Gründe

1 Mit seinem Rechtsmittel beantragt der Europäische Datenschutzbeauftragte (EDSB) die Aufhebung des Urteils des Gerichts der Europäischen Union vom 26. April 2023, SRB/EDSB (T‑557/20, im Folgenden: angefochtenes Urteil, EU:T:2023:219), mit dem dieses die überarbeitete Entscheidung des EDSB vom 24. November 2020, die im Anschluss an die vom Einheitlichen Abwicklungsausschuss (Single Resolution Board, im Folgenden: SRB) beantragte Überprüfung der Entscheidung des EDSB vom 24. Juni 2020 über fünf Beschwerden (Nrn. 2019-947, 2019-998, 2019-999, 2019‑1000 und 2019-1122) (im Folgenden: streitige Entscheidung) erging, für nichtig erklärt hat.

I.  Rechtlicher Rahmen

2 Die Erwägungsgründe 5, 16, 17 und 35 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. 2018, L 295, S. 39) lauten:

…

…

3 Art. 3 („Begriffsbestimmungen“) Nrn. 1, 6, 8 und 13 der Verordnung 2018/1725 bestimmt:

„Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:

…

…

…

4 Art. 4 („Grundsätze für die Verarbeitung personenbezogener Daten“) Abs. 2 der Verordnung 2018/1725 sieht vor:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

5 In Art. 14 („Transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) Abs. 1 der Verordnung heißt es:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 15 und 16 und alle Mitteilungen gemäß den Artikeln 17 bis 24 und Artikel 35, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an ein Kind richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“

6 Art. 15 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) der Verordnung 2018/1725 sieht vor:

„(1)  Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten sämtliche folgenden Informationen mit:

…

…

(2)  Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten die folgenden weiteren Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

…

…“

7 Art. 24 der Verordnung 2018/1725 regelt, unter welchen Bedingungen die Entscheidung im Einzelfall auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen darf.

8 Art. 26 („Verantwortung des Verantwortlichen“) Abs. 1 dieser Verordnung lautet:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

II.  Vorgeschichte des Rechtsstreits

9 Die Vorgeschichte des Rechtsstreits wird in den Rn. 2 bis 32 des angefochtenen Urteils dargestellt und lässt sich wie folgt zusammenfassen.

10 Am 7. Juni 2017 erließ die Präsidiumssitzung des SRB auf der Grundlage der Verordnung (EU) Nr. 806/2014 des Europäischen Parlaments und des Rates vom 15. Juli 2014 zur Festlegung einheitlicher Vorschriften und eines einheitlichen Verfahrens für die Abwicklung von Kreditinstituten und bestimmten Wertpapierfirmen im Rahmen eines einheitlichen Abwicklungsmechanismus und eines einheitlichen Abwicklungsfonds sowie zur Änderung der Verordnung (EU) Nr. 1093/2010 (ABl. 2014, L 225, S. 1) (Verordnung über den einheitlichen Abwicklungsmechanismus [Single Resolution Mechanism], im Folgenden: SRM-Verordnung) den Beschluss SRB/EES/2017/08 betreffend ein Abwicklungskonzept für die Banco Popular Español, SA.

11 In diesem Beschluss entschied der SRB, da er die Voraussetzungen von Art. 18 Abs. 1 der SRM-Verordnung für erfüllt hielt, ein Abwicklungsverfahren gegen Banco Popular Español SA (im Folgenden: Banco Popular) einzuleiten. Dementsprechend beschloss der SRB die Herabschreibung und Umwandlung der Kapitalinstrumente von Banco Popular nach Art. 21 der SRM-Verordnung und die Anwendung des Instruments der Unternehmensveräußerung nach Art. 24 dieser Verordnung durch Übertragung der Anteile an einen Erwerber.

12 Ebenfalls am 7. Juni 2017 erließ die Europäische Kommission den Beschluss (EU) 2017/1246 zur Billigung des Abwicklungskonzepts für Banco Popular Español SA (ABl. 2017, L 178, S. 15).

13 Nach der Abwicklung von Banco Popular wurde die Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte vom SRB mit der in Art. 20 Abs. 16 bis 18 der SRM-Verordnung vorgesehenen Bewertung einer unterschiedlichen Behandlung beauftragt, um zu bestimmen, ob die Anteilseigner und Gläubiger von Banco Popular besser behandelt worden wären, wenn für Banco Popular das reguläre Insolvenzverfahren eingeleitet worden wäre (im Folgenden: Bewertung 3). Deloitte übermittelte dem SRB diese Bewertung am 14. Juni 2018.

14 Am 6. August 2018 veröffentlichte der SRB auf seiner Website die Ankündigung vom 2. August 2018 betreffend seine vorläufige Entscheidung darüber, ob Anteilseignern oder Gläubigern, die von den Abwicklungsmaßnahmen betreffend Banco Popular Español SA betroffen sind, eine Entschädigung gewährt werden muss, sowie die Einleitung einer Anhörung (SRB/EES/2018/132) (im Folgenden: vorläufige Entscheidung) sowie eine nicht vertrauliche Fassung der Bewertung 3. Am 7. August 2018 wurde im Amtsblatt der Europäischen Union (ABl. 2018, C 277 I, S. 1) eine diese Ankündigung betreffende Mitteilung veröffentlicht.

15 In der vorläufigen Entscheidung wies der SRB darauf hin, dass er die durch die Maßnahmen zur Abwicklung von Banco Popular betroffenen Anteilseigner und Gläubiger auffordere (im Folgenden: die betroffenen Anteilseigner und Gläubiger), ihr Interesse an der Ausübung ihres in Art. 41 Abs. 2 Buchst. a der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankerten Rechts auf Anhörung zu äußern, damit er endgültig darüber entscheiden könne, ob ihnen nach Art. 76 Abs. 1 Buchst. e der SRM-Verordnung eine Entschädigung gewährt werden müsse.

A.  Zu dem Verfahren betreffend das Recht auf Anhörung

16 Nach den Ausführungen in der vorläufigen Entscheidung sollte das Verfahren betreffend das Recht auf Anhörung (im Folgenden: Anhörungsverfahren) aus zwei Phasen bestehen.

17 In der ersten Phase (im Folgenden: Registrierungsphase) wurden die betroffenen Anteilseigner und Gläubiger aufgefordert, bis zum 14. September 2018 ihr Interesse an der Ausübung ihres Rechts auf Anhörung mit Hilfe eines online verfügbaren Registrierungsfragebogens zu äußern. Während dieser Phase mussten die betroffenen Anteilseigner und Gläubiger, die ihr Recht auf Anhörung ausüben wollten, dem SRB die Nachweise dafür zukommen lassen, dass sie zum Zeitpunkt der Abwicklung von Banco Popular mindestens ein Kapitalinstrument von Banco Popular hielten, das im Rahmen der Abwicklung herabgeschrieben, umgewandelt und auf die Banco Santander SA übertragen wurde. Zu den vorzulegenden Nachweisen gehörten ein Ausweisdokument und ein Beleg über das am 6. Juni 2017 bestehende Eigentum an einem dieser Kapitalinstrumente. Danach war vom SRB zu prüfen, ob es sich bei allen ein Interesse bekundenden Personen auch tatsächlich um betroffene Anteilseigner oder Gläubiger handelte.

18 Am 6. August 2018, dem Eröffnungstag der Registrierungsphase, veröffentlichte der SRB auf der Seite für die Registrierung zum Anhörungsverfahren und auf seiner Website auch eine Datenschutzerklärung betreffend die Verarbeitung der personenbezogenen Daten im Rahmen dieses Verfahrens (im Folgenden: Datenschutzerklärung).

19 In einer zweiten Phase (im Folgenden: Konsultationsphase) konnten die betroffenen Anteilseigner und Gläubiger, deren Status vom SRB überprüft worden war, zur vorläufigen Entscheidung, der die Bewertung 3 als Anhang beigefügt war, Stellung nehmen. Am 16. Oktober 2018 kündigte der SRB auf seiner Website an, dass die betroffenen Anteilseigner und Gläubiger ab dem 6. November 2018 aufgefordert würden, während der Konsultationsphase schriftlich zur vorläufigen Entscheidung Stellung zu nehmen.

