüfer. Der Gerichtshof untersuchte zwar den Inhalt, den Zweck und die Auswirkungen der Antworten des Prüflings, um zu der Feststellung zu gelangen, dass es sich um Informationen über den Prüfling handelte. Allerdings führte der Gerichtshof – auch wenn er insbesondere hinsichtlich der Anmerkungen des Prüfers, in denen seine Ansicht oder Beurteilung zum Ausdruck kommt(15), den Inhalt, den Zweck und die Auswirkungen der in der Prüfungsarbeit enthaltenen Informationen untersuchte, um zu dem Schluss zu kommen, dass sich diese Beurteilungen auf den Prüfling bezogen – keine entsprechende Prüfung durch, um festzustellen, dass sie Informationen über den Prüfer darstellten, der sie verfasst hatte(16). Meiner Meinung nach kann daher nicht völlig ausgeschlossen werden, dass eine (einfache, d. h. widerlegliche) Vermutung gelten kann, wenn es um die Entscheidung geht, ob sich eine Ansicht oder eine Beurteilung oder, wie im vorliegenden Fall, eine Stellungnahme auf ihren Verfasser „bezieht“.

33.      Ich schließe daraus, dass, sofern nicht das Gegenteil bewiesen wird, die im vorliegenden Fall in Rede stehenden Stellungnahmen, da sie von den Beschwerdeführern stammten und „ihre Logik und ihre Argumentation“ darlegten und in ihnen somit ihre „subjektive Meinung“ zum Ausdruck kam, notwendigerweise Informationen „über“ diese Beschwerdeführer darstellten, unabhängig von dem Zweck oder den Auswirkungen ihrer Stellungnahmen.

34.      In jedem Fall bin ich, auch wenn im vorliegenden Fall keine entsprechende Vermutung besteht, der Ansicht, dass die in Rede stehenden Stellungnahmen aufgrund ihres Inhalts, ihres Zwecks und ihrer Auswirkungen den Beschwerdeführern „zuzuordnen sind“.

35.      Insoweit macht der SRB geltend, dass die Argumente, die sich aus dem Zweck und dem Kontext der in Rede stehenden Stellungnahmen ergäben, nicht greifen könnten, da sie in der streitigen Entscheidung nicht geprüft worden seien, dass sie unzulässig seien, da sie eine neue Tatsachenbehauptung enthielten, und dass sie jedenfalls fehlerhaft seien.

36.      Diese Argumentation überzeugt mich nicht. Sowohl die vom EDSB in der streitigen Entscheidung vorgenommene Prüfung als auch die Beurteilung des Gerichts sind nämlich in einen rechtlichen Kontext eingebettet, der berücksichtigt wurde und in dem der Zweck und die Auswirkungen der in Rede stehenden Stellungnahmen, die im Rahmen des Anhörungsverfahrens abgegeben wurden, deutlich benannt werden. Diese Argumente betreffend den Zweck und die Auswirkungen der in Rede stehenden Stellungnahmen greifen somit und sind zulässig.

37.      Darüber hinaus ergibt sich in der Sache aus dem anwendbaren rechtlichen Rahmen grundsätzlich, dass der Zweck des Anhörungsverfahrens, in dessen Rahmen die in Rede stehenden Stellungnahmen abgegeben wurden, darin bestand, den betroffenen Anteilseignern und Gläubigern die Möglichkeit zu geben, zu dem Verfahren beizutragen, insbesondere um dem SRB alle Informationen zur Verfügung zu stellen, die er benötigte, um eine endgültige Entscheidung darüber zu treffen, ob den von der Abwicklung der Banco Popular betroffenen Anteilseignern und Gläubigern eine Entschädigung zu gewähren sei, und zwar in Anwendung des Grundsatzes, dass kein Gläubiger schlechter gestellt werden darf als im Falle einer Liquidation im Rahmen eines regulären Insolvenzverfahrens(17). Außerdem konnten sich diese Stellungnahmen, nachdem sie vom SRB einbezogen worden waren, auf die Interessen und Rechte der Beschwerdeführer im Zusammenhang mit ihrer finanziellen Entschädigung auswirken.

38.      Ich komme daher zu dem Ergebnis, dass die in Rede stehenden Stellungnahmen den im vorliegenden Fall betroffenen Personen zuzuordnen sind, auch aufgrund ihres Zwecks und ihrer Auswirkungen.

