Urteil : Neues zum Personenbezug: Die SRB-Entscheidung des EuGH : aus der RDV 1/2026, Seite 39 bis 43

Zum Rechtsmittel:

2. Zum zweiten Teil des ersten Rechtsmittelgrundes: falsche Auslegung der Voraussetzung gem. Art.  3 Nr.  1 der Verordnung 2018/1725, dass sich die Informationen auf eine „identifizierbare“ natürliche Person beziehen

Mit dem zweiten Teil des ersten Rechtsmittelgrundes macht der EDSB geltend, das Gericht habe in den Rn. 76 bis 106 des angefochtenen Urteils zu Unrecht festgestellt, dass es die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, nicht als Informationen betrachten könne, die sich im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine „identifizierbare“ Person bezögen. Dieser Teil besteht aus zwei separaten Rügen.

a) Zur ersten Rüge des zweiten Teils des ersten Rechtsmittelgrundes:

[…] Die erste Rüge des zweiten Teils des ersten Rechtsmittelgrundes wird im Wesentlichen auf die Erwägung gestützt, dass pseudonymisierte Daten wie die an Deloitte übermittelten Stellungnahmen – allein aufgrund des Vorliegens von Informationen, die eine Identifizierung der betroffenen Person ermöglichen – in jedem Fall personenbezogene Daten darstellen, ohne dass konkret geprüft werden müsste, ob die Person, auf die sich diese Daten beziehen, trotz der Pseudonymisierung identifizierbar ist.

In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information nach dem Wortlaut von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung dieser Verordnung setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.

Diese Auslegung wird durch den fünften und den sechsten Satz des 16. ErwG der Verordnung 2018/1725 gestützt, nach denen unter die Definition des Begriffs „personenbezogene Daten“ weder „anonyme Informationen …, d.h. … Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen“, fallen noch „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“ (vgl. entsprechend Urt. v. 5.12.2023, Nacionalinis visuomenės sveikatos centras, C 683/21, EU:C:2023:949, Rn. 57).

Was konkret pseudonymisierte Daten betrifft, ist als Erstes darauf hinzuweisen, dass diese Daten in der Legaldefinition des Begriffs „personenbezogene Daten“ in Art. 3 Nr. 1 der Verordnung 2018/1725 nicht genannt werden, sich ihre Eigenschaften aber aus Art.  3 Nr.  6 dieser Verordnung ergeben. Die letztgenannte Bestimmung definiert den Begriff „Pseudonymisierung“ als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Wie vom Generalanwalt im Wesentlichen in den Nr. 46 und 48 seiner Schlussanträge ausgeführt, ist die Pseudonymisierung somit kein Element der Definition des Begriffs „personenbezogene Daten“. Sie bezieht sich vielmehr auf die Umsetzung technischer und organisatorischer Maßnahmen, die das Risiko verringern sollen, dass ein bestimmter Datensatz mit der Identität der betroffenen Personen in Verbindung gebracht wird. Nach dem 17. ErwG der Verordnung 2018/1725 kann die Pseudonymisierung „[nur] die Risiken“ einer solchen Korrelation für die betroffenen Personen „senken“ und damit „die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen“.

Als Zweites ergibt sich aus Art.  3 Nr.  6 der Verordnung 2018/1725, dass der Begriff „Pseudonymisierung“ das Vorliegen von Informationen voraussetzt, die eine Identifizierung der betroffenen Person ermöglichen. Die bloße Existenz solcher Informationen spricht dagegen, dass Daten, die pseudonymisiert wurden, in jedem Fall als anonymisierte Daten betrachtet werden können, die vom Anwendungsbereich dieser Verordnung ausgenommen sind.

Als Drittes deutet indes das in Art. 3 Nr. 6 der Verordnung 2018/1725 vorgesehene Erfordernis, die Informationen zur Identifizierung gesondert aufzubewahren und technische und organisatorische Maßnahmen zu ergreifen, „die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“, darauf hin, dass die Pseudonymisierung insbesondere darauf abzielt, zu verhindern, dass die betroffene Person allein anhand pseudonymisierter Daten identifiziert werden kann.

Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auswirken.

Hierzu ist klarzustellen, dass der SRB vorliegend – wie dies bei dem Verantwortlichen, der die Pseudonymisierung vorgenommen hat, normalerweise der Fall ist – über zusätzliche Informationen verfügt, die eine Zuordnung der an Deloitte übermittelten Stellungnahmen zur betroffenen Person ermöglichen. Daher bleiben diese Stellungnahmen für den SRB trotz der Pseudonymisierung personenbezogen.