20 Am 6. November 2018 schickte der SRB den betroffenen Anteilseignern und Gläubigern per E‑Mail einen persönlichen Link, mit dem sie über das Internet Zugang zu einem Fragebogen erhielten. Der Fragebogen enthielt sieben Fragen mit beschränktem Antwortfeld, in dem die betroffenen Anteilseigner und Gläubiger bis zum 26. November 2018 zur vorläufigen Entscheidung sowie zur nicht vertraulichen Fassung der Bewertung 3 Stellung nehmen konnten.

21 Der SRB prüfte die zur vorläufigen Entscheidung abgegebenen relevanten Stellungnahmen der betroffenen Anteilseigner und Gläubiger. Er forderte Deloitte, in ihrer Funktion als unabhängige Gutachterin, dazu auf, die zur Bewertung 3 abgegebenen relevanten Stellungnahmen auszuwerten, ihm ein Dokument mit dieser Auswertung zukommen zu lassen und zu prüfen, ob diese Bewertung im Licht dieser Stellungnahme weiterhin gültig sei.

B.  Zur Verarbeitung der vom SRB im Rahmen des Anhörungsverfahrens erhobenen Daten

22 Die während der Registrierungsphase erhobenen Daten, also die Identitätsnachweise der betroffenen Anteilseigner und Gläubiger und der Beleg für das Eigentum an herabgeschriebenen oder umgewandelten und übertragenen Kapitalinstrumenten von Banco Popular waren einer beschränkten Zahl von Mitarbeitern des SRB zugänglich, und zwar jenen, die mit der Verarbeitung dieser Daten betraut waren, um festzustellen, ob diesen Anteilseignern und Gläubigern eine Entschädigung zustand.

23 Die mit der Bearbeitung der im Rahmen der Konsultationsphase erhaltenen Stellungnahmen befassten Mitarbeiter des SRB hatten keinen Zugang zu den während der Registrierungsphase erhobenen Daten, so dass die Inhalte der Stellungnahmen von den persönlichen Daten der betroffenen Anteilseigner und Gläubiger, die die Stellungnahmen eingereicht hatten, getrennt waren. Die betreffenden Mitarbeiter konnten auch nicht auf den Datenschlüssel oder die Informationen zugreifen, anhand deren die Identität eines betroffenen Anteilseigners oder Gläubigers mittels des jeder über den Fragebogen übermittelten Stellungnahme zugewiesenen eindeutigen alphanumerischen Codes hätte ermittelt werden können. Dieser alphanumerische Code bestand aus einer 33‑stelligen eindeutigen Identifikationsnummer, die nach dem Zufallsprinzip generiert und beim Eingang des beantworteten Fragebogens vergeben wurde.

24 In einem ersten Schritt sortierte der SRB 23 822 Stellungnahmen mit einem eindeutigen alphanumerischen Code aus, die von 2 855 Verfahrensbeteiligten eingereicht worden waren. Anhand zweier Algorithmen konnten 20 101 Stellungnahmen als gleichlautend erkannt werden. Dabei wurde die erste Stellungnahme als das Original angesehen und während der Analysephase geprüft, wohingegen die identischen, später eingegangenen Stellungnahmen als Doppelexemplar eingeordnet wurden.

25 In einem zweiten Schritt identifizierte der SRB die eingereichten Stellungnahmen, die in den Anwendungsbereich des Anhörungsverfahrens fielen, weil sie sich auf die vorläufige Entscheidung oder die Bewertung 3 auswirken konnten. Sodann wurden diese Stellungnahmen aufgeteilt in jene, die vom SRB zu prüfen waren, weil sie die vorläufige Entscheidung betrafen, und in jene, die von Deloitte zu prüfen waren, weil sie die Bewertung 3 betrafen. Nach Abschluss dieses Schritts hatte der SRB 3 730 Stellungnahmen nach Relevanz und Themen sortiert.

26 In einem dritten Schritt wurden die Stellungnahmen zur vorläufigen Entscheidung vom SRB bearbeitet und die 1 104 die Bewertung 3 betreffenden Stellungnahmen am 17. Juni 2019 über einen gesicherten und vom SRB speziell dafür vorgesehenen virtuellen Server an Deloitte übermittelt. Der SRB lud die an Deloitte zu übermittelnden Dateien auf diesen Server hoch und gab den Zugang dazu für eine beschränkte und kontrollierte Anzahl an unmittelbar mit der Prüfung der die Bewertung 3 betreffenden Stellungnahmen befassten Mitarbeiter von Deloitte frei.

27 Die an Deloitte übermittelten Stellungnahmen waren sortiert, kategorisiert und freigegeben. Handelte es sich um Kopien früherer Stellungnahmen, wurde nur eine Fassung an Deloitte übermittelt, so dass innerhalb eines Themenbereichs nicht zwischen individuellen Stellungnahmen und ihren Wiederholungen unterschieden werden und Deloitte nicht erkennen konnte, ob nur ein am Anhörungsverfahren Beteiligter oder mehrere eine bestimmte Stellungnahme formuliert hatten.

28 An Deloitte wurden lediglich solche Stellungnahmen übermittelt, die während der Konsultationsphase eingegangen und mit einem alphanumerischen Code versehen waren. Es konnte jedoch nur der SRB anhand dieses Codes die Stellungnahmen mit den während der Registrierungsphase erhobenen Daten, insbesondere den Identifizierungsdaten der Verfasser der anderen Stellungnahmen, verbinden. Der alphanumerische Code wurde für Audit-Zwecke entwickelt, um nachprüfen und gegebenenfalls in einem Gerichtsverfahren beweisen zu können, dass jede Stellungnahme bearbeitet und ordnungsgemäß berücksichtigt wurde. Deloitte hatte keinen Zugang zur Datenbank mit den während der Registrierungsphase erhobenen Daten, nicht während des Anhörungsverfahrens und auch nicht zum Zeitpunkt der Verkündung des angefochtenen Urteils.

C.  Zum Verfahren vor dem EDSB

29 Im Laufe des Oktobers und des Dezembers 2019 legten betroffene Anteilseigner und Gläubiger, die den Fragebogen ausgefüllt hatten, beim EDSB fünf auf die Verordnung (EU) 2018/1725 gestützte Beschwerden ein. Mit diesen Beschwerden wurde geltend gemacht, dass der SRB gegen Art. 15 Abs. 1 Buchst. d dieser Verordnung verstoßen habe, da er die betroffenen Anteilseigner und Gläubiger nicht darüber informiert habe, dass die beim Ausfüllen des Fragebogens erhobenen Daten an Dritte, nämlich Deloitte und Banco Santander, übermittelt würden, was einen Verstoß gegen die Datenschutzerklärung darstelle.

30 Nach Abschluss eines Verfahrens, in dessen Verlauf der SRB nach Aufforderung durch den EDSB verschiedene Erläuterungen gegeben hatte und die Beschwerdeführer Stellung genommen hatten, erließ der EDSB am 24. Juni 2020 eine Entscheidung über fünf Beschwerden, die von mehreren Beschwerdeführern gegen den Einheitlichen Abwicklungsausschuss erhoben worden waren (Nrn. 2019‑947, 2019‑998, 2019‑999, 2019‑1000 und 2019‑1122) (im Folgenden: ursprüngliche Entscheidung). In dieser Entscheidung vertrat der EDSB die Auffassung, dass der SRB dadurch gegen Art. 15 der Verordnung 2018/1725 verstoßen habe, dass die Beschwerdeführer in der Datenschutzerklärung nicht darüber informiert worden seien, dass ihre personenbezogenen Daten möglicherweise an Deloitte weitergegeben würden. Infolgedessen verwarnte er den SRB gemäß Art. 58 Abs. 2 Buchst. b dieser Verordnung für diesen Verstoß.