39.      Ich möchte hinzufügen, dass die in Rede stehenden Stellungnahmen, wie sie an Deloitte übermittelt wurden, zwar „sortiert, kategorisiert und zusammengefasst“ waren, so dass, wie sich aus den Tatsachenfeststellungen des Gerichts ergibt(18), innerhalb eines Themenbereichs nicht zwischen den individuellen Stellungnahmen unterschieden werden konnte; es kann jedoch davon ausgegangen werden, dass in diesen Kollektivstellungnahmen, auch wenn es sich um Zusammenfassungen handelt, inhaltlich persönliche Ansichten zur Bewertung 3 zum Ausdruck kommen. Sie stellen nämlich eine Gesamtheit von Meinungen dar, die als solche Informationen sind, die sich auf die Personen beziehen, die sie geäußert haben. Ihre Sortierung, Kategorisierung und Zusammenfassung ändert nichts an dieser Feststellung, da es andernfalls ausreichend wäre, mehrere Standpunkte zusammenzufassen, um die Voraussetzung zu umgehen, dass sich die Information auf eine natürliche Person „beziehen“ muss. Die Tatsache, dass innerhalb dieser Gesamtheit von Stellungnahmen nicht zwischen den verschiedenen individuellen Meinungen unterschieden werden kann, gehört meines Erachtens eher zu der zweiten kumulativen Voraussetzung, die die Identifizierbarkeit der betroffenen Personen betrifft und die im Rahmen des zweiten Teils dieses Rechtsmittelgrundes untersucht wird, als zu der Voraussetzung, dass die Stellungnahme mit einer natürlichen Person „verknüpft“ sein muss.

40.      Vor diesem Hintergrund bin ich der Ansicht, dass die diesbezügliche Würdigung des Gerichts als rechtsfehlerhaft anzusehen ist, da es die Auffassung vertreten hat, dass der EDSB festgestellt habe, dass sich die in Rede stehenden Stellungnahmen im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf natürliche Personen „beziehen“, ohne die im Urteil Nowak geforderte Prüfung durchzuführen.

41.      Sollte der Gerichtshof entscheiden, diesen ersten Teil zurückzuweisen, und feststellen, dass sich die in Rede stehenden pseudonymisierten Stellungnahmen nicht auf ihre Verfasser beziehen, wäre die Prüfung des zweiten Teils des Rechtsmittelgrundes überflüssig, da es sich hierbei nach Art. 3 Nr. 1 der Verordnung 2018/1725 um eine notwendige Voraussetzung für das Vorliegen personenbezogener Daten handelt, die kumulativ mit der Voraussetzung der Identifizierbarkeit der betroffenen Personen erfüllt sein muss, die im Folgenden untersucht wird.

2.      Zum zweiten Teil betreffend die Voraussetzung der Identifizierbarkeit der betroffenen Personen

42.      Der EDSB und der Europäische Datenschutzausschuss machen im Wesentlichen geltend, dass das Gericht zwei Fehler begangen habe, wobei der erste den Begriff der „Pseudonymisierung“ und der zweite die Auslegung des Urteils Breyer(19) betreffe, was der SRB und die Kommission in Abrede stellen.

a)      Zur ersten Rüge: fehlerhafte Beurteilung der Wirkungen der Pseudonymisierung

43.      Diese Rüge macht deutlich, dass es zwei sehr unterschiedliche Ansätze hinsichtlich des Anwendungsbereichs der Datenschutzbestimmungen gibt. Sind pseudonymisierte Daten automatisch einzubeziehen, nur weil die betroffenen Personen unabhängig von der Zugänglichkeit zusätzlicher Identifikationsdaten weiterhin identifizierbar sind, oder ist davon auszugehen, dass die Daten nach dem Pseudonymisierungsprozess nur für diejenigen Personen personenbezogen sind, die die betroffenen Personen vernünftigerweise identifizieren können?

1)      Vorbringen der Parteien

44.      Der EDSB und der Europäische Datenschutzausschuss vertreten im Wesentlichen die Auffassung, dass pseudonymisierte Daten personenbezogene Daten blieben, nur weil die betroffenen Personen weiterhin identifizierbar seien, da die Informationen, die ihre Identifizierung ermöglichten, weiterhin existierten. Der Ansatz des Gerichts sei insofern falsch, als er es gestatte, pseudonymisierte Daten im Verhältnis zum Empfänger als anonymisierte Daten zu betrachten, was ein Risiko für den Schutz der betroffenen Personen darstelle und zu einer Verwechslung von Pseudonymisierung und Anonymisierung führe. Ein solcher Ansatz, der dem Wortlaut und dem Ziel der Verordnung 2018/1725 zuwiderlaufe, ermögliche es dem für die Verarbeitung Verantwortlichen, personenbezogene Daten zu Unrecht aus dem Anwendungsbereich des Unionsrechts zum Schutz solcher Daten auszunehmen.