Im Hinblick auf Deloitte, an die der SRB pseudonymisierte Stellungnahmen übermittelt hat, können, wie im Wesentlichen vom SRB ausgeführt, die technischen und organisatorischen Maßnahmen gem. Art.  3 Nr.  6 der Verordnung 2018/1725 bewirken, dass diese Stellungnahmen für Deloitte nicht personenbezogen sind. Dies setzt jedoch zum einen voraus, dass Deloitte nicht in der Lage ist, diese Maßnahmen bei der Bearbeitung der Stellungnahmen, die unter ihrer Kontrolle erfolgt, aufzuheben. Zum anderen müssen diese Maßnahmen auch tatsächlich geeignet sein, zu verhindern, dass Deloitte diese Stellungnahmen der betroffenen Person zuordnet, und zwar auch anhand anderer Mittel zur Identifizierung, wie etwa eines Abgleichs mit anderen Elementen, so dass die betroffene Person für Deloitte nicht oder nicht mehr identifizierbar ist.

Diese Auslegung wird durch den 16. ErwG der Verordnung 2018/1725 gestützt, in dem es nach dem Hinweis im ersten Satz, dass „[d]ie Grundsätze des Datenschutzes … für alle Informationen gelten [sollten], die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, im zweiten Satz heißt, dass „[e]iner Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, … als Informationen über eine identifizierbare natürliche Person betrachtet werden [sollten]“.

Im Anschluss an diese Ausführungen zu personenbezogenen bzw. pseudonymisierten Daten wird nämlich mit dem dritten Satz des 16. ErwG klargestellt, dass, bei der Prüfung der Identifizierbarkeit einer natürlichen Person „alle Mittel“ berücksichtigt werden sollten, die von dem Verantwortlichen oder „einer anderen Person nach allgemeinem Ermessen wahrscheinlich“ genutzt werden, um die natürliche Person „direkt oder indirekt“ zu identifizieren. Außerdem sollten gemäß dem vierten Satz dieses Erwägungsgrundes bei der Prüfung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, „alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand“, herangezogen werden, „wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“.

Wie vom Generalanwalt im Wesentlichen in Nr. 51 seiner Schlussanträge ausgeführt, würde diesen Ausführungen zur Beurteilung, ob die betroffene Person identifizierbar ist oder nicht, jegliche Wirksamkeit genommen, wenn pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 in jedem Fall und in Bezug auf jede Person als personenbezogene Daten zu betrachten wären.

Insoweit ist darauf hinzuweisen, dass sich der Gerichtshof in Bezug auf eine Pressemitteilung, die gewisse Angaben zu einer namentlich nicht genannten Person enthielt, in seinem Urt. v. 7.3.2024, OC/Kommission (C 479/22 P, EU:C:2024:215, Rn. 52 bis 64), nicht auf die Feststellung beschränkt hat, dass die diese Pressemitteilung veröffentlichende Stelle der Union über sämtliche Informationen verfügte, die die Identifizierung dieser Person ermöglichten. Vielmehr hat er geprüft, ob die Angaben in dieser Pressemitteilung der betroffenen Öffentlichkeit nach allgemeinem Ermessen eine Identifizierung dieser Person ermöglichten, insbesondere durch einen Abgleich dieser Angaben mit im Internet verfügbaren Informationen.

Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde (vgl. i.d.S. Urt. v. 7.3.2024, OC/ Kommission, C 479/22 P, EU:C:2024:215, Rn.  51 und die dort angeführte Rechtsprechung). Diese Rechtsprechung bestätigt die Auslegung, wonach die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Informationen für sich genommen nicht bedeutet, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind.

Gleichermaßen hat der Gerichtshof insbesondere in den Urt. v. 19.10.2016, Breyer (C 582/14, EU:C:2016:779, Rn. 44, 47 und 48), sowie v. 7.3.2024, IAB Europe (C 604/22, EU:C:2024:214, Rn. 43 und 48), im Wesentlichen entschieden, dass an sich nicht personenbezogene Daten, die vom Verantwortlichen erhoben und gespeichert wurden, sich dennoch auf eine identifizierbare Person bezogen, da der Verantwortliche über rechtliche Möglichkeiten verfügte, von Dritten zusätzliche Informationen zu erlangen, die die Identifizierung dieser Person erlaubten. Unter diesen Bedingungen war nämlich der Umstand, dass sich die zur Identifizierung der betroffenen Person erforderlichen Informationen in den Händen verschiedener Personen befanden, nicht geeignet, die Identifizierung der betroffenen Person tatsächlich so zu verhindern, dass sie für den Verantwortlichen nicht identifizierbar war.