31 Am 22. Juli 2020 forderte der SRB den EDSB gemäß Art. 18 Abs. 1 der Entscheidung des Europäischen Datenschutzbeauftragten vom 15. Mai 2020 zur Annahme der Geschäftsordnung des EDSB (ABl. 2020, L 204, S. 49) zur Überprüfung der ursprünglichen Entscheidung auf. Der SRB übermittelte u.a. eine detaillierte Beschreibung des Anhörungsverfahrens und der Prüfung der während der Konsultationsphase von vier der identifizierten Beschwerdeführer abgegebenen Stellungnahmen. Er machte geltend, dass es sich bei den an Deloitte übermittelten Informationen nicht um personenbezogene Daten im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 gehandelt habe.

32 Am 5. August 2020 informierte der EDSB den SRB darüber, dass er angesichts der erhaltenen neuen Informationen die ursprüngliche Entscheidung überprüfen und eine diese ersetzende neue Entscheidung erlassen werde.

33 Am 24. November 2020 erließ der EDSB nach Abschluss des Überprüfungsverfahrens, in dessen Verlauf die Beschwerdeführer sich geäußert hatten und der SRB auf Verlangen des EDSB ergänzende Angaben gemacht hatte, die streitige Entscheidung.

34 Mit dieser Entscheidung änderte der EDSB die ursprüngliche Entscheidung wie folgt ab:

„1.  Nach Auffassung des EDSB handelt es sich bei den vom SRB mit Deloitte geteilten Daten um pseudonymisierte Daten, weil die Stellungnahmen der [Konsultations‑]Phase personenbezogene Daten waren und weil der SRB den alphanumerischen Code geteilt hat, anhand dessen die während der [Registrierungs‑]Phase eingegangenen Antworten mit denen der [Konsultations‑]Phase verknüpft werden konnten, auch wenn Deloitte die von den Teilnehmern während der [Registrierungs‑]Phase zwecks Identifizierung gemachten Angaben nicht mitgeteilt wurden.

2.  Nach Auffassung des EDSB war Deloitte im Sinne von Art. 3 Nr. 13 der Verordnung 2018/1725 Empfängerin personenbezogener Daten der Beschwerdeführer. Die Tatsache, dass Deloitte in der Datenschutzerklärung des SRB nicht als potenzielle Empfängerin der im Rahmen des Anhörungsverfahrens vom SRB als Verantwortlichem erhobenen und verarbeiteten personenbezogenen Daten genannt wird, stellt einen Verstoß gegen die in Art. 15 Abs. 1 Buchst. d [der Verordnung 2018/1725] vorgesehene Informationspflicht dar.

3.  Im Licht aller vom SRB ergriffenen technischen und organisatorischen Maßnahmen zur Risikominderung für das Recht der Personen auf Schutz ihrer Daten im Rahmen des den Anspruch auf Anhörung betreffenden Verfahrens beschließt der EDSB, keinen Gebrauch von seinen Abhilfebefugnissen nach Art. 58 Abs. 2 [der Verordnung 2018/1725] zu machen.

4.  Der EDSB empfiehlt dem SRB jedoch, in künftigen den Anspruch auf Anhörung betreffenden Verfahren sicherzustellen, dass seine Datenschutzerklärungen die Verarbeitung personenbezogener Daten sowohl während der Registrierungs- als auch während der Konsultationsphase abdecken und dass sie alle potenziellen Empfänger der erhobenen Daten einschließen, um der gemäß Art. 15 [der Verordnung 2018/1725] gegenüber den betroffenen Personen bestehenden Informationspflicht in vollem Umfang nachzukommen.“

III.  Verfahren vor dem Gericht und angefochtenes Urteil

35 Mit Klageschrift, die am 1. September 2020 bei der Kanzlei des Gerichts einging, erhob der SRB Klage, mit der er beantragte, zum einen die streitige Entscheidung für nichtig zu erklären und zum anderen die ursprüngliche Entscheidung für rechtswidrig zu erklären.

36 Den ersten Antrag stützte der SRB auf zwei Gründe. Erstens sei Art. 3 Nr. 1 der Verordnung 2018/1725 verletzt, weil es sich bei den an Deloitte weitergegebenen Informationen nicht um personenbezogene Daten handele, zweitens sei das in Art. 41 der Charta verankerte Recht auf eine gute Verwaltung verletzt.

37 Den zweiten Antrag, die ursprüngliche Entscheidung für rechtswidrig zu erklären, wies das Gericht mit dem angefochtenen Urteil mangels Zuständigkeit zurück, da der SRB ein Feststellungsurteil und nicht die Nichtigerklärung einer Handlung begehre.

38 Den ersten Antrag erklärte das Gericht hingegen für zulässig. In der Sache gab es dem ersten Klagegrund statt und erklärte die streitige Entscheidung für nichtig, ohne den zweiten Klagegrund zu prüfen.

IV.  Verfahren vor dem Gerichtshof und Anträge der Parteien

39 Mit Entscheidung des Präsidenten des Gerichtshofs vom 20. Oktober 2023 ist die Europäische Kommission als Streithelferin zur Unterstützung der Anträge des SRB zugelassen worden. Der Europäische Datenschutzausschuss ist mit Beschluss des Präsidenten des Gerichtshofs vom 29. November 2023 als Streithelfer zur Unterstützung der Anträge des EDSB zugelassen worden.

40 Der EDSB, unterstützt durch den Europäischen Datenschutzausschuss, beantragt,

• das angefochtene Urteil aufzuheben;

• endgültig über den Rechtsstreit zu entscheiden;

• dem SRB die im Rechtsmittelverfahren und im Verfahren vor dem Gericht entstandenen Kosten aufzuerlegen.

41 Der SRB, unterstützt durch die Kommission, beantragt,

• das Rechtsmittel zurückzuweisen;

• hilfsweise, die streitige Entscheidung für nichtig zu erklären;

• weiter hilfsweise, die Sache an das Gericht zurückzuverweisen;

• dem EDSB die im Rechtsmittelverfahren und im Verfahren vor dem Gericht entstandenen Kosten aufzuerlegen.

V.  Zum Rechtsmittel

42 Der EDSB, unterstützt durch den Europäischen Datenschutzausschuss, stützt sein Rechtsmittel auf zwei Gründe. Mit dem ersten Grund wird ein Verstoß gegen Art. 3 Nrn. 1 und 6 der Verordnung 2018/1725 in der Auslegung des Gerichtshofs geltend gemacht, mit dem zweiten ein Verstoß gegen Art. 4 Abs. 2 und Art. 26 Abs. 1 dieser Verordnung.

A.  Zum ersten Rechtsmittelgrund

43 Mit seinem ersten Rechtsmittelgrund macht der EDSB im Wesentlichen geltend, das Gericht habe mit der Feststellung, dass der EDSB in der streitigen Entscheidung die im vorliegenden Fall in Rede stehenden Daten zu Unrecht als personenbezogene Daten betrachtet habe, Art. 3 Nrn. 1 und 6 der Verordnung 2018/1725 rechtsfehlerhaft ausgelegt. Dieser Rechtsmittelgrund ist in zwei Teile gegliedert. Der erste Teil betrifft die in Art. 3 Nr. 1 dieser Verordnung vorgesehene Voraussetzung, wonach sich die Informationen auf eine natürliche Person „beziehen“; der zweite Teil betrifft die in der gleichen Bestimmung vorgesehene Voraussetzung, dass es sich um eine „identifizierbare“ Person handelt.

1.  Zum ersten Teil: falsche Auslegung der Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine natürliche Person „beziehen“

a)  Vorbringen der Parteien

44 Mit dem ersten Teil des ersten Rechtsmittelgrundes macht der EDSB geltend, dass sich die an Deloitte übermittelten Informationen entgegen den Feststellungen des Gerichts in den Rn. 60 bis 74 des angefochtenen Urteils im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine natürliche Person bezögen.

45 Als Erstes seien Datenschutzbehörden – entgegen dem, was aus Rn. 70 des angefochtenen Urteils folge – nicht verpflichtet, in jedem Fall den Inhalt, den Zweck oder die Auswirkungen einer Information zu prüfen, um zu ermitteln, ob sie eine natürliche Person betreffe. Insbesondere in Bezug auf die Stellungnahmen, die der SRB an Deloitte übermittelt habe, könne eine solche Prüfung nicht verlangt werden; es sei nämlich klar gewesen, dass sich diese Stellungnahmen auf eine natürliche Person „beziehen“, da sie die persönliche Sichtweise bestimmter Gläubiger und Anteilseigner von Banco Popular zu ihrem etwaigen Recht auf Entschädigung gemäß Art. 76 Abs. 1 Buchst. e der SRM-Verordnung enthalten hätten.