45.      Der SRB und die Kommission hingegen sind der Ansicht, dass pseudonymisierte Daten für den für die Verarbeitung Verantwortlichen, der sie pseudonymisiert habe, weiterhin personenbezogene Daten seien, dass jedoch mit Blick auf die Empfänger geprüft werden müsse, ob die betroffenen Personen identifizierbar seien. Zudem sei, auch wenn Art. 3 Nr. 1 der Verordnung 2018/1725 nicht präzisiere, wer genau in der Lage sein müsse, die betroffene Person zu identifizieren, im Lichte des 16. Erwägungsgrundes und im Kontext von Art. 15 Abs. 1 Buchst. d dieser Verordnung, der hier in Rede stehe, die Perspektive des Empfängers ausschlaggebend. Ihrer Meinung nach haben die betroffenen Personen kein Interesse daran, über die Datenübermittlung informiert zu werden, wenn dieser Empfänger keine personenbezogenen Daten erhalte, da ihre Rechte in diesem Fall nicht beeinträchtigt würden.

2)      Würdigung

46.      Zunächst sei daran erinnert, dass die Pseudonymisierung eine Verarbeitung personenbezogener Daten ist, die gemäß dem 17. Erwägungsgrund der Verordnung 2018/1725 dazu dient, „die Risiken“ der Korrelation eines bestimmten Satzes von Daten mit der Identität einer betroffenen Person zu „senken“ und „die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten [zu] unterstützen“.

47.      Art. 3 Nr. 6 der Verordnung 2018/1725 definiert dementsprechend die Pseudonymisierung als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“(20).

48.      Die Pseudonymisierung ist somit kein Element der Definition personenbezogener Daten, die ihrerseits in Art. 3 Nr. 1 der Verordnung 2018/1725 in Bezug auf den Begriff „Identifizierbarkeit“ der betroffenen Person definiert werden. Wie die Kommission in ihrer Streithilfeschrift im Übrigen angemerkt hat, enthält diese Verordnung eine Definition des Begriffs „Pseudonymisierung“, in der auf das Verfahren zur Umsetzung einer Aufbewahrungsmaßnahme oder einer technischen und organisatorischen Maßnahme abgestellt wird, jedoch keine Definition des Begriffs „pseudonymisierte Daten“.

49.      Diese Auslegung wird bestätigt durch Art. 3 Nr. 6 in Verbindung mit dem 16. Erwägungsgrund der genannten Verordnung, in dessen Satz 1 es heißt, dass „[d]ie Grundsätze des Datenschutzes … für alle Informationen gelten [sollten], die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

50.      Es empfiehlt sich zudem eine eingehendere Prüfung des 16. Erwägungsgrundes der Verordnung 2018/1725(21). Er enthält nämlich einen Satz 2, der besagt, dass „[e]iner Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, … als Informationen über eine identifizierbare natürliche Person betrachtet werden [sollten]“. Es folgen Satz 3 und Satz 4, die den Inhalt dieser Anforderung der Identifizierbarkeit präzisieren.

51.      Ich verstehe den Wortlaut dieser Bestimmungen so, dass die Pseudonymisierung die Möglichkeit offenlässt, dass die betroffenen Personen nicht identifizierbar sind, da andernfalls der Wortlaut dieses 16. Erwägungsgrundes keine Berechtigung hätte. Die letzten Sätze dieses Erwägungsgrundes betreffend die Anonymisierung bestätigen zudem diese Auslegung: Sie schließen anonymisierte (oder anonyme) Daten aus dem Anwendungsbereich der Verordnung 2018/1725 aus(22), pseudonymisierte Daten jedoch nur, soweit die betroffenen Personen nicht identifizierbar sind. Wenn es nicht möglich ist, diese Personen zu identifizieren, gelten sie daher rechtlich als durch den Pseudonymisierungsprozess ausreichend geschützt, ungeachtet der Tatsache, dass die zusätzlichen Identifikationsdaten nicht vollständig gelöscht wurden.

52.      Mit anderen Worten: Es ist nicht vorgesehen, pseudonymisierte Daten automatisch aus dem Anwendungsbereich dieser Verordnung auszunehmen(23). Angesichts des 16. Erwägungsgrundes der Verordnung kann jedoch nicht ausgeschlossen werden, dass solche Daten unter bestimmten Bedingungen nicht unter den Begriff „personenbezogene Daten“ fallen.

53.      Entgegen dem Vorbringen des EDSB steht ein solcher Ansatz meines Erachtens nicht im Widerspruch zu dem Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, insbesondere angesichts der Anforderungen an die Identifizierbarkeit, die sich aus den geltenden Bestimmungen und ihrer Auslegung durch die Rechtsprechung ergeben.

54.      Erstens bezieht sich der 16. Erwägungsgrund der Verordnung 2018/1725 auf die Identifizierbarkeit durch den Verantwortlichen „oder ein[e] ander[e] Person“: Dieses weit gefasste, wenn auch nicht unbegrenzte Verständnis(24) ist Teil eines Ansatzes zum Schutz personenbezogener Daten.