Vor allem können nach der Rechtsprechung aus dem Urt. v. 9.11.2023, Gesamtverband Autoteile-Handel (Zugang zu Fahrzeuginformationen) (C 319/22, EU:C:2023:837, Rn. 46 und 49), an sich nicht personenbezogene Daten dann zu „personenbezogenen“ Daten werden, wenn der Verantwortliche sie anderen Personen überlässt, die über Mittel verfügen, die nach allgemeinem Ermessen wahrscheinlich die Identifizierung der betroffenen Person ermöglichen. Diesem Urteil ist insbesondere zu entnehmen, dass die betreffenden Daten – im Zusammenhang mit einer solchen Überlassung – personenbezogen sind, und zwar sowohl für diese Personen als auch indirekt für den Verantwortlichen.

Angesichts der in der vorstehenden Randnummer wiedergegebenen Rechtsprechung macht der EDSB daher zu Unrecht geltend, dass der Umstand, wonach pseudonymisierte Daten für Personen, denen der Verantwortliche solche Daten übermittle, gegebenenfalls keinen Personenbezug aufweisen, es ermögliche, diese Daten zu Unrecht vom Anwendungsbereich des Unionsrechts zum Schutz personenbezogener Daten auszunehmen. Nach dieser Rechtsprechung wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.

Folglich müssen – entgegen dem Vorbringen des EDSB -pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 nicht in jedem Fall und für jede Person als personenbezogene Daten betrachtet werden. Denn die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.

Der vom EDSB angeführte Umstand, wonach der vierte Satz des 16. ErwG der Verordnung 2018/1725 den Verantwortlichen oder „ein[e] ander[e] Person“ betrifft, vermag diese Auslegung nicht in Frage zu stellen. Aus dem in Rn.  79 des vorliegenden Urteils wiedergegebenen Wortlaut dieses Satzes ergibt sich nämlich, dass er sich nur auf Personen bezieht, die über Mittel verfügen oder Zugang zu Mitteln haben, die nach allgemeinem Ermessen wahrscheinlich für die Identifizierung der betroffenen Person genutzt werden. Wie in den Rn.  75 bis 77 des vorliegenden Urteils ausgeführt, kann die Pseudonymisierung also je nach den Umständen des Einzelfalls andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für die anderen Personen nicht oder nicht mehr identifizierbar ist.

Was das Vorbringen des EDSB zum Ziel der Gewährleistung eines hohen Schutzniveaus für personenbezogene Daten angeht, bringt zwar der Wortlaut von Art.  3 Nr.  1 der Verordnung 2018/1725 das Ziel des Unionsgesetzgebers zum Ausdruck, dem Begriff „personenbezogene Daten“ eine weite Bedeutung beizumessen. Dieser Begriff ist indes nicht unbegrenzt, da die genannte Bestimmung u.a. voraussetzt, dass die betroffene Person identifiziert oder identifizierbar ist.

Insbesondere enthält die Verordnung 2018/1725, wie vom Generalanwalt in Nr.  58 seiner Schlussanträge dargelegt, Pflichten – etwa jene nach Art. 15 dieser Verordnung, die betroffene Person zu informieren –, deren Erfüllung die Identifizierung der betroffenen Person voraussetzt. Solche Pflichten können keiner Einrichtung auferlegt werden, die nicht in der Lage ist, diese Identifizierung vorzunehmen.

Folglich ist die erste Rüge des zweiten Teils des ersten Rechtsmittelgrundes als unbegründet zurückzuweisen.

b) Zur zweiten Rüge des zweiten Teils des ersten Rechtsmittelgrundes:

…] Das Gericht hat insbesondere in den Rn. 97 bis 100 des angefochtenen Urteils im Wesentlichen entschieden, dass der EDSB gem. der auf das Urt. v. 19.10.2016, Breyer (C 582/14, EU:C:2016:779), zurückgehenden Rechtsprechung verpflichtet gewesen wäre, zu prüfen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten. Um zu diesem Schluss zu gelangen, hat das Gericht u.a. darauf hingewiesen, dass der in der streitigen Entscheidung festgestellte Verstoß gegen Art. 15 Abs. 1 lit. d) der Verordnung 2018/1725 die Übermittlung dieser Stellungnahmen durch den SRB an Deloitte betroffen habe und nicht nur die Tatsache, dass der SRB über diese verfügt habe.