46 Als Zweites basiere die Schlussfolgerung, dass personenbezogene Daten vorlägen, entgegen der Feststellung in Rn. 71 des angefochtenen Urteils nicht nur auf der Art der an Deloitte übermittelten Stellungnahmen, sondern auch auf dem Umstand, dass der alphanumerische Code ebenfalls an Deloitte übermittelt worden sei.

47 Als Drittes führt der EDSB aus, dass das angefochtene Urteil einen Widerspruch enthalte, da das Gericht zum einen in Rn. 7 darauf hinweise, dass der eigentliche Zweck der an Deloitte übermittelten Stellungnahmen darin bestehe, es konkreten natürlichen Personen, nämlich den betroffenen Anteilseignern und Gläubigern, zu ermöglichen, ihr Recht auf Anhörung in Bezug auf eine etwaige Entschädigung nach Art. 76 Abs. 1 Buchst. e der SRM-Verordnung wahrzunehmen. Im Widerspruch dazu habe das Gericht zum anderen in Rn. 73 des angefochtenen Urteils festgestellt, dass sich der EDSB auf die Annahme gestützt habe, dass alle an Deloitte übermittelten Stellungnahmen personenbezogene Daten darstellten, ohne darzutun, dass es sich um Informationen über natürliche Personen handele.

48 Der SRB, unterstützt von der Kommission, bringt vor, dass dieses Vorbringen zurückzuweisen sei.

49 Als Erstes könnten nach der auf die Urteile vom 20. Dezember 2017, Nowak (C‑434/16, EU:C:2017:994, Rn. 34 und 35), sowie vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, EU:C:2023:369, Rn. 23 und 24), zurückgehenden Rechtsprechung Informationen objektiver oder subjektiver Natur in Form von Stellungnahmen oder Beurteilungen personenbezogene Daten darstellen, sofern es sich um Informationen „über“ die in Rede stehende Person handele. Nach dieser Rechtsprechung handele es sich außerdem um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft sei. Das Gericht habe daher in den Rn. 70 bis 74 des angefochtenen Urteils zu Recht einen Verstoß des EDSB gegen diese Rechtsprechung festgestellt, da er sich auf die Angabe beschränkt habe, dass die an Deloitte übermittelten Stellungnahmen die Meinungen oder Sichtweisen der betroffenen Anteilseigner und Gläubiger wiedergäben, ohne geprüft zu haben, ob sie durch ihren Inhalt, ihren Zweck oder ihre Auswirkungen mit einer identifizierbaren Person verknüpft seien.

50 Als Zweites stelle das Vorbringen des EDSB, wonach sich aus dem Zweck der Stellungnahmen zwingend ergebe, dass es sich dabei um personenbezogene Daten handele, eine neue Tatsachenbehauptung dar, die zum ersten Mal im Rechtsmittelverfahren geltend gemacht werde und aus diesem Grund unzulässig sei. Dieses Vorbringen gehe jedenfalls ins Leere, da der EDSB in der streitigen Entscheidung nicht auf diesen Punkt eingegangen sei.

51 Als Drittes führt der SRB zum angeblichen Widerspruch in der Begründung zwischen Rn. 7 und Rn. 73 des angefochtenen Urteils aus, dass die Beschreibung in Rn. 7 keine Angaben zum Inhalt, zum Zweck oder zu den Auswirkungen der an Deloitte übermittelten Stellungnahmen enthalte und folglich nicht im Widerspruch zur Schlussfolgerung in Rn. 73 des angefochtenen Urteils stehe.

b)  Würdigung durch den Gerichtshof

52 Einleitend ist darauf hinzuweisen, dass die in Art. 3 Nr. 1 der Verordnung 2018/1725 enthaltene Definition des Begriffs „personenbezogene Daten“ im Wesentlichen mit der in Art. 4 Nr. 1 DSGVO enthaltenen übereinstimmt, die ihrerseits inhaltlich im Wesentlichen mit jener in Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) übereinstimmt. Um eine einheitliche und kohärente Anwendung des Unionsrechts zu gewährleisten, ist also sicherzustellen, dass Art. 3 Nr. 1 der Verordnung 2018/1725, Art. 4 Nr. 1 DSGVO und Art. 2 Buchst. a der Richtlinie 95/46 gleich ausgelegt werden (vgl. in diesem Sinne Urteile vom 7. März 2024, OC/Kommission, C‑479/22 P, EU:C:2024:215, Rn. 43, und vom 7. März 2024, IAB Europe, C‑604/22, EU:C:2024:214, Rn. 33 sowie die dort angeführte Rechtsprechung).

53 Nach Art. 3 Nr. 1 der Verordnung 2018/1725 sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

54 Der Gerichtshof hat entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Bestimmung sowie in Art. 4 Nr. 1 DSGVO das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (Urteile vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 23 und die dort angeführte Rechtsprechung, vom 7. März 2024, OC/Kommission, C‑479/22 P, EU:C:2024:215, Rn. 45, sowie vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 130).

55 Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteile vom 20. Dezember 2017, Nowak, C‑434/16, EU:C:2017:994, Rn. 35, vom 7. März 2024, OC/Kommission, C‑479/22 P, EU:C:2024:215, Rn. 45, und vom 7. März 2024, IAB Europe, C‑604/22, EU:C:2024:214, Rn. 37 und die dort angeführte Rechtsprechung).

56 Im vorliegenden Fall hat das Gericht in Rn. 70 des angefochtenen Urteils zwar darauf hingewiesen, dass der EDSB weder den Inhalt noch den Zweck oder die Auswirkungen der sich aus den an Deloitte übermittelten Stellungnahmen ergebenden Informationen geprüft habe. Aus den Rn. 71 und 72 des angefochtenen Urteils ergibt sich jedoch, dass die Feststellung, wonach diese Stellungnahmen Meinungen oder Sichtweisen der betroffenen Personen widerspiegelten, eine Vorabprüfung ihres Inhalts durch den EDSB voraussetzte. Basierend auf dieser Feststellung ist der EDSB zu dem Schluss gelangt, dass es sich um Informationen über diese Personen handele. Nach der in Rn. 55 des vorliegenden Urteils wiedergegebenen Rechtsprechung muss eine Prüfung des Inhalts einer Information nicht zwingend durch eine Analyse ihres Zwecks und ihrer Auswirkungen ergänzt werden. Dies ergibt sich aus der Verwendung der Konjunktion „oder“, mit der die verschiedenen, in dieser Rechtsprechung genannten Kriterien verbunden wurden.

57 Das Gericht ist in den Rn. 73 und 74 des angefochtenen Urteils jedoch davon ausgegangen, dass der EDSB die sich aus den an Deloitte übermittelten Stellungnahmen ergebenden Informationen nicht allein auf der Grundlage, dass es sich um persönliche Meinungen oder Sichtweisen handele, als personenbezogene Daten qualifizieren dürfe, sondern dass er auch den Inhalt, den Zweck und die Auswirkungen der auf diese Weise zum Ausdruck gebrachten Meinungen hätte prüfen müssen, um zu ermitteln, ob sie mit einer bestimmten Person verknüpft seien.

58 Diese Beurteilung des Gerichts verkennt die besondere Natur von persönlichen Meinungen oder Sichtweisen, die als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft sind.

59 Die in der vorstehenden Randnummer vertretene Auslegung wird durch die Rechtsprechung gestützt, die auf das Urteil vom 20. Dezember 2017, Nowak (C‑434/16, EU:C:2017:994), zurückgeht, das sich u.a. mit den Anmerkungen eines Prüfers zu den schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung befasst. Denn in den Rn. 42 bis 44 des genannten Urteils hat der Gerichtshof zwar den Inhalt, den Zweck und die Auswirkungen dieser Anmerkungen geprüft, um festzustellen, dass sie Informationen über den davon betroffenen Prüfling darstellen. Er ist aber im Wesentlichen davon ausgegangen, dass sich diese Anmerkungen auch auf den Prüfer bezogen, der sie verfasst hatte, da sie seine Ansicht oder Beurteilung wiedergaben.