55.      Ebenso sieht der 16. Erwägungsgrund vor, dass alle Mittel berücksichtigt werden sollten, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wobei alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden sollten und die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind, was eine weit gefasste und schutzbetonte Definition personenbezogener Daten darstellt.

56.      Zweitens gestattet auch die von der Rechtsprechung vorgenommene Auslegung des Begriffs „Identifizierbarkeit“, die sich auf das Risiko der Rückidentifizierung der betroffenen Personen konzentriert, eine weite Anwendung des Begriffs „personenbezogene Daten“. So hat der Gerichtshof systematisch Daten als „personenbezogene Daten“ eingestuft, die zwar von den Identifikationsdaten, die sich im Besitz einer anderen Person befanden, getrennt waren, aber in dem jeweiligen Kontext das Risiko einer Rückidentifizierung der betroffenen Personen bergen konnten(25).

57.      Daher darf ein Datum rechtlich nur dann nicht als „personenbezogenes Datum“ eingestuft werden, wenn das Risiko einer Identifizierung nicht besteht oder vernachlässigbar(26) ist.

58.      Die Argumente des EDSB und des Europäischen Datenschutzausschusses bezüglich der Gefahren, die sich aus einer zu engen Auslegung personenbezogener Daten ergeben, überzeugen mich nicht. Der Umstand, dass die Vorschriften aus der Verordnung 2018/1725 nicht für Daten gelten, die sich auf nicht identifizierbare Personen beziehen, würde nämlich nicht verhindern, dass gegebenenfalls die Einrichtungen haftungsrechtlich herangezogen würden, die für das Fehlverhalten verantwortlich sind, beispielsweise im Falle einer Datenweitergabe, die zu einem Schaden führt. Dagegen erscheint es mir unverhältnismäßig, einer Einrichtung, die die betroffenen Personen vernünftigerweise nicht identifizieren könnte, Pflichten aus der Verordnung 2018/1725(27) aufzuerlegen, Pflichten, die diese Einrichtung hypothetisch betrachtet nicht einhalten könnte oder die sie gerade dazu zwingen würden, zu versuchen, die betroffenen Personen zu identifizieren.

59.      Vor dem Hintergrund dieser Überlegungen bin ich, wenn man den Rechtsstreit mit Blick auf die an Deloitte übermittelten Daten beurteilt, der Ansicht, dass entgegen der Auffassung des EDSB zu bestimmen war, ob die Pseudonymisierung der in Rede stehenden Daten hinreichend sicher war, um zu dem Schluss zu kommen, dass die Beschwerdeführer, die Verfasser der an Deloitte übermittelten Informationen, vernünftigerweise nicht identifizierbar waren. Mit anderen Worten: Wenn Deloitte die Beschwerdeführer mit vertretbarem Aufwand identifizieren konnte, könnte angenommen werden, dass Deloitte personenbezogene Daten verarbeitet hat.

60.      Die erste vom EDSB erhobene Rüge ist daher meines Erachtens zurückzuweisen.

b)      Zur zweiten Rüge: fehlerhafter Vergleich mit dem Urteil Breyer

1)      Vorbringen der Parteien

61.      Nach Ansicht des EDSB, der vom Europäischen Datenschutzausschuss unterstützt wird, handelt es sich bei den in Rede stehenden pseudonymisierten Daten für den SRB um personenbezogene Daten, weshalb der SRB verpflichtet gewesen sei, die betroffenen Personen über den Empfänger zu informieren. Er macht im Wesentlichen geltend, dass das Gericht das Urteil Breyer falsch ausgelegt habe, dem ein anderer Sachverhalt zugrunde gelegen habe.

62.      Nach Ansicht des SRB, der von der Kommission unterstützt wird, ist hingegen der Vergleich mit dem Urteil Breyer zutreffend und führt zu der Feststellung, dass die Informationspflicht nur gelte, wenn es sich bei den übermittelten Daten aus der Perspektive des Empfängers, hier Deloitte, um personenbezogene Daten handele, was, wie das Gericht zu Recht entschieden habe, im vorliegenden Fall nicht dargetan worden sei.

2)      Würdigung

63.      Ich bin der Auffassung, dass die in Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 vorgesehene Informationspflicht und die Parallele zum Urteil Breyer im vorliegenden Fall zu einer anderen Lösung als der vom Gericht gewählten führen, wie ich im Rahmen der Prüfung der vorliegenden Rüge ausführen werde.

64.      Art. 4 Abs. 1 Buchst. a der Verordnung 2018/1725 verlangt, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

65.      Insbesondere sieht Art. 15 Abs. 1 Buchst. d dieser Verordnung vor, dass bei Erhebung von personenbezogenen Daten bei der betroffenen Person der Verantwortliche der betroffenen Person „zum Zeitpunkt der Erhebung dieser Daten“ die etwaigen Empfänger dieser Daten mitteilt. Daraus wird deutlich, dass der für die Verarbeitung Verantwortliche diese Information sofort zu geben hat, d. h. zum Zeitpunkt des Erhebens der Daten(28).