Zunächst ist darauf hinzuweisen, dass Art. 3 Nr. 1 der Verordnung 2018/1725 nicht ausdrücklich festlegt, welche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person maßgeblich ist, während der 16. ErwG dieser Verordnung undifferenziert auf den „Verantwortlichen“ oder „ein[e] ander[e] Person“ abstellt. Überdies ist es nach ständiger Rechtsprechung für die Einstufung von Daten als „personenbezogene Daten“ nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. in diesem Sinne Urteile vom 19.10.2016, Breyer, C 582/14, EU:C:2016:779, Rn.  43, und vom 7.3.2024, OC/Kommission, C 479/22 P, EU:C:2024:215, Rn. 48).

Nach der Rechtsprechung, die insbesondere auf das Urt. v. 19.10.2016, Breyer (C 582/14, EU:C:2016:779), zurückgeht und auf die in den Rn. 81 bis 84 des vorliegenden Urteils verwiesen wird, richtet sich die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person wesentlich nach den Umständen der Datenverarbeitung im Einzelfall.

Im vorliegenden Fall hat der EDSB in der streitigen Entscheidung festgestellt, dass der SRB gegen seine Informationspflicht gem. Art. 15 Abs. 1 lit. d) der Verordnung 2018/1725 verstoßen habe, indem er Deloitte in der Datenschutzerklärung, die zum Zeitpunkt der Einholung der Stellungnahmen veröffentlicht worden sei, nicht als potenzielle Empfängerin der Stellungnahmen genannt habe.

Art. 15 Abs. 1 der Verordnung 2018/1725 bestimmt, welche Informationen der Verantwortliche der betroffenen Person zur Verfügung zu stellen hat, wenn bei ihr personenbezogene Daten erhoben werden, und stellt zudem klar, dass diese Informationen der betroffenen Person „zum Zeitpunkt der Erhebung dieser Daten“ zur Verfügung zu stellen sind. Bereits aus dem Wortlaut dieser Bestimmung ergibt sich, dass der für die Verarbeitung Verantwortliche diese Informationen sofort zu geben hat, d.h. zum Zeitpunkt des Erhebens dieser Daten (vgl. entsprechend Urteil vom 29.7.2019, Fashion ID, C 40/17, EU:C:2019:629, Rn.  104 und die dort angeführte Rechtsprechung).

Was konkret die Information zu potenziellen Empfängern personenbezogener Daten nach Art. 15 Abs. 1 lit. d) dieser Verordnung betrifft, so handelt es sich dabei um eine der Informationen, die zum Zeitpunkt des Erhebens der Daten bei der betroffenen Person zur Verfügung zu stellen ist.

Nach Art. 14 Abs. 1 der Verordnung 2018/1725 trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person die u.a. in Art. 15 dieser Verordnung genannten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und um diese Person so in die Lage zu versetzen, die an sie gerichteten Informationen in vollem Umfang zu verstehen (vgl. entsprechend Urt. v. 4.5.2023, Österreichische Datenschutzbehörde und CRIF, C 487/21, EU:C:2023:369, Rn. 38, sowie v. 11.7.2024, Meta Platforms Ireland [Verbandsklage], C 757/22, EU:C:2024:598, Rn. 55 und 56).

Die Bedeutung der Erfüllung einer solchen Informationspflicht wird durch den 35. ErwG der Verordnung 2018/1725 bestätigt, nach dessen ersten beiden Sätzen es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dabei sollte der Verantwortliche auch alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, wie in Art. 15 Abs. 2 dieser Verordnung vorgesehen (vgl. entsprechend Urt. v. 11.7.2024, Meta Platforms Ireland [Verbandsklage], C 757/22, EU:C:2024:598, Rn. 57 und die dort angeführte Rechtsprechung).

Beruht die Erhebung solcher Daten bei der betroffenen Person – wie im vorliegenden Fall im Rahmen des Anhörungsverfahrens – auf der Einwilligung der betroffenen Person, so hängt die Gültigkeit der von dieser Person erteilten Einwilligung somit u.a. davon ab, ob diese Person zuvor die Informationen über alle Umstände im Zusammenhang mit der Verarbeitung der fraglichen Daten erhalten hat, auf die sie nach Art. 15 der Verordnung 2018/1725 Anspruch hat und die ihr ermöglichen, die Einwilligung in voller Kenntnis der Sachlage zu geben (vgl. entsprechend Urt. v. 11.7.2024, Meta Platforms Ireland [Verbandsklage], C 757/22, EU:C:2024:598, Rn. 60).

Was im Übrigen den Fall einer Pflicht der betroffenen Person zur Übermittlung von personenbezogenen Daten an den Verantwortlichen angeht, wird im vierten Satz des 35. ErwG der Verordnung 2018/1725 klargestellt, dass der betroffenen Person mitgeteilt werden sollte, ob sie zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Dies belegt, welche Bedeutung der gem. Art.  15 dieser Verordnung erforderlichen Information zum Zeitpunkt des Erhebens der Daten bei der betroffenen Person zukommt.