60 Folglich hat das Gericht einen Rechtsfehler begangen, als es in den Rn. 73 und 74 des angefochtenen Urteils festgestellt hat, dass der EDSB für die Schlussfolgerung, dass sich die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf die Personen „bezögen“, die diese Stellungnahmen abgegeben hätten, den Inhalt, den Zweck und die Auswirkungen dieser Stellungnahmen hätte prüfen müssen. Es war nämlich unstreitig, dass diese die persönliche Meinung oder Sichtweise ihrer Verfasser zum Ausdruck brachten.

61 Dem ersten Teil des ersten Rechtsmittelgrundes ist also stattzugeben, ohne dass die in den Rn. 46 und 47 des vorliegenden Urteils zusammengefassten Argumente geprüft werden müssen.

2.  Zum zweiten Teil des ersten Rechtsmittelgrundes: falsche Auslegung der Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine „identifizierbare“ natürliche Person beziehen

62 Mit dem zweiten Teil des ersten Rechtsmittelgrundes macht der EDSB geltend, das Gericht habe in den Rn. 76 bis 106 des angefochtenen Urteils zu Unrecht festgestellt, dass es die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, nicht als Informationen betrachten könne, die sich im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine „identifizierbare“ Person bezögen. Dieser Teil besteht aus zwei separaten Rügen.

a)  Zur ersten Rüge des zweiten Teils des ersten Rechtsmittelgrundes

1)  Vorbringen der Parteien

63 Zunächst führt der EDSB aus, dass gemäß Art. 3 Nr. 1 der Verordnung 2018/1725 der Verantwortliche oder „eine andere Person“ in der Lage sein müsse, eine von der in Rede stehenden Information betroffene Person zu identifizieren. Fehle die Angabe, welche Person in der Lage sein müsse, diese Identifizierung vorzunehmen, genüge es, dass die betroffene Person identifiziert werden könne. Im vorliegenden Fall sei nicht strittig, dass die an Deloitte übermittelten Stellungnahmen, über die der SRB verfügt habe, personenbezogene Daten darstellten. Außerdem ergebe sich aus Art. 3 Nr. 6 der Verordnung 2018/1725 in Verbindung mit ihrem 16. Erwägungsgrund, dass pseudonymisierte Daten personenbezogene Daten darstellten, und zwar einfach aufgrund des Vorliegens zusätzlicher Informationen, die eine Zuordnung zu einer bestimmten Person ermöglichten.

64 Dem EDSB zufolge wurde dem Wortlaut dieser Bestimmungen sowie dem Unterschied zwischen Anonymisierung und Pseudonymisierung in den Erwägungen in den Rn. 90 und 91 des angefochtenen Urteils nicht ausreichend Rechnung getragen. Der Europäische Datenschutzausschuss führt hierzu aus, dass sich nach der vom Gericht vertretenen Auslegung der Charakter personenbezogener Daten ändern würde, wenn sie an eine Stelle weitergeleitet würden, die nicht dem Verantwortlichen zuzurechnen sei und die nicht über die zusätzlichen Informationen verfüge, die die Identifizierung der betroffenen Person ermöglichten. Diese Auslegung versetze einen solchen Verantwortlichen in die Lage, personenbezogene Daten ungerechtfertigterweise dem Anwendungsbereich des Unionsrechts zum Schutz solcher Daten zu entziehen, und zwar auch dann, wenn die Verarbeitung durch die externe Stelle die betroffenen Personen großen Risiken aussetze.

65 Der EDSB weist außerdem darauf hin, dass der Unionsgesetzgeber mit der Einführung des Begriffs der Pseudonymisierung klargestellt habe, dass es nicht ausreiche, personenbezogene Daten von zusätzlichen Informationen, die die Identifizierung der betroffenen Person ermöglichten, zu trennen, um sie vom Anwendungsbereich des Unionsrechts zum Schutz solcher Daten auszunehmen.

66 Schließlich führt der EDSB aus, dass der Begriff der personenbezogenen Daten weit auszulegen sei, damit das Datenschutzrecht seine praktische Wirksamkeit entfalten könne. Da die vom Gericht vertretene Auslegung es ermögliche, pseudonymisierte Daten zu Unrecht als anonymisierte Daten zu betrachten, sei sie geeignet, das vom Unionsgesetzgeber verfolgte und von der Charta geforderte hohe Schutzniveau zu gefährden. Der Europäische Datenschutzausschuss bringt vor, dass die vom Gericht vertretene Auslegung auch das Risiko mit sich bringe, dass pseudonymisierte Daten im Rahmen der DSGVO und der Verordnung 2018/1725 ohne Einschränkung verarbeitet werden könnten, einschließlich Weitergabe, Veröffentlichung und Übermittlung an Drittstaaten.

67 Der SRB, unterstützt durch die Kommission, tritt diesem Vorbringen entgegen.

2)  Würdigung durch den Gerichtshof

68 Die erste Rüge des zweiten Teils des ersten Rechtsmittelgrundes wird im Wesentlichen auf die Erwägung gestützt, dass pseudonymisierte Daten wie die an Deloitte übermittelten Stellungnahmen – allein aufgrund des Vorliegens von Informationen, die eine Identifizierung der betroffenen Person ermöglichen – in jedem Fall personenbezogene Daten darstellen, ohne dass konkret geprüft werden müsste, ob die Person, auf die sich diese Daten beziehen, trotz der Pseudonymisierung identifizierbar ist.

69 In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information nach dem Wortlaut von Art. 3 Nr. 1 der Verordnung 2018/1725 auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung dieser Verordnung setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.

70 Diese Auslegung wird durch den fünften und den sechsten Satz des 16. Erwägungsgrundes der Verordnung 2018/1725 gestützt, nach denen unter die Definition des Begriffs „personenbezogene Daten“ weder „anonyme Informationen …, d.h. … Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen“, fallen noch „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“ (vgl. entsprechend Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 57).

71 Was konkret pseudonymisierte Daten betrifft, ist als Erstes darauf hinzuweisen, dass diese Daten in der Legaldefinition des Begriffs „personenbezogene Daten“ in Art. 3 Nr. 1 der Verordnung 2018/1725 nicht genannt werden, sich ihre Eigenschaften aber aus Art. 3 Nr. 6 dieser Verordnung ergeben. Die letztgenannte Bestimmung definiert den Begriff „Pseudonymisierung“ als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

72 Wie vom Generalanwalt im Wesentlichen in den Nrn. 46 und 48 seiner Schlussanträge ausgeführt, ist die Pseudonymisierung somit kein Element der Definition des Begriffs „personenbezogene Daten“. Sie bezieht sich vielmehr auf die Umsetzung technischer und organisatorischer Maßnahmen, die das Risiko verringern sollen, dass ein bestimmter Datensatz mit der Identität der betroffenen Personen in Verbindung gebracht wird. Nach dem 17. Erwägungsgrund der Verordnung 2018/1725 kann die Pseudonymisierung „[nur] die Risiken“ einer solchen Korrelation für die betroffenen Personen „senken“ und damit „die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen“.

73 Als Zweites ergibt sich aus Art. 3 Nr. 6 der Verordnung 2018/1725, dass der Begriff „Pseudonymisierung“ das Vorliegen von Informationen voraussetzt, die eine Identifizierung der betroffenen Person ermöglichen. Die bloße Existenz solcher Informationen spricht dagegen, dass Daten, die pseudonymisiert wurden, in jedem Fall als anonymisierte Daten betrachtet werden können, die vom Anwendungsbereich dieser Verordnung ausgenommen sind.

74 Als Drittes deutet indes das in Art. 3 Nr. 6 der Verordnung 2018/1725 vorgesehene Erfordernis, die Informationen zur Identifizierung gesondert aufzubewahren und technische und organisatorische Maßnahmen zu ergreifen, „die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“, darauf hin, dass die Pseudonymisierung insbesondere darauf abzielt, zu verhindern, dass die betroffene Person allein anhand pseudonymisierter Daten identifiziert werden kann.