66.      Die Bedeutung der Einhaltung einer solchen Informationspflicht wird auch durch den 35. Erwägungsgrund der Verordnung 2018/1725 bestätigt, in dem ausgeführt wird, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine Verarbeitung in fairer und transparenter Weise zu gewährleisten(29).

67.      Eine solche Informationspflicht ist umso bedeutsamer, als die Gültigkeit der von der betroffenen Person erteilten Einwilligung u. a. davon abhängt, ob diese Person zuvor die Informationen über alle Umstände im Zusammenhang mit der Verarbeitung der fraglichen Daten erhalten hat, auf die sie nach den Art. 14 und 15 der Verordnung 2018/1725 Anspruch hat und die ihr ermöglichen, die Einwilligung in voller Kenntnis der Sachlage zu geben(30).

68.      Hinzuzufügen ist, dass die einzige Ausnahme von dieser in Art. 15 Abs. 4 der Verordnung 2018/1725 vorgesehenen Informationspflicht den Fall betrifft, dass die betroffene Person bereits über die betreffenden Informationen verfügt.

69.      Ich schließe daraus, dass diese Informationspflicht im vorliegenden Fall im Rechtsverhältnis zwischen den betroffenen Personen, hier den Beschwerdeführern, einerseits und dem SRB als für die Verarbeitung Verantwortlichem andererseits besteht und nicht im Verhältnis zwischen dem SRB und dem Empfänger, d. h. Deloitte. Gegenstand der Informationspflicht sind somit die Daten in der Form, wie sie sich vor der Übermittlung an Deloitte im Besitz des SRB befunden haben. Es ist indes unbestritten, dass es sich dabei um personenbezogene Daten handelt, da der SRB im Besitz der Stellungnahmen und der Grundlage zur Identifikation der Personen ist, die diese abgegeben haben.

70.      Dieser Ansatz der „maßgeblichen Perspektive“(31) führt mich somit zu einer anderen Lösung als der vom Gericht gewählten, selbst wenn ich den Vergleich mit dem Urteil Breyer anstelle.

71.      Ich erinnere daran, dass Herr Breyer in dem Rechtsstreit, der der sich in diesem Urteil stellenden Vorlagefrage zugrunde lag, dem für die Verarbeitung Verantwortlichen (der Bundesrepublik Deutschland) verbieten lassen wollte, seine dynamische IP-Adresse zu speichern. Die zusätzlichen Informationen, die seine Identifizierung über die seinem Computer zugeordnete IP-Adresse ermöglichten, befanden sich nicht im Besitz des Verantwortlichen, sondern im Besitz des Internetdienstanbieters. Es stellte sich somit die Frage, ob die dynamische IP-Adresse, die sich im Besitz des Verantwortlichen befand, als „personenbezogenes Datum“ eingestuft werden durfte und folglich im Rechtsverhältnis zwischen Herrn Breyer und dem Verantwortlichen Speicherungspflichten für Letzteren auslösen konnte, obwohl sich die Elemente zur Identifikation von Herrn Breyer im Besitz einer anderen Person als dem Verantwortlichen befanden. Es wurde im Wesentlichen entschieden, dass der für die Verarbeitung Verantwortliche, obwohl er nicht über die zusätzlichen Identifikationsinformationen verfügte, vernünftigerweise auf sie zugreifen konnte, und die dynamische IP-Adresse wurde daher als „personenbezogenes Datum“ eingestuft.

72.      Im vorliegenden Fall besteht, wie bereits erwähnt(32), die Informationspflicht im Verhältnis zwischen den betroffenen Personen (den Beschwerdeführern) und dem für die Verarbeitung Verantwortlichen (dem SRB): Die Informationspflicht entsteht, sobald die fraglichen Daten vom SRB erhoben werden und, insbesondere in Bezug auf die Information über den Empfänger, spätestens wenn dieser bekannt ist. Zu diesem Zeitpunkt handelt es sich bei den fraglichen Daten nun aber um personenbezogene Daten im Besitz des SRB, der über die zusätzlichen Identifikationsdaten verfügt. In Anbetracht der in Rede stehenden Informationspflicht und in Anbetracht des Zeitpunkts, zu dem sie entsteht, stellten die fraglichen Daten also personenbezogene Daten dar, unabhängig davon, ob sie für Deloitte, die weder von dem allein relevanten Rechtsverhältnis zwischen den Beschwerdeführern und dem SRB noch von der dem SRB obliegenden Informationspflicht betroffen ist, als solche erkennbar waren.