Vor diesem Hintergrund zielt die Pflicht, der betroffenen Person – zum Zeitpunkt des Erhebens der mit ihr verbundenen personenbezogenen Daten – die potenziellen Empfänger dieser Daten mitzuteilen, u.a. darauf ab, es dieser Person zu ermöglichen, in voller Kenntnis der Sachlage zu entscheiden, ob sie die bei ihr erhobenen personenbezogenen Daten zur Verfügung stellt oder dies verweigert.

Zwar ist, wie im Wesentlichen von der Kommission in der mündlichen Verhandlung dargelegt, die Information über potenzielle Empfänger auch unerlässlich, damit die betroffene Person später gegenüber diesen Empfängern ihre Rechte verteidigen kann. Die Pflicht, diese Information zum Zeitpunkt des Erhebens der personenbezogenen Daten zur Verfügung zu stellen, gewährleistet jedoch insbesondere, dass diese Daten vom Verantwortlichen nicht gegen den Willen der betroffenen Person erhoben oder gar an Dritte übermittelt werden.

Daraus folgt, wie vom Generalanwalt in Nr.  69 seiner Schlussanträge dargelegt, dass die Informationspflicht gem. Art. 15 Abs. 1 lit. d) der Verordnung 2018/1725 im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichem besteht und sie daher die mit dieser Person verbundenen Informationen zum Gegenstand hat, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte.

Für die Zwecke der Anwendung der Informationspflicht nach Art. 15 Abs. 1 lit. d) der Verordnung 2018/1725 ist folglich davon auszugehen, dass die Identifizierbarkeit der betroffenen Person zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen ist.

Daraus ergibt sich, wie im Wesentlichen vom Generalanwalt in Nr.  79 seiner Schlussanträge ausgeführt, dass die dem SRB obliegende Informationspflicht im vorliegenden Fall vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon bestand, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.

Das auf den Wortlaut von Art. 15 Abs. 1 lit. d) der Verordnung 2018/1725 – „Empfänger … der personenbezogenen Daten“ – gestützte Argument des SRB vermag diese Auslegung nicht in Frage zu stellen. Aus den Rn. 102 bis 108 des vorliegenden Urteils ergibt sich nämlich, dass diese Bestimmung die Informationspflicht regelt, die dem Verantwortlichen zum Zeitpunkt des Erhebens solcher Daten obliegt. Die Frage, ob der Verantwortliche zu diesem Zeitpunkt seine Informationspflicht erfüllt hat, kann nicht von den Möglichkeiten zur Identifizierung der betroffenen Person abhängen, über die ein potenzieller Empfänger nach einer späteren Übermittlung der in Rede stehenden Daten gegebenenfalls verfügen könnte.

Wie vom Generalanwalt im Wesentlichen in Nr. 77 seiner Schlussanträge ausgeführt, würde das Argument des SRB, wonach für die Prüfung der Erfüllung dieser Informationspflicht die Perspektive des Empfängers einzunehmen sei, zu einer zeitlichen Verlagerung dieser Kontrolle führen. Da diese Kontrolle zwingend bereits an den Empfänger übermittelte personenbezogene Daten beträfe, verkennt dieses Argument auch den Zweck der Informationspflicht, der untrennbar mit dem Verhältnis zwischen dem Verantwortlichen und der betroffenen Person verbunden ist.

Das Gericht hat somit einen Rechtsfehler begangen, als es in den Rn. 97, 98, 100, 101 und 103 bis 105 des angefochtenen Urteils festgestellt hat, dass der EDSB für die Beurteilung, ob der SRB seine Informationspflicht nach Art. 15 Abs. 1 lit. d) der Verordnung 2018/1725 erfüllt habe, hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten.

Daraus folgt, dass die zweite Rüge des zweiten Teils des ersten Rechtsmittelgrundes begründet ist, ohne dass die übrigen, in den Rn.  93 und 94 des vorliegenden Urteils zusammengefassten Argumente des EDSB geprüft zu werden brauchen.

Zur Vertiefung

Simwinga, SRB Rechtssache C-413/23P: Der Begriff „personenbezogene Daten“ und das Risiko der Identifizierung = RDV 4/2025

Simwinga, Pseudonymised data is not in all cases personal data: from Breyer to SRB, the concept of personal data under EU law = EuDIR 6/2025

[Urteil] Kein Personenbezug bei fehlenden Mitteln des Datenempfängers zur Re-Identifizierung = RDV 4/2023