75 Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 auswirken.

76 Hierzu ist klarzustellen, dass der SRB vorliegend – wie dies bei dem Verantwortlichen, der die Pseudonymisierung vorgenommen hat, normalerweise der Fall ist – über zusätzliche Informationen verfügt, die eine Zuordnung der an Deloitte übermittelten Stellungnahmen zur betroffenen Person ermöglichen. Daher bleiben diese Stellungnahmen für den SRB trotz der Pseudonymisierung personenbezogen.

77 Im Hinblick auf Deloitte, an die der SRB pseudonymisierte Stellungnahmen übermittelt hat, können, wie im Wesentlichen vom SRB ausgeführt, die technischen und organisatorischen Maßnahmen gemäß Art. 3 Nr. 6 der Verordnung 2018/1725 bewirken, dass diese Stellungnahmen für Deloitte nicht personenbezogen sind. Dies setzt jedoch zum einen voraus, dass Deloitte nicht in der Lage ist, diese Maßnahmen bei der Bearbeitung der Stellungnahmen, die unter ihrer Kontrolle erfolgt, aufzuheben. Zum anderen müssen diese Maßnahmen auch tatsächlich geeignet sein, zu verhindern, dass Deloitte diese Stellungnahmen der betroffenen Person zuordnet, und zwar auch anhand anderer Mittel zur Identifizierung, wie etwa eines Abgleichs mit anderen Elementen, so dass die betroffene Person für Deloitte nicht oder nicht mehr identifizierbar ist.

78 Diese Auslegung wird durch den 16. Erwägungsgrund der Verordnung 2018/1725 gestützt, in dem es nach dem Hinweis im ersten Satz, dass „[d]ie Grundsätze des Datenschutzes … für alle Informationen gelten [sollten], die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, im zweiten Satz heißt, dass „[e]iner Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, … als Informationen über eine identifizierbare natürliche Person betrachtet werden [sollten]“.

79 Im Anschluss an diese Ausführungen zu personenbezogenen bzw. pseudonymisierten Daten wird nämlich mit dem dritten Satz des 16. Erwägungsgrundes klargestellt, dass, bei der Prüfung der Identifizierbarkeit einer natürlichen Person „alle Mittel“ berücksichtigt werden sollten, die von dem Verantwortlichen oder „einer anderen Person nach allgemeinem Ermessen wahrscheinlich“ genutzt werden, um die natürliche Person „direkt oder indirekt“ zu identifizieren. Außerdem sollten gemäß dem vierten Satz dieses Erwägungsgrundes bei der Prüfung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, „alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand“, herangezogen werden, „wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“.

80 Wie vom Generalanwalt im Wesentlichen in Nr. 51 seiner Schlussanträge ausgeführt, würde diesen Ausführungen zur Beurteilung, ob die betroffene Person identifizierbar ist oder nicht, jegliche Wirksamkeit genommen, wenn pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 in jedem Fall und in Bezug auf jede Person als personenbezogene Daten zu betrachten wären.

81 Insoweit ist darauf hinzuweisen, dass sich der Gerichtshof in Bezug auf eine Pressemitteilung, die gewisse Angaben zu einer namentlich nicht genannten Person enthielt, in seinem Urteil vom 7. März 2024, OC/Kommission (C‑479/22 P, EU:C:2024:215, Rn. 52 bis 64), nicht auf die Feststellung beschränkt hat, dass die diese Pressemitteilung veröffentlichende Stelle der Union über sämtliche Informationen verfügte, die die Identifizierung dieser Person ermöglichten. Vielmehr hat er geprüft, ob die Angaben in dieser Pressemitteilung der betroffenen Öffentlichkeit nach allgemeinem Ermessen eine Identifizierung dieser Person ermöglichten, insbesondere durch einen Abgleich dieser Angaben mit im Internet verfügbaren Informationen.

82 Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde (vgl. in diesem Sinne Urteil vom 7. März 2024, OC/Kommission, C‑479/22 P, EU:C:2024:215, Rn. 51 und die dort angeführte Rechtsprechung). Diese Rechtsprechung bestätigt die Auslegung, wonach die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Informationen für sich genommen nicht bedeutet, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind.

83 Gleichermaßen hat der Gerichtshof insbesondere in den Urteilen vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779, Rn. 44, 47 und 48), sowie vom 7. März 2024, IAB Europe (C‑604/22, EU:C:2024:214, Rn. 43 und 48), im Wesentlichen entschieden, dass an sich nicht personenbezogene Daten, die vom Verantwortlichen erhoben und gespeichert wurden, sich dennoch auf eine identifizierbare Person bezogen, da der Verantwortliche über rechtliche Möglichkeiten verfügte, von Dritten zusätzliche Informationen zu erlangen, die die Identifizierung dieser Person erlaubten. Unter diesen Bedingungen war nämlich der Umstand, dass sich die zur Identifizierung der betroffenen Person erforderlichen Informationen in den Händen verschiedener Personen befanden, nicht geeignet, die Identifizierung der betroffenen Person tatsächlich so zu verhindern, dass sie für den Verantwortlichen nicht identifizierbar war.

84 Vor allem können nach der Rechtsprechung aus dem Urteil vom 9. November 2023, Gesamtverband Autoteile-Handel (Zugang zu Fahrzeuginformationen) (C‑319/22, EU:C:2023:837, Rn. 46 und 49), an sich nicht personenbezogene Daten dann zu „personenbezogenen“ Daten werden, wenn der Verantwortliche sie anderen Personen überlässt, die über Mittel verfügen, die nach allgemeinem Ermessen wahrscheinlich die Identifizierung der betroffenen Person ermöglichen. Diesem Urteil ist insbesondere zu entnehmen, dass die betreffenden Daten – im Zusammenhang mit einer solchen Überlassung – personenbezogen sind, und zwar sowohl für diese Personen als auch indirekt für den Verantwortlichen.

85 Angesichts der in der vorstehenden Randnummer wiedergegebenen Rechtsprechung macht der EDSB daher zu Unrecht geltend, dass der Umstand, wonach pseudonymisierte Daten für Personen, denen der Verantwortliche solche Daten übermittle, gegebenenfalls keinen Personenbezug aufweisen, es ermögliche, diese Daten zu Unrecht vom Anwendungsbereich des Unionsrechts zum Schutz personenbezogener Daten auszunehmen. Nach dieser Rechtsprechung wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.

86 Folglich müssen – entgegen dem Vorbringen des EDSB –pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 nicht in jedem Fall und für jede Person als personenbezogene Daten betrachtet werden. Denn die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.

87 Der vom EDSB angeführte Umstand, wonach der vierte Satz des 16. Erwägungsgrundes der Verordnung 2018/1725 den Verantwortlichen oder „ein[e] ander[e] Person“ betrifft, vermag diese Auslegung nicht in Frage zu stellen. Aus dem in Rn. 79 des vorliegenden Urteils wiedergegebenen Wortlaut dieses Satzes ergibt sich nämlich, dass er sich nur auf Personen bezieht, die über Mittel verfügen oder Zugang zu Mitteln haben, die nach allgemeinem Ermessen wahrscheinlich für die Identifizierung der betroffenen Person genutzt werden. Wie in den Rn. 75 bis 77 des vorliegenden Urteils ausgeführt, kann die Pseudonymisierung also je nach den Umständen des Einzelfalls andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für die anderen Personen nicht oder nicht mehr identifizierbar ist.

88 Was das Vorbringen des EDSB zum Ziel der Gewährleistung eines hohen Schutzniveaus für personenbezogene Daten angeht, bringt zwar der Wortlaut von Art. 3 Nr. 1 der Verordnung 2018/1725 das Ziel des Unionsgesetzgebers zum Ausdruck, dem Begriff „personenbezogene Daten“ eine weite Bedeutung beizumessen. Dieser Begriff ist indes nicht unbegrenzt, da die genannte Bestimmung u.a. voraussetzt, dass die betroffene Person identifiziert oder identifizierbar ist.