73.      Aus diesem Grund muss die Parallele zum Urteil Breyer meines Erachtens relativiert werden.

74.      Daraus folgt, dass die Informationspflicht dem SRB aufgrund seiner Eigenschaft als dem für die Verarbeitung Verantwortlichen und aufgrund seines Verhältnisses zu den Beschwerdeführern oblag, bei denen er die fraglichen Daten erhoben hat, und zwar unabhängig davon, ob es sich bei den Daten in der Form, wie sie Deloitte übermittelt wurden, um personenbezogene Daten handelte oder nicht.

75.      Das Argument des SRB, das in der mündlichen Verhandlung wiederholt wurde, wonach die Perspektive des Empfängers maßgeblich sei, weil geprüft werden müsse, ob er „Empfänger personenbezogener Daten“ sei oder nicht, muss nach dieser Logik verworfen werden.

76.      Insoweit ist der Wortlaut von Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725, der sich auf die „Empfänger … der personenbezogenen Daten“ bezieht, in der Tat verwirrend. Die praktische Wirksamkeit dieser Bestimmung erfordert jedoch, dass die Information so schnell wie möglich und vor der Datenübermittlung den betroffenen Personen mitgeteilt wird(33). Im vorliegenden Fall wird im Verfahren vor dem Gericht auf der Grundlage der streitigen Entscheidung klar, dass Deloitte den SRB im Rahmen des Anhörungsverfahrens unterstützt hat(34), auch wenn der SRB bei der anfänglichen Erhebung der Stellungnahmen nicht die Absicht hatte, eine Meinung von Deloitte dazu einzuholen, ob diese Stellungnahmen etwas an der Bewertung 3 änderten. Des Weiteren kann davon ausgegangen werden, dass der SRB spätestens zu dem Zeitpunkt, als er beschloss, die fraglichen Stellungnahmen zum Zweck der Pseudonymisierung zu verarbeiten, die Absicht hatte, die pseudonymisierten Daten an Deloitte zu übermitteln(35), weil es andernfalls keinen Grund für die Pseudonymisierung gegeben hätte.

77.      Ich bin daher der Ansicht, dass die Vornahme der Kontrolle der Einhaltung der Informationspflicht zu einem Zeitpunkt, in dem die Daten bereits durch den SRB an Deloitte übermittelt worden sind, wobei die Perspektive des Empfängers eingenommen wird, um die fraglichen Daten als personenbezogen oder nicht personenbezogen einzustufen, eine zeitliche Verlagerung dieser Kontrolle bedeutet. Diese Kontrolle würde somit fälschlicherweise nach hinten verschoben, da sie in Bezug auf Daten durchgeführt würde, die bereits an den Empfänger übermittelt wurden, obwohl die Informationspflicht das Verhältnis zwischen dem SRB und den Beschwerdeführern betrifft und dazu dient, vor der Übermittlung eine Einwilligung der Beschwerdeführer in Kenntnis der Sachlage zu ermöglichen.

78.      Ferner kann hinsichtlich der Einwilligung der Beschwerdeführer ihre Teilnahme am Anhörungsverfahren zwar als konkludente Einwilligung in die Weitergabe personenbezogener Daten an den für die Verarbeitung Verantwortlichen ausgelegt werden, um die Berücksichtigung ihrer Stellungnahmen sicherzustellen. Dies reicht meines Erachtens jedoch nicht aus, um eine Einwilligung in Kenntnis der Sachlage mit Blick auf die Pseudonymisierung der Daten und deren Übermittlung an Deloitte anzunehmen, ohne dass zuvor eine diesbezügliche Information seitens des SRB erfolgt ist(36).

79.      Daraus folgt meines Erachtens, dass die Informationspflicht im vorliegenden Fall dem SRB vor der Übertragung der fraglichen Daten oblag und unabhängig davon, ob es sich bei den Daten, die sich im Besitz von Deloitte befanden, um personenbezogene Daten handelte oder nicht.

80.      Ob die Pseudonymisierung hinreichend sicher und wirksam ist, um die sich im Besitz von Deloitte befindlichen Daten als nicht personenbezogene Daten betrachten zu können, ist daher meines Erachtens angesichts der bestehenden Informationspflicht des SRB letztlich nicht von Bedeutung.

81.      Folglich musste die dem SRB als für die Verarbeitung Verantwortlichem obliegende Informationspflicht im vorliegenden Fall eingehalten werden, und das angefochtene Urteil ist aus diesem Grund als rechtsfehlerhaft aufzuheben.

82.      Da die Perspektive des Empfängers der fraglichen Daten für die Informationspflicht nach Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 nicht maßgeblich ist, sind die Argumente der Parteien zu der Frage, ob Deloitte das Recht hatte, die betroffenen Personen zu identifizieren, und ob diese Identifizierung auch praktisch durchführbar war, irrelevant und müssen daher nicht geprüft werden.