89 Insbesondere enthält die Verordnung 2018/1725, wie vom Generalanwalt in Nr. 58 seiner Schlussanträge dargelegt, Pflichten – etwa jene nach Art. 15 dieser Verordnung, die betroffene Person zu informieren –, deren Erfüllung die Identifizierung der betroffenen Person voraussetzt. Solche Pflichten können keiner Einrichtung auferlegt werden, die nicht in der Lage ist, diese Identifizierung vorzunehmen.

90 Folglich ist die erste Rüge des zweiten Teils des ersten Rechtsmittelgrundes als unbegründet zurückzuweisen.

b)  Zur zweiten Rüge des zweiten Teils des ersten Rechtsmittelgrundes

1)  Vorbringen der Parteien

91 Mit der zweiten Rüge des zweiten Teils des ersten Rechtsmittelgrundes macht der EDSB geltend, das Gericht habe die sich aus dem Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), ergebende Rechtsprechung verkannt.

92 Als Erstes habe das Gericht den objektiven Charakter der Voraussetzung verkannt, dass die betroffene Person „identifizierbar“ sein müsse, als es in den Rn. 97, 99 und 100 des angefochtenen Urteils insbesondere entschieden habe, dass der EDSB hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten. Aus den Rn. 47 und 48 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), ergebe sich nämlich, dass die bloße Existenz von rechtlichen Möglichkeiten, die es erlaubten, die betroffene Person zu identifizieren, ausreichten, um zu dem Schluss zu gelangen, dass diese Person identifizierbar sei. Im vorliegenden Fall sei der SRB in der Lage gewesen, die betroffenen Personen zu identifizieren; das Gericht habe diesen Umstand im Rahmen der Anwendung der sich aus dem genannten Urteil ergebenden Rechtsprechung nicht hinreichend berücksichtigt.

93 Als Zweites macht der EDSB geltend, dass die Frage, ob die betroffene Person identifizierbar sei oder nicht, im Urteil in der Rechtssache C‑582/14 aus der Sicht des Verantwortlichen beurteilt worden sei, und zwar, ohne dass irgendeine Verbindung bestanden habe zwischen diesem Verantwortlichen und den Stellen, die über die zusätzlichen Informationen verfügten, die die Identifizierung dieser Person ermöglicht hätten. Im vorliegenden Fall handele es sich bei Deloitte hingegen nicht um den Verantwortlichen, und außerdem bestehe zwischen Deloitte und dem SRB ein Vertrag. Der EDSB vertritt die Ansicht, angesichts dieser Unterschiede sei er nicht verpflichtet gewesen, eine umfassende Beurteilung der Mittel vorzunehmen, die Deloitte nach allgemeinem Ermessen wahrscheinlich die Identifizierung der betroffenen Person ermöglicht hätten.

94 Aber selbst wenn er verpflichtet gewesen wäre, zu beurteilen, ob Deloitte in der Lage gewesen sei, die Verfasser der übermittelten Stellungnahmen zu identifizieren, war Deloitte nach Ansicht des EDSB durch nichts an dieser Identifizierung gehindert.

95 Der SRB, unterstützt durch die Kommission, tritt diesem Vorbringen entgegen.

96 Als Erstes habe sich das Gericht insbesondere in den Rn. 96, 97 und 100 des angefochtenen Urteils zu Recht darauf gestützt, dass die Identifizierbarkeit der betroffenen Person in Bezug auf jede Person und jeden betroffenen Verantwortlichen zu prüfen sei, der die maßgeblichen Informationen verarbeite. Im Zusammenhang mit der in Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 vorgesehenen Informationspflicht müsse diese Prüfung aus der Sicht des Empfängers der in Rede stehenden Informationen erfolgen.

97 Als Zweites sei das Vorbringen, das auf den angeblichen Unterschieden zwischen dieser Rechtssache und der Rechtssache beruhe, in der das Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), ergangen sei, unzulässig. Es stelle die Tatsachenfeststellungen des Gerichts in den Rn. 94 und 95 des angefochtenen Urteils in Frage, nach denen Deloitte keinen Zugang zu den für die Identifizierung der Beschwerdeführer erforderlichen Identifizierungsinformationen gehabt habe.

2)  Würdigung durch den Gerichtshof

98 Das Gericht hat insbesondere in den Rn. 97 bis 100 des angefochtenen Urteils im Wesentlichen entschieden, dass der EDSB gemäß der auf das Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), zurückgehenden Rechtsprechung verpflichtet gewesen wäre, zu prüfen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten. Um zu diesem Schluss zu gelangen, hat das Gericht u.a. darauf hingewiesen, dass der in der streitigen Entscheidung festgestellte Verstoß gegen Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 die Übermittlung dieser Stellungnahmen durch den SRB an Deloitte betroffen habe und nicht nur die Tatsache, dass der SRB über diese verfügt habe.

99 Zunächst ist darauf hinzuweisen, dass Art. 3 Nr. 1 der Verordnung 2018/1725 nicht ausdrücklich festlegt, welche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person maßgeblich ist, während der 16. Erwägungsgrund dieser Verordnung undifferenziert auf den „Verantwortlichen“ oder „ein[e] ander[e] Person“ abstellt. Überdies ist es nach ständiger Rechtsprechung für die Einstufung von Daten als „personenbezogene Daten“ nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. in diesem Sinne Urteile vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 43, und vom 7. März 2024, OC/Kommission, C‑479/22 P, EU:C:2024:215, Rn. 48).

100 Nach der Rechtsprechung, die insbesondere auf das Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), zurückgeht und auf die in den Rn. 81 bis 84 des vorliegenden Urteils verwiesen wird, richtet sich die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person wesentlich nach den Umständen der Datenverarbeitung im Einzelfall.

101 Im vorliegenden Fall hat der EDSB in der streitigen Entscheidung festgestellt, dass der SRB gegen seine Informationspflicht gemäß Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 verstoßen habe, indem er Deloitte in der Datenschutzerklärung, die zum Zeitpunkt der Einholung der Stellungnahmen veröffentlicht worden sei, nicht als potenzielle Empfängerin der Stellungnahmen genannt habe.

102 Art. 15 Abs. 1 der Verordnung 2018/1725 bestimmt, welche Informationen der Verantwortliche der betroffenen Person zur Verfügung zu stellen hat, wenn bei ihr personenbezogene Daten erhoben werden, und stellt zudem klar, dass diese Informationen der betroffenen Person „zum Zeitpunkt der Erhebung dieser Daten“ zur Verfügung zu stellen sind. Bereits aus dem Wortlaut dieser Bestimmung ergibt sich, dass der für die Verarbeitung Verantwortliche diese Informationen sofort zu geben hat, d.h. zum Zeitpunkt des Erhebens dieser Daten (vgl. entsprechend Urteil vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 104 und die dort angeführte Rechtsprechung).

103 Was konkret die Information zu potenziellen Empfängern personenbezogener Daten nach Art. 15 Abs. 1 Buchst. d dieser Verordnung betrifft, so handelt es sich dabei um eine der Informationen, die zum Zeitpunkt des Erhebens der Daten bei der betroffenen Person zur Verfügung zu stellen ist.

104 Nach Art. 14 Abs. 1 der Verordnung 2018/1725 trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person die u.a. in Art. 15 dieser Verordnung genannten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und um diese Person so in die Lage zu versetzen, die an sie gerichteten Informationen in vollem Umfang zu verstehen (vgl. entsprechend Urteile vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 38, sowie vom 11. Juli 2024, Meta Platforms Ireland [Verbandsklage], C‑757/22, EU:C:2024:598, Rn. 55 und 56).

105 Die Bedeutung der Erfüllung einer solchen Informationspflicht wird durch den 35. Erwägungsgrund der Verordnung 2018/1725 bestätigt, nach dessen ersten beiden Sätzen es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dabei sollte der Verantwortliche auch alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, wie in Art. 15 Abs. 2 dieser Verordnung vorgesehen (vgl. entsprechend Urteil vom 11. Juli 2024, Meta Platforms Ireland [Verbandsklage], C‑757/22, EU:C:2024:598, Rn. 57 und die dort angeführte Rechtsprechung).