83.      Für den Fall, dass der Gerichtshof anderer Meinung sein sollte, ist hilfsweise darauf hinzuweisen, dass der EDSB in diesem Zusammenhang der Feststellung des Gerichts widerspricht, dass Deloitte keinen Zugang zu den Identifikationsdaten habe. Er stützt sich dabei insbesondere auf das Vertragsverhältnis der Auftragsverarbeitung, das zwischen dem SRB und Deloitte bestehe. Der SRB und die Kommission machen geltend, dass der EDSB damit neue Tatsachenbehauptungen vorbringe, die im Rechtsmittelverfahren unzulässig seien. Ich teile diese Auffassung. Tatsächlich stellt das Bestehen eines Vertragsverhältnisses zwischen dem SRB und Deloitte, das die Möglichkeit von Deloitte belegen würde, den SRB um die Identifizierung der Beschwerdeführer zu ersuchen, ein neues Vorbringen dar, zu dem sich das Gericht im Übrigen bislang in keiner Weise geäußert hat. Folglich wäre dieses Vorbringen gegebenenfalls in Anwendung von Art. 170 Abs. 1 Satz 2 der Verfahrensordnung des Gerichtshofs, wonach das Rechtsmittel den vor dem Gericht verhandelten Streitgegenstand nicht verändern kann, als unzulässig zurückzuweisen(37).

B.      Zum zweiten, hilfsweise geprüften Rechtsmittelgrund

84.      Mit seinem zweiten Rechtsmittelgrund, der auf einen Verstoß gegen den Grundsatz der Rechenschaftspflicht gemäß Art. 4 Abs. 2 und Art. 26 Abs. 1 der Verordnung 2018/1725 gestützt wird, macht der EDSB, unterstützt vom Europäischen Datenschutzausschuss, geltend, dass das Gericht zu Unrecht entschieden habe, dass es ihm obliege, zu beweisen, dass es sich bei den an Deloitte übermittelten Informationen um personenbezogene Daten handele, da dies gegen den Grundsatz der Rechenschaftspflicht des SRB verstoße.

85.      In Anbetracht des Vorstehenden und insbesondere der Nrn. 81 und 82 bin ich der Ansicht, dass es nicht erforderlich ist, diesen zweiten Rechtsmittelgrund zu prüfen.

86.      Ich werde daher nur rein hilfsweise kurz auf ihn eingehen.

87.      In Bezug auf die Zulässigkeit dieses vor dem Gericht nicht vorgebrachten Rechtsmittelgrundes, die vom SRB in Abrede gestellt wird, ist festzustellen, dass ein Rechtsmittelführer zulässigerweise ein Rechtsmittel einlegen kann, mit dem er Rechtsmittelgründe geltend macht, die sich aus dem angefochtenen Urteil selbst ergeben und mit denen dessen Stichhaltigkeit aus rechtlichen Erwägungen in Frage gestellt wird(38). Dies ist meines Erachtens bei dem vorliegenden Rechtsmittelgrund der Fall, der somit zulässig ist.

88.      Was die Begründetheit betrifft, ist festzustellen, dass das Gericht entschieden hat, dass der EDSB, weil er nicht geprüft habe, ob Deloitte das Recht gehabt habe, auf die für die Rückidentifizierung der Beschwerdeführer erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar gewesen sei, nicht zu dem Ergebnis habe gelangen dürfen, dass die an Deloitte übermittelten Informationen sich im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine „identifizierbare natürliche Person“ bezögen.

89.      Der EDSB, unterstützt vom Europäischen Datenschutzausschuss, macht im Wesentlichen geltend, dass das Gericht hätte prüfen müssen, ob der für die Verarbeitung verantwortliche SRB nachgewiesen habe, dass er die streitigen Daten gegenüber Deloitte anonymisiert habe.

90.      Der SRB widerspricht dieser Argumentation unter Berufung darauf, dass die Rechenschaftspflicht nur bei Vorliegen personenbezogener Daten gelte und dass im vorliegenden Fall die sich im Besitz von Deloitte befindlichen Daten anonymisiert worden seien.

91.      Die Kommission ihrerseits vertritt die Auffassung, dass es in einem ersten Schritt dem EDSB obliege, soweit zumutbar auf der Grundlage der verfügbaren Beweise das Vorliegen personenbezogener Daten nachzuweisen. In einem zweiten Schritt sei es Sache des für die Verarbeitung Verantwortlichen, dieses Ergebnis durch Vorlage weiterer Beweise zu widerlegen.

92.      Ich erinnere daran, dass gemäß Art. 4 Abs. 1 Buchst. a der Verordnung 2018/1725 personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Art. 4 Abs. 2 dieser Verordnung bestimmt, dass „[d]er Verantwortliche … für die Einhaltung des Absatzes 1 verantwortlich [ist] und … dessen Einhaltung nachweisen können [muss]“. Aus dem in Art. 4 Abs. 2 verankerten und in Art. 26 Abs. 1 der genannten Verordnung präzisierten Grundsatz der Rechenschaftspflicht folgt somit, dass der Verantwortliche nachweisen können muss, dass die in Art. 4 Abs. 1 genannten Grundsätze eingehalten worden sind(39).

93.      Legt der für die Verarbeitung Verantwortliche ausreichende Beweise in diesem Sinne vor, kann davon ausgegangen werden, dass er seiner Beweislast genügt hat(40).

94.      Im vorliegenden Fall hat der SRB aus meiner Sicht mehrere Tatsachen vorgetragen (insbesondere die in der streitigen Entscheidung und im angefochtenen Urteil beschriebenen Prozesse zur Sortierung, Kategorisierung und Zusammenfassung der Stellungnahmen), um gemäß dem Grundsatz der ihm obliegenden Rechenschaftspflicht nachzuweisen, dass die Identifizierung der betroffenen Personen durch Deloitte unmöglich gewesen sei.

95.      Vor dem Gericht hat der EDSB diesbezüglich hingegen die grundsätzliche Position vertreten, dass die Perspektive des SRB und nicht die von Deloitte einzunehmen sei und daher die an Deloitte übermittelten Stellungnahmen als „personenbezogene Daten“ einzustufen seien.

96.      Wenn man für die Zwecke der hilfsweisen Prüfung des vorliegenden Rechtsmittelgrundes annimmt, dass die Perspektive von Deloitte im vorliegenden Fall maßgeblich war(41), könnte man davon ausgehen, dass es, wie das Gericht entschieden hat, dem EDSB oblag, nachzuweisen(42), aus welchem rechtlichen oder technischen Grund der vom SRB im vorliegenden Fall durchgeführte Pseudonymisierungsprozess nicht ausreichend gewesen sei und zu der Annahme habe führen müssen, dass Deloitte personenbezogene Daten verarbeitet habe.

97.      Ich wäre daher der Ansicht, dass in diesem Fall das angefochtene Urteil in Bezug auf diesen zweiten Rechtsmittelgrund zu bestätigen wäre.

VII. Zur Klage vor dem Gericht

98.      Nach Art. 61 Abs. 1 der Satzung des Gerichtshofs der Europäischen Union hebt der Gerichtshof die Entscheidung des Gerichts auf, wenn das Rechtsmittel begründet ist. Er kann sodann den Rechtsstreit selbst endgültig entscheiden, wenn dieser zur Entscheidung reif ist, oder die Sache zur Entscheidung an das Gericht zurückverweisen.

99.      Der erste vom SRB vor dem Gericht gegen die streitige Entscheidung vorgebrachte Klagegrund bezieht sich auf einen Verstoß gegen Art. 3 Nr. 1 der Verordnung 2018/1725. Aus den Nrn. 63 bis 82 der vorliegenden Schlussanträge ergibt sich, dass der SRB gegen seine Informationspflicht aus Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 verstoßen hat, weshalb die streitige Entscheidung daher meines Erachtens zu bestätigen wäre.

100. Der zweite Klagegrund, der sich auf einen Verstoß gegen das Recht auf eine gute Verwaltung durch den EDSB im Rahmen des Verfahrens bezieht, das zum Erlass der streitigen Entscheidung geführt hat, ist hingegen meines Erachtens nicht entscheidungsreif.

101. Der SRB macht nämlich insbesondere geltend, dass der EDSB im Rahmen des Verwaltungsverfahrens vor Erlass der streitigen Entscheidung sein Recht auf Akteneinsicht, sein Recht auf Anhörung sowie den Grundsatz der Waffengleichheit verletzt habe, indem er ihm zum einen die Akteneinsicht verweigert und zum anderen die Stellungnahmen der Beschwerdeführer oder deren Inhalt nicht mitgeteilt habe.

102. Das Gericht hat jedoch die Ansicht vertreten, dass es, da dem ersten Klagegrund stattgegeben worden sei, nicht erforderlich gewesen sei, den zweiten geltend gemachten Klagegrund zu prüfen. Folglich ist dieser Klagegrund, der insbesondere Tatsachenbeurteilungen beinhaltet, nicht zur Entscheidung reif. Daher ist die Sache meines Erachtens zur diesbezüglichen Entscheidung an das Gericht zurückzuverweisen, wobei die Kostenentscheidung vorbehalten bleibt.

VIII. Ergebnis

103. Nach alledem schlage ich dem Gerichtshof vor,

–        das Urteil des Gerichts der Europäischen Union vom 26. April 2023, SRB/EDSB (T‑557/20, EU:T:2023:219), aufzuheben;

–        die Sache zur Entscheidung über den zweiten Klagegrund an das Gericht zurückzuverweisen;

–        die Kostenentscheidung vorzubehalten.


Leave a Comment

Schreibe einen Kommentar