106 Beruht die Erhebung solcher Daten bei der betroffenen Person – wie im vorliegenden Fall im Rahmen des Anhörungsverfahrens – auf der Einwilligung der betroffenen Person, so hängt die Gültigkeit der von dieser Person erteilten Einwilligung somit u.a. davon ab, ob diese Person zuvor die Informationen über alle Umstände im Zusammenhang mit der Verarbeitung der fraglichen Daten erhalten hat, auf die sie nach Art. 15 der Verordnung 2018/1725 Anspruch hat und die ihr ermöglichen, die Einwilligung in voller Kenntnis der Sachlage zu geben (vgl. entsprechend Urteil vom 11. Juli 2024, Meta Platforms Ireland [Verbandsklage], C‑757/22, EU:C:2024:598, Rn. 60).

107 Was im Übrigen den Fall einer Pflicht der betroffenen Person zur Übermittlung von personenbezogenen Daten an den Verantwortlichen angeht, wird im vierten Satz des 35. Erwägungsgrundes der Verordnung 2018/1725 klargestellt, dass der betroffenen Person mitgeteilt werden sollte, ob sie zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Dies belegt, welche Bedeutung der gemäß Art. 15 dieser Verordnung erforderlichen Information zum Zeitpunkt des Erhebens der Daten bei der betroffenen Person zukommt.

108 Vor diesem Hintergrund zielt die Pflicht, der betroffenen Person – zum Zeitpunkt des Erhebens der mit ihr verbundenen personenbezogenen Daten – die potenziellen Empfänger dieser Daten mitzuteilen, u.a. darauf ab, es dieser Person zu ermöglichen, in voller Kenntnis der Sachlage zu entscheiden, ob sie die bei ihr erhobenen personenbezogenen Daten zur Verfügung stellt oder dies verweigert.

109 Zwar ist, wie im Wesentlichen von der Kommission in der mündlichen Verhandlung dargelegt, die Information über potenzielle Empfänger auch unerlässlich, damit die betroffene Person später gegenüber diesen Empfängern ihre Rechte verteidigen kann. Die Pflicht, diese Information zum Zeitpunkt des Erhebens der personenbezogenen Daten zur Verfügung zu stellen, gewährleistet jedoch insbesondere, dass diese Daten vom Verantwortlichen nicht gegen den Willen der betroffenen Person erhoben oder gar an Dritte übermittelt werden.

110 Daraus folgt, wie vom Generalanwalt in Nr. 69 seiner Schlussanträge dargelegt, dass die Informationspflicht gemäß Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichem besteht und sie daher die mit dieser Person verbundenen Informationen zum Gegenstand hat, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte.

111 Für die Zwecke der Anwendung der Informationspflicht nach Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 ist folglich davon auszugehen, dass die Identifizierbarkeit der betroffenen Person zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen ist.

112 Daraus ergibt sich, wie im Wesentlichen vom Generalanwalt in Nr. 79 seiner Schlussanträge ausgeführt, dass die dem SRB obliegende Informationspflicht im vorliegenden Fall vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon bestand, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.

113 Das auf den Wortlaut von Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 – „Empfänger … der personenbezogenen Daten“ – gestützte Argument des SRB vermag diese Auslegung nicht in Frage zu stellen. Aus den Rn. 102 bis 108 des vorliegenden Urteils ergibt sich nämlich, dass diese Bestimmung die Informationspflicht regelt, die dem Verantwortlichen zum Zeitpunkt des Erhebens solcher Daten obliegt. Die Frage, ob der Verantwortliche zu diesem Zeitpunkt seine Informationspflicht erfüllt hat, kann nicht von den Möglichkeiten zur Identifizierung der betroffenen Person abhängen, über die ein potenzieller Empfänger nach einer späteren Übermittlung der in Rede stehenden Daten gegebenenfalls verfügen könnte.

114 Wie vom Generalanwalt im Wesentlichen in Nr. 77 seiner Schlussanträge ausgeführt, würde das Argument des SRB, wonach für die Prüfung der Erfüllung dieser Informationspflicht die Perspektive des Empfängers einzunehmen sei, zu einer zeitlichen Verlagerung dieser Kontrolle führen. Da diese Kontrolle zwingend bereits an den Empfänger übermittelte personenbezogene Daten beträfe, verkennt dieses Argument auch den Zweck der Informationspflicht, der untrennbar mit dem Verhältnis zwischen dem Verantwortlichen und der betroffenen Person verbunden ist.

115 Das Gericht hat somit einen Rechtsfehler begangen, als es in den Rn. 97, 98, 100, 101 und 103 bis 105 des angefochtenen Urteils festgestellt hat, dass der EDSB für die Beurteilung, ob der SRB seine Informationspflicht nach Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 erfüllt habe, hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten.

116 Daraus folgt, dass die zweite Rüge des zweiten Teils des ersten Rechtsmittelgrundes begründet ist, ohne dass die übrigen, in den Rn. 93 und 94 des vorliegenden Urteils zusammengefassten Argumente des EDSB geprüft zu werden brauchen.

B.  Zum zweiten Rechtsmittelgrund

117 Da der erste Rechtsmittelgrund in seinem ersten Teil und in der zweiten Rüge seines zweiten Teils begründet ist, ist eine Prüfung des zweiten Rechtsmittelgrundes des EDSB, mit dem ein Verstoß gegen Art. 4 Abs. 2 und Art. 26 Abs. 1 der Verordnung 2018/1725 geltend gemacht wird, nicht erforderlich.

118 Da dem ersten Rechtsmittelgrund somit stattgegeben wird, ist das angefochtene Urteil aufzuheben.

VI.  Zur Klage vor dem Gericht

119 Nach Art. 61 Abs. 1 Satz 2 der Satzung des Gerichtshofs der Europäischen Union kann der Gerichtshof im Fall der Aufhebung der Entscheidung des Gerichts den Rechtsstreit selbst endgültig entscheiden, wenn dieser zur Entscheidung reif ist.

120 In Bezug auf den ersten Klagegrund, mit dem geltend gemacht wurde, dass der EDSB Art. 3 Nr. 1 der Verordnung 2018/1725 verletzt habe, weil es sich bei den an Deloitte übermittelten Informationen nicht um personenbezogene Daten handele, ist der Rechtsstreit im vorliegenden Fall zur Entscheidung reif. Angesichts der Erwägungen in den Rn. 58 bis 60 des vorliegenden Urteils konnte der EDSB nämlich zum einen davon ausgehen, dass die an Deloitte übermittelten Stellungnahmen Informationen darstellten, die sich auf eine natürliche Person – die Verfasser dieser Stellungnahmen – bezogen, ohne damit einen Rechtsfehler zu begehen. Zum anderen wurde in Rn. 111 des vorliegenden Urteils darauf hingewiesen, dass im Rahmen der Anwendung der Informationspflicht nach Art. 15 Abs. 1 Buchst. d der Verordnung 2018/1725 die Identifizierbarkeit der betroffenen Person aus der Sicht des Verantwortlichen zu beurteilen ist. Zwischen den Parteien ist unstreitig, dass der SRB als Verantwortlicher über sämtliche Informationen verfügte, die für die Identifizierung der Verfasser dieser Stellungnahmen erforderlich sind. Aus dem Vorstehenden ergibt sich, dass die streitigen Informationen entgegen dem Vorbringen des SRB personenbezogene Daten darstellen. Der erste Klagegrund ist folglich als unbegründet zurückzuweisen.

121 In Bezug auf den zweiten Klagegrund ist der Rechtsstreit jedoch nicht zur Entscheidung reif, da dieser Klagegrund Tatsachenwürdigungen impliziert, die vom Gericht nicht vorgenommen wurden.

122 Folglich ist die Sache zwecks Prüfung des zweiten Klagegrundes an das Gericht zurückzuverweisen.

VII.  Kosten

123 Da die Sache an das Gericht zurückverwiesen wird, ist die Entscheidung über die durch das vorliegende Rechtsmittelverfahren entstandenen Kosten vorzubehalten.

Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt und entschieden: