1.

De foreliggende anmodninger om præjudiciel afgørelse, som er indgivet af Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) i henhold til artikel 267 TEUF, vedrører fortolkningen af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) og af artikel 6, stk. 1, første afsnit, litra f), artikel 17, stk. 1, litra d), artikel 40, artikel 77, stk. 1, og artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) ( 2 ) (herefter »databeskyttelsesforordningen«).

2.

Anmodningerne er indgivet i forbindelse med to tvister mellem i den første UF (sag C-26/22) og i den anden AB (sag C-64/22) mod Land Hessen (delstaten Hessen), repræsenteret ved Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hessens ansvarlige for databeskyttelse og informationsfrihed, herefter »HBDI«), vedrørende krav fra henholdsvis UF og AB om, at HBDI skal udvirke sletning af en registrering om en gældssanering hos SCHUFA Holding AG (herefter »SCHUFA«).

3.

De to sager rejser en række helt nye retlige spørgsmål, som bl.a. vedrører den retlige karakter af den afgørelse, der træffes af den tilsynsmyndighed, der skal behandle en klage, og omfanget af den domstolsprøvelse, som retten kan foretage i forbindelse med et søgsmål anlagt til prøvelse af en sådan afgørelse. Sagerne vedrører ligeledes spørgsmålet om, hvorvidt det er lovligt at opbevare personoplysninger fra offentlige registre hos kreditoplysningsbureauer.

4.

Artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling ( 3 ) har følgende ordlyd:

»4.   Medlemsstaterne er i overensstemmelse med [Europa-Parlamentets og Rådets] direktiv 95/46/EF [af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)] ansvarlige for indsamling og opbevaring af oplysninger i nationale databaser og for afgørelser, der træffes, om at gøre sådanne oplysninger tilgængelige i det sammenkoblede register, som der er adgang til via den europæiske e-justiceportal.

5.   Som led i de oplysninger, der bør stilles til rådighed for registrerede med henblik på at sætte dem i stand til at udøve deres rettigheder, og navnlig retten til sletning af oplysninger, underretter medlemsstaterne de registrerede om den tilgængelighedsperiode, som er fastsat for personlige oplysninger, der opbevares i insolvensregistre.«

5.

Databeskyttelsesforordningens artikel 5, stk. 1, bestemmer:

»Personoplysninger skal:

[…]

[…]«

6.

Forordningens artikel 6, stk. 1, fastsætter:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[…]

[…]«

7.

Databeskyttelsesforordningens artikel 17, stk. 1, fastsætter:

»Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

[…]

[…]«

8.

Forordningens artikel 21, stk. 1, bestemmer:

»Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.«

9.

Forordningens artikel 40 lyder således:

»1.   Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder til udarbejdelse af adfærdskodekser, der under hensyntagen til de særlige forhold i de forskellige behandlingssektorer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt anvendelse af denne forordning.

2.   Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af denne forordning, såsom med hensyn til:

[…]

5.   Sammenslutninger og andre organer omhandlet i denne artikels stk. 2, der har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende adfærdskodeks, forelægger et udkast til kodeks, ændring eller udvidelse for den tilsynsmyndighed, der er kompetent i henhold til artikel 55. Tilsynsmyndigheden afgiver udtalelse om, hvorvidt udkastet til adfærdskodeks, ændring eller udvidelse overholder denne forordning, og godkender dette udkast til kodeks, ændring eller udvidelse, hvis den finder, at kodeksen sikrer tilstrækkelige fornødne garantier.

[…]«

10.

Databeskyttelsesforordningens artikel 77, stk. 1, fastsætter:

»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«

11.

Forordningens artikel 78 foreskriver:

»1.   Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2.   Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder.

[…]«

12.

§ 9 i Insolvenzordnung (lov om insolvens) i den affattelse, der var gældende på tidspunktet for de faktiske omstændigheder i hovedsagerne, bestemmer i stk. 1:

»Den offentlige bekendtgørelse sker gennem en central offentliggørelse i alle delstater på internettet; dette kan ske i uddrag. Debitor skal betegnes præcist, navnlig skal den pågældendes adresse og erhverv anføres. Bekendtgørelsen anses for sket, når der er gået yderligere to dage efter dagen for offentliggørelsen.«

13.

§ 3 i Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (bekendtgørelse om offentlig bekendtgørelse i insolvensprocedurer på internettet, herefter »InsBekV«) bestemmer i stk. 1 og 2:

»1)   Offentliggørelsen i et elektronisk informations- og kommunikationssystem af oplysninger fra en insolvensprocedure, herunder indledningen af insolvensproceduren, slettes senest seks måneder efter, at insolvensproceduren er blevet annulleret eller retskraftigt indstillet. Hvis proceduren ikke indledes, regnes fristen fra annullationen af de offentliggjorte sikrende retsmidler.

2)   For offentliggørelser i forbindelse med en gældssaneringsprocedure inklusive den i insolvenslovens § 289 omhandlede afgørelse gælder stk. 1, første punktum, med den tilføjelse, at fristen regnes fra den dag, hvor afgørelsen om gældssaneringen opnår retskraft.«

14.

I forbindelse med deres insolvensprocedurer blev UF og AB ved kendelse afsagt henholdsvis den 17. december 2020 og den 23. marts 2021 bevilget fremrykket gældssanering. I overensstemmelse med § 9, stk. 1, i lov om insolvens og InsBekV’s § 3, stk. 1 og 2, blev dette forhold bekendtgjort offentligt på internettet, og bekendtgørelsen blev slettet efter seks måneder.

15.

SCHUFA, et privat kreditoplysningsbureau, registrerer de offentliggjorte oplysninger om fremrykket gældssanering i sine egne databaser, men sletter dem først tre år efter registreringen.

16.

Da UF og AB henvendte sig til SCHUFA for at få slettet de registreringer, som vedrørte dem, meddelte SCHUFA, at virksomhedens aktiviteter udføres under overholdelse af databeskyttelsesforordningen, og at fristen på seks måneder for sletning i InsBekV’s § 3, stk. 1, ikke finder anvendelse på den. UF og AB indgav herefter hver især en klage til HBDI i dennes egenskab af kompetent tilsynsmyndighed.

17.

HBDI afgjorde disse klager ved to afgørelser, der blev vedtaget henholdsvis den 1. marts 2021 og den 9. juli 2021. Ifølge HBDI kan SCHUFA opbevare oplysninger om gældssaneringer også ud over perioden for indfrielse af en fordring.

18.

UF og AB har begge anlagt sag til prøvelse af HBDI’s afgørelse ved den forelæggende ret, Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden). De har i denne forbindelse gjort gældende, at HBDI inden for rammerne af sine opgaver og beføjelser er forpligtet til at træffe foranstaltninger mod SCHUFA til at håndhæve sletningen af de registreringer, der vedrører dem.

19.

I denne henseende har den forelæggende ret for det første fundet det nødvendigt at få afklaret den retlige karakter af den afgørelse, som tilsynsmyndigheden træffer vedrørende en klage indgivet i henhold til databeskyttelsesforordningens artikel 77, stk. 1. Den forelæggende ret har anført, at den i artikel 77, stk. 1, fastsatte ret efter HBDI’s opfattelse er udformet som en ret til at indgive et andragende. HBDI er således kun underlagt begrænset domstolsprøvelse, som blot indebærer, at det skal kontrolleres, at myndigheden har behandlet klagen og har underrettet klageren om klagens status og resultat. Det skal derimod ikke domstolsprøves, om klageafgørelsen er indholdsmæssigt rigtig.

20.

Den forelæggende ret er imidlertid i tvivl om, hvorvidt denne analyse er i overensstemmelse med databeskyttelsesforordningen. Ifølge den kræver denne forordnings artikel 78, stk. 1, at der er adgang til effektive retsmidler. Henset til, at formålet med nævnte forordning ved gennemførelse af chartrets artikel 7 og 8 er at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, kan håndteringen af klageretten ikke fortolkes strengt. Den forelæggende ret hælder derfor til en fortolkning, som indebærer, at domstolen skal foretage en fuld indholdsmæssig prøvelse af tilsynsmyndighedens realitetsafgørelse, idet tilsynsmyndigheden dog har en vurderings- og skønsmargen og kun kan forpligtes til en handling, hvis der ikke ses lovlige alternativer.

21.

For det andet er den forelæggende ret i tvivl om, hvorvidt det er lovligt at opbevare oplysninger fra offentlige registre hos kreditoplysningsbureauer. Den forelæggende ret har i denne forbindelse præciseret, at disse virksomheder fra staten modtager samtlige registreringer fra de offentlige registre, i den foreliggende sag debitorregistret og insolvensregistret. Ifølge HBDI tjener disse personoplysninger til at vurdere kreditværdigheden og kan opbevares så længe, som det er nødvendigt af hensyn til de formål, de blev opbevaret til. I mangel af en ordning fra den nationale lovgivers side har tilsynsmyndighederne i øvrigt vedtaget adfærdskodekser i samråd med sammenslutningen af kreditoplysningsbureauer, som fastsætter en sletning præcis tre år efter registreringen i databasen.

22.

Ifølge den forelæggende ret opstår i lyset af chartrets artikel 7 og 8 spørgsmålet om, hvorvidt registreringerne i de offentlige registre kan overføres én til én til privat drevne registre, uden at der foreligger en konkret anledning til at opbevare oplysningerne. Der er i sidste ende tale om en opbevaring af data uden anledning, især hvis oplysningerne allerede er blevet slettet i det nationale register, fordi fristen for opbevaring er udløbet. SCHUFA er i øvrigt kun et af flere kreditoplysningsbureauer, og oplysningerne opbevares dermed mange steder i Tyskland, hvilket indebærer et massivt indgreb i den grundlæggende rettighed i henhold til chartrets artikel 7.

23.

Den forelæggende ret har tilføjet, at det kun er tilladt at behandle og dermed opbevare oplysningerne, hvis en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt, idet det præciseres, at det i den foreliggende sag kun er forordningens artikel 6, stk. 1, første afsnit, litra f), der kommer i betragtning. Det er imidlertid tvivlsomt, om en dataansvarlig som SCHUFA har en legitim interesse som omhandlet i denne bestemmelse. Ved legitim interesse er det i hvert fald muligt for et kreditoplysningsbureau at hente oplysningerne i de offentlige registre så længe, som oplysningerne opbevares dér.

24.

Hertil kommer, at den tyske lovgiver i InsBekV’s § 3 kun fastsætter en relativt kort opbevaring på seks måneder af gældssaneringen i insolvensregistret. Denne bestemmelse er baseret på artikel 79, stk. 5, i forordning 2015/848, hvorefter medlemsstaterne underretter de registrerede om den tilgængelighedsperiode, som er fastsat for personlige oplysninger, der opbevares i insolvensregistre, med henblik på at sætte dem i stand til at udøve deres rettigheder, og navnlig retten til sletning af oplysninger. Denne ret bortfalder imidlertid i forbindelse med en opbevaring i en lang række private registre, hvor oplysningerne så opbevares i længere tid.

25.

Selv hvis det antages, at opbevaringen af data fra offentlige registre hos private kreditoplysningsbureauer er lovlig, opstår spørgsmålet om, hvorvidt de adfærdskodekser, der er godkendt i henhold til databeskyttelsesforordningens artikel 40, og som fastsætter en frist på tre år for sletning af en registrering om en gældssanering, skal inddrages i den afvejning, som vurderingen kræver, jf. databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f).

26.

Under disse omstændigheder har Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

27.

Forelæggelsesafgørelsen i sag C-26/22 af 23. december 2021 er indgået til Domstolens Justitskontor den 11. januar 2022. Forelæggelsesafgørelsen i sag C-64/22 af 31. januar 2022 er indgået til Domstolens Justitskontor den 2. februar 2022.

28.

Ved Domstolens afgørelse af 11. februar 2022 er disse sager blevet forenet med henblik på den skriftlige og mundtlige forhandling samt med henblik på dommen.

29.

Parterne i hovedsagerne, SCHUFA, den tyske og den portugisiske regering samt Europa-Kommissionen har indgivet skriftlige indlæg inden for den frist, der er fastsat i artikel 23 i statutten for Den Europæiske Unions Domstol.

30.

I retsmødet den 26. januar 2023 har de procesfuldmægtige for parterne i hovedsagerne og for SCHUFA samt Kommissionens befuldmægtigede afgivet mundtlige indlæg.

31.

Da den gensidige tillid udgør grundlaget for enhver aftalemæssig forpligtelse i en markedsøkonomi, er det principielt forståeligt set fra et erhvervsmæssigt synspunkt, at leverandører af varer og tjenesteydelser ønsker at få kendskab til deres kunder og de risici, der er forbundet med en sådan aftalemæssig forpligtelse. Kreditoplysningsbureauerne kan bidrage til at skabe denne gensidige tillid ved hjælp af statistiske metoder, der gør det muligt for virksomhederne at fastslå, om visse relevante kriterier, herunder deres kunders kreditværdighed, er opfyldt i det pågældende tilfælde. Herved hjælper de virksomhederne til at overholde forskellige EU-retlige bestemmelser, som netop pålægger dem en sådan forpligtelse for visse kategorier af aftaler, herunder kreditaftaler ( 4 ). Kreditoplysningsbureauerne er imidlertid ikke de eneste, der leverer sådanne ydelser. I betragtning af behovet for at sikre en vis gennemsigtighed og forudsigelighed i forbindelse med finansielle transaktioner kræver EU-lovgiver, at medlemsstaterne opretter og fører et eller flere registre, hvori der offentliggøres oplysninger om insolvensprocedurer.

32.

Det følger heraf, at der findes flere parallelle databaser, nemlig på den ene side de »officielle« registre, der drives af offentlige myndigheder, og på den anden side de databaser, der forvaltes af private selskaber. Denne parallelitet kan føre til konkurrence mellem systemerne og endog skabe retskonflikter, hvis der er betydelig forskel på de retlige ordninger, som disse registre er omfattet af. De lovgivningsmæssige forskelle kan blive særligt problematiske, hvis de påvirker databeskyttelsen, for uanset hvilken offentlig eller privat enhed der forvalter registret, skal denne respektere de registreredes interesser i den måde, hvorpå disse oplysninger forvaltes og registreres. Da oplysninger om en persons økonomiske situation er kendetegnet ved deres følsomhed hvad angår overholdelsen af retten til beskyttelse af personoplysninger og respekten for privatliv, skal der nemlig udvises særlig forsigtighed.

33.

Databeskyttelsesforordningen, der har fundet anvendelse siden den 25. maj 2018, har skabt en retlig ramme, der har til formål at sikre, at der tages hensyn til de ovennævnte interesser i hele Unionen, bl.a. ved at opstille visse betingelser for behandlingen af personoplysninger. Således kræver databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), at behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor. Med andre ord skal behandlingens lovlighed bestemmes ud fra en afvejning af de forskellige involverede interesser, idet de legitime interesser, som den dataansvarlige eller tredjemand forfølger, skal have forrang. Det tilkommer tilsynsmyndigheden, som i henhold til databeskyttelsesforordningens artikel 77, stk. 1, skal behandle enhver eventuel klage fra den registrerede vedrørende tilsidesættelse af dennes grundlæggende rettigheder, at undersøge, om disse betingelser er opfyldt. Hvis den registrerede i henhold til databeskyttelsesforordningens artikel 78, stk. 1, beslutter at anlægge sag til prøvelse af tilsynsmyndighedens afgørelser, påhviler det endelig de nationale domstole at sikre en effektiv domstolskontrol.

34.

De foregående punkter i dette forslag til afgørelse opsummerer kort de forskellige juridiske aspekter, som den forelæggende ret har rejst i sine anmodninger om præjudiciel afgørelse. Det første spørgsmål vedrører den retlige karakter af den afgørelse, der træffes af den tilsynsmyndighed, der skal behandle en klage, og omfanget af den domstolsprøvelse, som retten kan foretage i forbindelse med et søgsmål anlagt til prøvelse af en sådan afgørelse. Det andet til det femte spørgsmål vedrører i det væsentlige spørgsmålet om, hvorvidt det er lovligt at opbevare personoplysninger fra offentlige registre hos kreditoplysningsbureauer. De præjudicielle spørgsmål vil blive behandlet nedenfor i den rækkefølge, hvori de er forelagt af den forelæggende ret.

35.

Eftersom det første spørgsmål vedrører de to trin i den administrative klageadgang, dvs. klagen til tilsynsmyndigheden og den retslige prøvelse ved en judiciel myndighed, som er reguleret i henholdsvis artikel 77 og 78 i databeskyttelsesforordningen, finder jeg det hensigtsmæssigt kort at beskrive disse to trin og samtidig se på de retlige aspekter, som den forelæggende ret er i tvivl om.

36.

Som nævnt i mine indledende bemærkninger har databeskyttelsesforordningen til formål at sikre beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger, der er anerkendt som en grundlæggende rettighed i chartrets artikel 8, stk. 1, og artikel 16, stk. 1, TEUF. Da enhver behandling af personoplysninger kan have indvirkning på privatlivet, skal der ligeledes henvises til den beskyttelse, der er sikret ved chartrets artikel 7 ( 5 ). Det følger i øvrigt af databeskyttelsesforordningens artikel 1, stk. 2, sammenholdt med 10., 11. og 13. betragtning til denne forordning, at EU-lovgiver pålægger Unionens organer, kontorer og agenturer, men også medlemsstaternes kompetente myndigheder, herunder tilsynsmyndighederne og de nationale retsinstanser, denne opgave ( 6 ).

37.

Det skal i denne henseende anføres, at chartrets artikel 8, stk. 3, bestemmer, at overholdelsen af reglerne om beskyttelse af personoplysninger er underlagt en uafhængig myndigheds kontrol. Databeskyttelsesforordningens artikel 57, stk. 1, litra a), gennemfører denne forpligtelse, der er afledt af primærretten, idet den fastsætter, at hver tilsynsmyndighed har til opgave at føre tilsyn med og håndhæve anvendelsen af denne forordning. Behandlingen af klager indgivet af en registreret er et af tilsynsmyndighedens ansvarsområder, således som det udtrykkeligt fremgår af databeskyttelsesforordningens artikel 57, stk. 1, litra f).

38.

Domstolen har fastslået, at i henhold til denne bestemmelse »skal hver tilsynsmyndighed […] på sit område behandle de klager, som enhver registreret i henhold til databeskyttelsesforordningens artikel 77, stk. 1, har ret til at indgive, når den pågældende finder, at en behandling af personoplysninger vedrørende vedkommende overtræder den nævnte forordning, og, for så vidt det er nødvendigt, undersøge genstanden for klagen« ( 7 ). I denne sammenhæng skal opmærksomheden henledes på den omstændighed, at Domstolen har fremhævet den forpligtelse, der påhviler tilsynsmyndigheden, til at »behandle en sådan klage med den fornødne omhu« for at sikre overholdelsen af databeskyttelsesforordningens bestemmelser. Det skal endvidere nævnes, at 141. betragtning til databeskyttelsesforordningen præciserer, at »[u]ndersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde […]« (min fremhævelse).

39.

Alle disse oplysninger foranlediger mig til at mene, at tilsynsmyndigheden har en bindende forpligtelse til at behandle klager indgivet af en registreret, og det med den i den pågældende sag fornødne omhu ( 8 ). Da enhver tilsidesættelse af databeskyttelsesforordningen principielt kan udgøre en krænkelse af de grundlæggende rettigheder, forekommer det mig uforeneligt med det system, der er indført ved denne forordning, at indrømme tilsynsmyndigheden et skøn med hensyn til, om den behandler klager eller ej. En sådan tilgang ville sætte spørgsmålstegn ved den afgørende rolle, som databeskyttelsesforordningen tillægger tilsynsmyndigheden, og som består i at sikre overholdelsen af reglerne om beskyttelse af personoplysninger, og er følgelig i strid med de formål, som EU-lovgiver forfølger ( 9 ). Det må i sidste ende ikke glemmes, at klagerne udgør en værdifuld informationskilde for tilsynsmyndigheden, som giver den mulighed for at afsløre overtrædelserne ( 10 ).

40.

Denne fortolkning er så meget desto mere overbevisende, som databeskyttelsesforordningens artikel 57, stk. 1, litra f), pålægger tilsynsmyndigheden en række krav i forbindelse med behandlingen af en sådan klage, nemlig forpligtelsen til, for så vidt det er hensigtsmæssigt, at undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig. Hertil kommer den forpligtelse, der er fastsat i databeskyttelsesforordningens artikel 77, stk. 2, til at underrette klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. databeskyttelsesforordningens artikel 78. Alle disse krav, der falder ind under begrebet »god forvaltning«, idet sidstnævnte har fundet udtryk i chartrets artikel 41 specifikt for så vidt angår Unionens institutioners og organers aktiviteter ( 11 ), har til formål at styrke klageproceduren med henblik på at gøre den til en veritabel administrativ klage.

41.

Selv om tilsynsmyndigheden som garant for overholdelsen af databeskyttelsesforordningens bestemmelser er forpligtet til at behandle de klager, der indbringes for den, taler flere forhold for en fortolkning, hvorefter denne råder over en vurderingsmargen i forbindelse med undersøgelsen af disse klager samt et vist skøn med hensyn til valget af egnede midler til at udføre sine opgaver. Generaladvokat Saugmandsgaard Øe har nemlig anført, at databeskyttelsesforordningens artikel 58, stk. 1, »tillægger […] tilsynsmyndighederne væsentlige undersøgelsesbeføjelser«, og at disse myndigheder i henhold til denne forordnings artikel 58, stk. 2, har »en lang række midler […] med henblik på at udføre den opgave, som påhviler den«, idet han i denne forbindelse henviser til de forskellige beføjelser til at vedtage korrigerende foranstaltninger, der er nævnt i denne bestemmelse ( 12 ). Han har endvidere præciseret, at selv om »[den kompetente] myndighed [har] pligt til fuldt ud at udføre den tilsynsopgave, som den er blevet tillagt«, »[henhører] valget af det mest effektive middel […] under det[s] skøn […] under hensyn til samtlige de [omhandlede] omstændigheder« ( 13 ). Jeg kan kun tiltræde en sådan fortolkning.

42.

Den detaljerede beskrivelse af tilsynsmyndighedernes beføjelse til at vedtage korrigerende foranstaltninger viser, at EU-lovgiver ikke har haft til formål at gøre klageproceduren til en andragendelignende procedure. Tværtimod synes det lovgivningsmæssige formål at have været at skabe en mekanisme, der effektivt kan beskytte rettigheder og interesser for de personer, der indgiver klager. Når det er sagt, forekommer det mig klart, at dette skøn ikke kan fortolkes således, at tilsynsmyndigheden råder over en ubegrænset beføjelse, som giver den mulighed for at handle vilkårligt. Tværtimod er tilsynsmyndigheden forpligtet til at udøve nævnte skøn under overholdelse af de grænser, som EU-retten pålægger den. Det er ligeledes af denne grund, at muligheden for, at tilsynsmyndigheden i sin egenskab af administrativ myndighed tvinges til at vedtage en bestemt foranstaltning på grund af de særlige omstændigheder i en given sag, ikke kan udelukkes, navnlig når der er en alvorlig risiko for krænkelse af den registreredes grundlæggende rettigheder.

43.

Denne fortolkning, som giver tilsynsmyndigheden et vist skøn ved valget af midler, bekræftes af databeskyttelsesforordningens artikel 58, stk. 4, der foreskriver, at »[u]døvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler« (min fremhævelse) i overensstemmelse med chartrets artikel 47. Ifølge databeskyttelsesforordningens artikel 78, stk. 1 og 2, har enhver i øvrigt ret til effektive retsmidler over for en juridisk bindende afgørelse, som en tilsynsmyndighed har truffet vedrørende vedkommende, eller hvis denne myndighed undlader at behandle den pågældendes klage.

44.

Dette bringer mig frem til spørgsmålet om den retlige karakter af tilsynsmyndighedens afgørelser, som den forelæggende ret har rejst i sine anmodninger om præjudiciel afgørelse. I denne henseende skal der henvises til 141. betragtning til databeskyttelsesforordningen, hvoraf fremgår, at »[e]nhver registreret bør have ret til at indgive klage til [en] tilsynsmyndighed […] og have adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder« (min fremhævelse). Denne betragtning tager hensyn til den omstændighed, at en afgørelse truffet af tilsynsmyndigheden kan være til skade for den registrerede, bl.a. hvis den fastslår, at klagen er ugrundet, eller er af den opfattelse, at der ikke foreligger en tilsidesættelse af databeskyttelsesforordningen, og derfor ikke træffer foranstaltninger med henblik på at rette op på den situation, der gav anledning til klagen. EU-lovgiver anerkender den juridisk bindende virkning af en sådan afgørelse og giver følgelig klageren adgang til et retsmiddel ved en national domstol.

45.

Det skal ligeledes nævnes, at tilsynsmyndigheden ikke har ret til ikke at reagere, idet det fremgår af databeskyttelsesforordningens artikel 78, stk. 2, at »den enkelte registrerede [har] adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder«. Denne omstændighed udelukker, at klageproceduren kan sidestilles med et andragende.

46.

Som den forelæggende ret har anført i forelæggelsesafgørelserne, har tilsynsmyndigheden i det foreliggende tilfælde truffet juridisk bindende afgørelser i forhold til sagsøgerne i hovedsagen. Den har i det væsentlige fastslået, at SCHUFA’s behandling af sagsøgernes personoplysninger var lovlig i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b) og f), og har derfor stiltiende afvist anvendelsen af en undersøgelsesforanstaltning eller en korrigerende foranstaltning.

47.

Den retslige prøvelse, der er fastsat i databeskyttelsesforordningens artikel 78, udgør det andet trin i den administrative klageadgang, der er fastsat i denne forordning. Det skal i denne sammenhæng anføres, at såvel »klagen« til tilsynsmyndigheden som den »retslige prøvelse« opfattes som den registreredes »rettigheder«, hvilket er fuldt forståeligt, hvis man tager udgangspunkt i den opfattelse, hvorefter databeskyttelsesforordningens artikel 77-79 har til formål at gennemføre adgangen til effektive retsmidler, der er fastsat i chartrets artikel 47. Som tidligere anført ( 14 ) gør databeskyttelsesforordningens artikel 58, stk. 4, sammenholdt med forordningens artikel 78, i lyset af 141. betragtning til denne forordning det muligt klart at udlede dette formål ( 15 ).

48.

Hvad angår omfanget af domstolsprøvelsen af tilsynsmyndighedens afgørelser skal det erindres, at de nationale regler for den administrative procedure generelt finder anvendelse inden for rammerne af procesautonomien, med forbehold af ækvivalensprincippet og effektivitetsprincippet ( 16 ). Jeg er imidlertid af den opfattelse, at et retsmiddel kun kan være »effektivt« som omhandlet i chartrets artikel 47 og databeskyttelsesforordningens artikel 78, stk. 1, hvis den kompetente nationale ret har beføjelse og pligt til at prøve det fulde indhold af tilsynsmyndighedens realitetsafgørelse med henblik på at efterprøve, om tilsynsmyndigheden har anvendt databeskyttelsesforordningen korrekt.

49.

Som Domstolen har fastslået i sin praksis, »opfylder en lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved chartrets artikel 47. Chartrets artikel 47, stk. 1, opstiller således et krav om, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I denne henseende er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat« ( 17 ).

50.

Med henblik på at fastlægge omfanget af domstolsprøvelsen af tilsynsmyndighedens afgørelser forekommer det mig relevant først at nævne 141. betragtning til databeskyttelsesforordningen, hvoraf fremgår, at »[u]ndersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolskontrol« (min fremhævelse). Dernæst henvises til 143. betragtning til databeskyttelsesforordningen, hvoraf fremgår, at »enhver fysisk eller juridisk person [bør] have adgang til effektive retsmidler ved den kompetente nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager« (min fremhævelse). Efter min opfattelse skal disse passager forstås således, at den domstolsprøvelse, som den nationale domstol skal foretage i henhold til databeskyttelsesforordningens artikel 78, skal være fuldstændig, dvs. at den skal omfatte alle de relevante aspekter, der henhører under den vurderingsbeføjelse, som tilsynsmyndigheden udøver i forbindelse med undersøgelsen af en klages genstand, samt dens skønsbeføjelse med hensyn til valget af undersøgelsesforanstaltninger og korrigerende foranstaltninger.

51.

EU-lovgivers formål om at sikre en fuldstændig domstolsprøvelse af enhver afgørelse truffet af en tilsynsmyndighed, som har retsvirkninger i forhold til den registrerede, der har indgivet en klage til denne, bliver særligt klart, hvis der tages hensyn til en anden passage i 143. betragtning til databeskyttelsesforordningen, hvoraf det fremgår, at »[e]n sag mod en tilsynsmyndighed bør anlægges ved domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret, og bør føres i overensstemmelse med den pågældende medlemsstats retspleje. Disse domstole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige omstændigheder, der er relevante for den tvist, som de får forelagt« (min fremhævelse) ( 18 ). Jeg er af den opfattelse, at kun en domstolsprøvelse af et sådant omfang opfylder kravene i chartrets artikel 47 ( 19 ).

52.

De argumenter, som SCHUFA og HBDI har fremført til støtte for en begrænset domstolsprøvelse af tilsynsmyndighedernes afgørelser, forekommer mig derimod ikke overbevisende. For det første har den »uafhængighed«, der er tillagt tilsynsmyndigheden i henhold til databeskyttelsesforordningens artikel 52, som konkretiserer kravet i chartrets artikel 8, stk. 3, til formål at beskytte denne myndighed mod ethvert uretmæssigt indgreb, men den fritager den ikke fra forpligtelsen til at udføre sine opgaver og udøve sine beføjelser under fuld overholdelse af EU-retten og til at underkaste sine afgørelser en effektiv domstolsprøvelse som enhver anden national myndighed. For det andet udelukker adgangen til retsmidler i forhold til den dataansvarlige, der er fastsat i databeskyttelsesforordningens artikel 79, ikke retten til at anlægge sag til prøvelse af en afgørelse truffet af tilsynsmyndigheden i henhold til databeskyttelsesforordningens artikel 78. Disse retsmidler er samtidige og selvstændige, uden at det ene retsmiddel er underordnet det andet, således at de kan udøves parallelt ( 20 ). Det kan derfor ikke foreholdes sagsøgerne, at de har handlet ulovligt i forbindelse med forsvaret af deres rettigheder, der er beskyttet ved databeskyttelsesforordningen, med den begrundelse, at de har prioriteret et bestemt retsmiddel. Disse argumenter må derfor forkastes.

53.

Henset til ovenstående betragtninger skal det første præjudicielle spørgsmål besvares med, at databeskyttelsesforordningens artikel 78, stk. 1, skal fortolkes således, at det følger af denne bestemmelse, at en juridisk bindende afgørelse fra en tilsynsmyndighed er underlagt en domstols prøvelse af realitetsafgørelsens fulde indhold.

54.

Det andet til det femte præjudicielle spørgsmål vedrører i det væsentlige spørgsmålet om, hvorvidt det er lovligt at opbevare personoplysninger fra offentlige registre hos kreditoplysningsbureauer. Den forelæggende rets spørgsmål rejser en række juridiske problemstillinger forbundet med denne praksis, som skal undersøges på en struktureret måde. Af klarhedshensyn finder jeg det hensigtsmæssigt at opdele spørgsmålene efter emne og behandle dem i denne rækkefølge.

55.

Med henblik på at give den forelæggende ret et hensigtsmæssigt svar, som sætter den i stand til at afgøre den tvist, der verserer for den, vil Domstolen skulle fortolke flere af databeskyttelsesforordningens bestemmelser, der, selv om de ikke udtrykkeligt er nævnt i spørgsmålene, imidlertid forekommer relevante. En sådan tilgang er mulig, eftersom Domstolen ifølge fast praksis ud fra samtlige de oplysninger, der er fremlagt af den forelæggende ret, og navnlig af forelæggelsesafgørelsens præmisser, kan udlede de EU-retlige bestemmelser og principper, som det under hensyntagen til genstanden for tvisten i hovedsagen er nødvendigt at fortolke ( 21 ).

56.

En sådan grundig analyse forekommer mig så meget desto mere nødvendig, som den forelæggende ret undertiden udelukkende har henvist til chartrets artikel 7 og 8 i sine spørgsmål, selv om disse bestemmelser ikke skal anvendes isoleret, således som Domstolen har forklaret, men skal tages i betragtning i forbindelse med den afvejning, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f) ( 22 ). Det skal i denne sammenhæng desuden anføres, at for så vidt som databeskyttelsesforordningens bestemmelser gennemfører de omhandlede grundlæggende rettigheder, udgør fortolkningen af den afledte ret logisk set udgangspunktet for enhver udlægning, idet denne skal sammenholdes med den primære ret, som chartret udgør en integrerende del af ( 23 ). Jeg vil derfor i min analyse medtage alle de bestemmelser, som efter min opfattelse er relevante.

57.

Databeskyttelsesforordningens kapitel II med overskriften »Principper« fastsætter principperne for behandling af personoplysninger. Jeg vil i det følgende undersøge, om kreditoplysningsbureauernes praksis, der består i opbevaring af personoplysninger fra offentlige registre i en periode på tre år, er i overensstemmelse med de principper, som forekommer mig mest relevante i den foreliggende sammenhæng, nemlig princippet om lovlighed, princippet om formålsbegrænsning og princippet om dataminimering.

58.

Med henblik på analysen støtter jeg mig på de oplysninger, som den forelæggende ret og SCHUFA har fremlagt, idet det dog skal fremhæves, at det påhviler sidstnævnte i sin egenskab af dataansvarlig at godtgøre, at de ovennævnte principper er blevet overholdt, i overensstemmelse med det i databeskyttelsesforordningens artikel 5, stk. 2, fastsatte princip om ansvarlighed.

59.

I henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra a), skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. I henhold til databeskyttelsesforordningens artikel 6, stk. 1, er behandling af personoplysninger kun lovlig, hvis en af artiklens betingelser er opfyldt. Som Domstolen har fastslået, er der tale om en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig ( 24 ). Den forelæggende ret ønsker nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), tillader, at et privat kreditoplysningsbureau opbevarer personoplysninger fra offentlige registre med henblik på at stille disse oplysninger til rådighed for en kunde i tilfælde af en forespørgsel.

60.

Ifølge Domstolens praksis ( 25 ) fastsætter databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor. Selv om det tilkommer den forelæggende ret at vurdere, om disse betingelser er opfyldt, påhviler det imidlertid Domstolen at vejlede den i denne vurdering ved at afklare de rejste retsspørgsmål.

61.

Hvad indledningsvis angår forfølgelsen af en »legitim interesse« erindrer jeg om, at der i databeskyttelsesforordningen og i retspraksis anerkendes en bred vifte af interesser, der anses for at være legitime ( 26 ), idet det skal præciseres, at det i henhold til databeskyttelsesforordningens artikel 13, stk. 1, litra d), påhviler den dataansvarlige at oplyse de legitime interesser, der forfølges inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f).

62.

SCHUFA har gjort gældende, at den omhandlede behandling af oplysninger tjener til forfølgelse af tungtvejende legitime interesser. Nærmere bestemt behandler kreditoplysningsbureauerne oplysninger, der er nødvendige for at vurdere personers eller virksomheders kreditværdighed, med henblik på at stille disse oplysninger til rådighed for deres aftalepartnere. Dette beskytter ligeledes de økonomiske interesser hos de virksomheder, der ønsker at indgå aftaler, som er forbundet med en kredit. Desuden udgør vurderingen af kreditværdighed og udleveringen af oplysninger om kreditværdighed grundlaget for kreditgivning og for økonomiens funktion. Disse bureauers aktiviteter bidrager ligeledes til at konkretisere de forretningsmæssige ønsker for personer, der er interesseret i kreditrelaterede transaktioner, idet oplysningerne gør det muligt at foretage en hurtig og ikke-bureaukratisk undersøgelse.

63.

Efter min opfattelse er der principielt ikke nogen objektiv grund til at betvivle, hverken at SCHUFA har en legitim interesse i at levere den ovenfor beskrevne kommercielle tjeneste til sine kunder, eller at SCHUFA’s kunder har en interesse i at gøre brug af selskabets tjenester med henblik på at vurdere potentielle handelspartneres kreditværdighed i den anførte forstand. Selv om det er korrekt, at leveringen af denne form for tjenester har til formål at opnå et vederlag og dermed udgør den økonomiske model for et privat selskab, forholder det sig ikke desto mindre således, at denne omstændighed ikke i sig selv er tilstrækkelig til at rejse tvivl om, at den første betingelse i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), er opfyldt i den foreliggende sag.

64.

Hertil kommer, at det formål, der forfølges med den omhandlede tjeneste, i det væsentlige svarer til det, som EU-lovgiver tilsigtede med vedtagelsen af artikel 24 i forordning 2015/848, der pålægger medlemsstaterne på deres område at oprette og vedligeholde et eller flere registre, hvori oplysninger om insolvensbehandling offentliggøres. Som det fremgår af 76. betragtning til denne forordning er formålet med disse offentlige registre »at sikre en bedre information af relevante kreditorer og retter og forhindre, at der indledes parallelle insolvensbehandlinger«. Efter min opfattelse har SCHUFA’s tjeneste ikke noget andet formål. Spørgsmålet om, hvorvidt systemernes parallelitet kan føre til retskonflikter, vil blive behandlet nedenfor. På dette trin i analysen er det tilstrækkeligt at angive, at den af SCHUFA foretagne behandling af oplysninger, henset til disse identiske formål, skal anses for at tjene en legitim interesse som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f).

65.

Med hensyn til betingelsen om, at behandlingen af personoplysninger skal være nødvendig for at opfylde den legitime interesse, som forfølges, har Domstolen bemærket, at undtagelser fra og begrænsninger af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige ( 27 ). Det er således nødvendigt, at der er en tæt forbindelse mellem behandlingen og den interesse, der forfølges, i mangel af alternativer med en bedre beskyttelse af personoplysninger, idet det ikke er tilstrækkeligt, at behandlingen alene skyldes, at den er nyttig for den dataansvarlige.

66.

I den foreliggende sag bør det godtgøres, at indsamlingen af personoplysninger om insolvens, der hidrører fra offentlige registre, og den private opbevaring heraf er den eneste mulighed for, at SCHUFA kan give sine kunder disse præcise oplysninger i kommercielt øjemed. Det kan ikke udelukkes, at SCHUFA har mulighed for at tilbyde den kommercielle tjeneste og give oplysninger om personers kreditværdighed ved hjælp af andre tilgængelige oplysninger. Det tilkommer den forelæggende ret at efterprøve, om SCHUFA på denne måde fortsat ville have mulighed for at tilbyde sine kunder denne kommercielle tjeneste på hensigtsmæssig vis.

67.

SCHUFA er af den opfattelse, at behandlingen af oplysninger er nødvendig. Hvis et kreditoplysningsbureau afventede en konkret forespørgsel, inden det begyndte at indsamle oplysninger, ville det ifølge SCHUFA være umuligt at give disse oplysninger rettidigt. SCHUFA mener ikke, at den omstændighed, at oplysningerne (ligeledes) er offentligt tilgængelige i et vist tidsrum, har nogen betydning for kreditoplysningsbureauernes legitime interesser eller for behandlingens nødvendighed.

68.

Hvis ikke opbevaringen af personoplysninger fra offentlige registre er nødvendig for, at SCHUFA kan tilbyde sin kommercielle tjeneste til sine kunder, kan denne behandling ikke være lovlig på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f). Hvis den anden betingelse i denne bestemmelse derimod er opfyldt, skal den forelæggende ret stadig undersøge nævnte bestemmelses tredje og sidste kumulative betingelse.

69.

Hvad endelig angår betingelsen om en afvejning af dels den dataansvarliges interesser, dels den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder påhviler det ifølge Domstolens praksis den forelæggende ret at foretage en afvejning af de involverede interesser ( 28 ). I denne henseende opregner retningslinjerne fra den tidligere »Artikel 29-Gruppe«, nu »Det Europæiske Databeskyttelsesråd«, hvis opgaver er defineret i databeskyttelsesforordningens artikel 70, følgende kriterier, der skal tages hensyn til ved denne afvejning: i) vurdering af den dataansvarliges legitime interesse, ii) indvirkning på de registrerede, iii) foreløbig balance og iv) yderligere garantier, som den dataansvarlige anvender for at forhindre utilbørlig indvirkning på de registrerede ( 29 ). For at foretage en udførlig og logisk analyse vil jeg anvende disse kriterier på hovedsagerne. En sådan tilgang vil desuden bidrage til en mere kohærent anvendelse af databeskyttelsesforordningen i overensstemmelse med EU-lovgivers formål.

70.

Hvad angår det første kriterium må det fastslås, at såvel SCHUFA’s som selskabets kunders interesse er af rent økonomisk karakter. Private selskaber opbevarer personoplysninger, der er importeret fra offentlige registre, med henblik på at tilbyde deres kunder den tjeneste, der består i at give oplysninger om den registreredes kreditværdighed, idet de bl.a. anvender disse oplysninger. Som jeg allerede har forklaret ovenfor ( 30 ), forekommer en sådan interesse legitim i forbindelse med denne analyse.

71.

Hvad angår det andet kriterium, dvs. behandlingens indvirkning på den registrerede, synes fristen for sletning at være den relevante faktor. Jo længere dataene opbevares i de private kreditoplysningsbureauers databaser, jo større er konsekvenserne for den registrerede. I den foreliggende sag er sagsøgerne i hovedsagernes personoplysninger blevet behandlet i det offentlige register for »at sikre en bedre information af relevante kreditorer og retter og forhindre, at der indledes parallelle insolvensbehandlinger«, således som det kræves i 76. betragtning til forordning 2015/848. Ved afvejningen af de forskellige interesser fandt den tyske lovgiver, at den periode, hvori det var nødvendigt at offentliggøre oplysninger om en insolvensprocedure i sådanne offentlige registre for at nå dette mål, var på seks måneder. Opbevaringen af personoplysninger ud over denne periode på seks måneder synes således a priori at have en betydelig negativ indvirkning på den registrerede.

72.

Det følger af Domstolens praksis, at der findes andre faktorer, der skal tages hensyn til i forbindelse med analysen, nemlig de måder, hvorpå der kan opnås adgang til databaserne, og den lethed, hvormed personoplysningerne kan udbredes ( 31 ). Kort sagt gælder det, at jo nemmere det er for offentligheden at få adgang til oplysningerne, jo mere alvorligt er indgrebet i den registreredes grundlæggende rettigheder. Dette gælder især, når antallet af brugere, der har adgang til den registreredes oplysninger, er stort ( 32 ). Det forekommer mig derfor indlysende, at selv om dataene allerede er tilgængelige i offentlige registre i nævnte periode på seks måneder, har den omstændighed, at de på samme tid opbevares og er tilgængelige i de private kreditoplysningsbureauers databaser, en yderligere indvirkning på den enkeltes privatliv, som kommer oven i de negative konsekvenser af, at disse data er tilgængelige i offentlige registre.

73.

En anden faktor, der skal tages hensyn til i analysen, er, om der er tale om eventuelt følsomme oplysninger ( 33 ). Generelt kan det siges, at indvirkningen på den registrerede øges i takt med oplysningernes følsomhed. I denne henseende skal det nævnes, at det fremgår af Domstolens praksis, at personoplysninger i forbindelse med inddrivelse af fordringer faktisk er følsomme oplysninger for den registreredes privatliv ( 34 ). Den omstændighed, at denne type oplysninger stilles til rådighed for et i princippet ubegrænset antal personer, må således anses for et væsentligt indgreb i den pågældendes grundlæggende rettigheder ( 35 ).

74.

Endelig finder jeg det absolut nødvendigt ligeledes at tage hensyn til tidsfaktoren. Selv en lovlig behandling af oplysninger kan nemlig med tiden blive uoverensstemmende med databeskyttelsesforordningen, når disse oplysninger ikke er eller ikke længere er relevante eller er uforholdsmæssige i forhold til det formål, hvortil de oprindeligt blev indsamlet. Ud fra dette perspektiv sætter jeg et stort spørgsmålstegn ved, hvorledes det kan være berettiget at opbevare personoplysninger i en periode på tre år, når den nationale lovgiver er af den opfattelse, at en opbevaringsperiode på seks måneder, dvs. en betydeligt kortere varighed, er mere end tilstrækkeligt til at tage hensyn til de erhvervsdrivendes kommercielle interesser. Jeg vil gerne fremhæve, at SCHUFA ikke har været i stand til at give et klart og overbevisende svar på dette spørgsmål ( 36 ), selv om det i henhold til databeskyttelsesforordningens artikel 5, stk. 2, påhviler selskabet at påvise, at principperne for behandling af personoplysninger er overholdt ( 37 ).

75.

En vurdering af alle de forhold, der er nævnt i de foregående punkter, bringer mig til den konklusion, at de betydelige negative konsekvenser, som opbevaringen af data vil have for den registrerede efter den omhandlede periode på seks måneder, synes at veje tungere end det private selskabs og dets kunders kommercielle interesse i at opbevare oplysningerne efter denne periode. Det er i denne sammenhæng vigtigt at understrege, at den tildelte gældssanering skal give modtageren mulighed for på ny at deltage i det økonomiske liv ( 38 ). Sagsøgerne i hovedsagen og Kommissionen har ligeledes henledt opmærksomheden på dette aspekt i retsmødet. Dette formål modarbejdes imidlertid, hvis private kreditoplysningsbureauer har tilladelse til at opbevare personoplysninger i deres databaser, efter at disse oplysninger er blevet slettet fra det offentlige register.

76.

Hvad endelig angår de yderligere garantier, som den dataansvarlige eventuelt anvender for at forhindre utilbørlig indvirkning på de registrerede, er der intet i forelæggelsesafgørelserne eller i SCHUFA’s indlæg, der gør det muligt at få øje på sådanne garantier.

77.

Henset til ovenstående betragtninger er det min opfattelse, at et kreditoplysningsbureaus opbevaring af oplysninger ikke kan være lovlig på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), fra det tidspunkt, hvor personoplysningerne om en insolvens er blevet slettet fra de offentlige registre.

78.

Hvad angår den periode på seks måneder, hvor personoplysningerne ligeledes er tilgængelige i offentlige registre, tilkommer det den forelæggende ret at foretage en afvejning af de ovennævnte interesser og indvirkninger på den registrerede med henblik på at fastslå, om de private kreditoplysningsbureauers parallelle opbevaring af disse oplysninger er lovlig på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f).

79.

I overensstemmelse med princippet om formålsbegrænsning, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra b), skal det sikres, at personoplysninger, der indsamles til et bestemt formål, ikke viderebehandles på en måde, der er uforenelig med disse formål. I den foreliggende sag er oplysningerne om insolvens og gældssanering blevet behandlet af offentlige myndigheder i forbindelse med opfyldelsen af retlige forpligtelser.

80.

Hvad angår et privat selskabs videre anvendelse af oplysningerne skal det imidlertid i lyset af databeskyttelsesforordningen og under anvendelse af kriterierne i denne forordnings artikel 6, stk. 4, undersøges, om det forfulgte formål er foreneligt med det oprindelige formål. Denne bestemmelses litra a), b) og d) er særligt relevante i den foreliggende sag. De opstiller følgende kriterier: i) forbindelsen mellem det oprindelige formål og det videre formål, ii) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig forholdet mellem den registrerede og den dataansvarlige, og iii) den påtænkte viderebehandlings mulige konsekvenser for de registrerede.

81.

For det første synes forbindelsen mellem formålene at være uklar, om ikke andet så fordi det oprindelige formål er fastsat ved lov, nærmere bestemt i EU-retten, som pålægger medlemsstaterne en forpligtelse til at oprette og føre registre ( 39 ), og fordi den dataansvarlige er en offentlig myndighed, der handler inden for rammerne af de opgaver, som den er blevet overdraget ved lov, mens det videre formål forfølges af en privat enhed i forbindelse med en kommerciel aktivitet, der består i at give økonomiske oplysninger om personer.

82.

Hvad angår den sammenhæng, hvori oplysningerne er blevet indsamlet, skal det for det andet fastslås, at der ikke er nogen forbindelse mellem den dataansvarlige og den registrerede, eftersom oplysningerne indsamles indirekte via registre, og den registrerede derfor ikke er bekendt med, at vedkommendes oplysninger kan blive anvendt videre, ej heller af hvem eller i hvilket øjemed. Dette aspekt forekommer mig særligt alvorligt med hensyn til beskyttelsen af personoplysninger, eftersom ingen som hovedregel med rimelighed kan gå ud fra, at vedkommendes personoplysninger vil blive viderebehandlet ( 40 ). Den omstændighed, at loven fastsætter en bestemt varighed for opbevaring af data i offentlige registre, kan med rimelighed give anledning til at antage, at de omhandlede data vil blive slettet efter udløbet af denne periode.

83.

Hvad angår de mulige konsekvenser, som viderebehandlingen af oplysningerne kan have for de registrerede, skal det for det tredje fremhæves, at oplysninger om insolvensprocedurer altid vil blive anvendt som en negativ faktor i forbindelse med en fremtidig vurdering af den berørte fysiske persons kreditværdighed og betalingsevne, hvilket har en betydelig indvirkning på denne persons rettigheder. Et forkert billede af den registreredes økonomiske situation kan have skadelige virkninger for den pågældende, idet det i høj grad kan vanskeliggøre den registreredes udøvelse af sine frihedsrettigheder eller endog stigmatisere vedkommende i samfundet. For så vidt som den registrerede kan blive nægtet varer og tjenesteydelser, kan vedkommende blive udsat for ubegrundet forskelsbehandling.

84.

Henset til disse tre kriterier, som skal være opfyldt, for at anvendelsen af personoplysninger er i overensstemmelse med det oprindelige formål, således som det kræves i databeskyttelsesforordningens artikel 6, stk. 4, synes det at være tvivlsomt, at den videre anvendelse af disse oplysninger kan være i overensstemmelse med dette formål.

85.

Det skal yderligere nævnes, at den nationale lovgiver ved at fastsætte et maksimalt tidsrum på seks måneder, hvor oplysningerne om insolvenssituationen og retsafgørelsen om gældssanering må være offentliggjort, såfremt de lovbestemte betingelser er opfyldt, allerede har taget hensyn til samfundets interesse og har foretaget en afvejning af kreditorernes interesser på den ene side og de insolvente personers interesser og rettigheder på den anden side ( 41 ). Private selskabers behandling af personoplysninger i en periode, der er seks gange længere end den, der er fastsat ved lov for offentlige registre, synes at være overdreven og straffer de facto den registrerede, selv om loven klart ikke tilsigter noget sådant. Som jeg allerede har anført, skal den tildelte gældssanering nemlig give modtageren mulighed for på ny at deltage i det økonomiske liv. Dette formål modarbejdes imidlertid, hvis private kreditoplysningsbureauer har tilladelse til at opbevare personoplysninger i deres databaser, efter at disse oplysninger er blevet slettet fra det offentlige register ( 42 ). I mangel af beviser for det modsatte må det frygtes, at betingelserne for at få adgang til databasen kan være udformet med den hensigt at omgå den nationale lovgivning, som medlemsstaten har vedtaget for at opfylde sine forpligtelser i henhold til EU-retten ( 43 ).

86.

Det forekommer i øvrigt uforholdsmæssigt at »genbruge« en tidligere situation, som allerede er afklaret på det retlige plan, såsom en gældssanering, i fremtidige vurderinger frem for at anvende faktorer, der er ajourført på tidspunktet for risikoanalysen, med henblik på at sikre en mere præcis og objektiv vurdering af den registreredes økonomiske situation. Man kan nemlig sætte spørgsmålstegn ved værdien af en oplysning om en persons økonomiske situation, der er flere år gammel. Personoplysninger vedrørende et forhold, der går et godt stykke tilbage i tiden, giver næppe troværdige oplysninger om den registreredes aktuelle økonomiske situation. Den tyske lovgiver synes at have anerkendt dette problem og at have draget de rigtige konklusioner heraf ved at fastsætte en væsentligt kortere opbevaringsperiode for oplysningerne.

87.

Endelig mener jeg, at kreditoplysningsbureauernes fremgangsmåde er i strid med princippet om dataminimering, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra c), hvorefter personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. I denne henseende opstår nemlig spørgsmålet om, hvad meningen er med at stille personoplysninger til rådighed, som allerede er offentligt tilgængelige i de registre, som medlemsstaterne har oprettet. En sådan aktivitet forekommer mig snarere at kunne medføre en udbredelse af følsomme oplysninger, som ikke er tvingende nødvendig for at tilgodese de erhvervsdrivendes kommercielle interesser ( 44 ).

88.

Af de ovenfor anførte grunde er det min opfattelse, at et privat kreditoplysningsbureaus opbevaring af disse oplysninger ikke udgør en praksis, der er i overensstemmelse med princippet om formålsbegrænsning og princippet om dataminimering, der er fastsat i henholdsvis litra b) og c) i databeskyttelsesforordningens artikel 5, stk. 1.

89.

Ovenstående analyse foranlediger mig til at konkludere, at kreditoplysningsbureauernes praksis, som består i at opbevare personoplysninger fra offentlige registre i en periode på tre år, ikke er i overensstemmelse med databeskyttelsesforordningens principper for behandling af personoplysninger. Det skal dog præciseres, at denne konklusion er baseret på en vurdering af de faktiske omstændigheder, som det i sidste ende tilkommer den forelæggende ret, der skal afgøre tvisten, at foretage.

90.

Den forelæggende ret ønsker ligeledes oplyst, om »retten til at blive glemt«, der er fastsat i databeskyttelsesforordningens artikel 17, indebærer, at personoplysninger slettes fra et privat kreditoplysningsbureaus databaser, der findes parallelt med de offentlige registre og indeholder de samme oplysninger. Den forelæggende ret sondrer mellem den periode, hvor personoplysningerne ligeledes er tilgængelige i det offentlige register, og den periode, hvor disse oplysninger ikke længere er tilgængelige i det offentlige register.

91.

Databeskyttelsesforordningens artikel 17, stk. 1, litra d), fastsætter den registreredes absolutte ret til, at vedkommendes personoplysninger slettes, når de er blevet behandlet ulovligt ( 45 ). Såfremt den forelæggende ret, henset til den konklusion, som jeg er nået frem til i forbindelse med min analyse ( 46 ), måtte finde, at SCHUFA ikke har kunnet behandle sagsøgernes personoplysninger lovligt på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), ville en sådan behandling følgelig være ulovlig, hvis ingen anden af de i databeskyttelsesforordningens artikel 6, stk. 1, omhandlede grunde gør sig gældende. I et sådant tilfælde er SCHUFA forpligtet til at slette sagsøgernes personoplysninger, og sagsøgerne har en ret i denne henseende, uanset om de har anmodet om sletning af oplysningerne i perioden forud for eller efter oplysningernes sletning fra det offentlige register. Et sådant resultat synes ligeledes at være i overensstemmelse med kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e), hvorefter personoplysninger skal »opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles« (min fremhævelse).

92.

Jeg skal i denne forbindelse henlede opmærksomheden på artikel 79, stk. 5, i forordning 2015/848, der fremhæver den betydning, som EU-lovgiver har tillagt retten til sletning, navnlig når myndighederne behandler særligt følsomme personoplysninger, såsom oplysninger om de registreredes kreditværdighed. I henhold til denne bestemmelse underretter medlemsstaterne »[s]om led i de oplysninger, der bør stilles til rådighed for registrerede med henblik på at sætte dem i stand til at udøve deres rettigheder, og navnlig retten til sletning af oplysninger, […] de registrerede om den tilgængelighedsperiode, som er fastsat for personlige oplysninger, der opbevares i insolvensregistre« (min fremhævelse). EU-lovgiver har åbenbart anerkendt nødvendigheden af at slette denne type oplysninger, når deres opbevaring ikke længere er begrundet.

93.

Selv om anmodningerne om præjudiciel afgørelse kun vedrører fortolkningen af databeskyttelsesforordningens artikel 17, stk. 1, litra d), mener jeg, at litra c) i dette stk. 1 ligeledes kan være relevant med henblik på den dom, der skal afsiges i de foreliggende sager, nemlig i det tilfælde, hvor den forelæggende ret – i modsætning til den konklusion, som jeg er nået frem til på grundlag af de foreliggende oplysninger – måtte være af den opfattelse, at SCHUFA har kunnet behandle sagsøgernes personoplysninger lovligt i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f). Denne bestemmelse fastsætter retten til sletning af personoplysninger, når den registrerede gør indsigelse mod behandlingen i henhold til databeskyttelsesforordningens artikel 21, stk. 1, og der ikke foreligger vægtige legitime grunde til behandlingen. Denne formulering indebærer, at alle »vægtige legitime grunde til behandlingen« udgør en undtagelse fra den registreredes ret til at gøre indsigelse mod behandlingen og til at få slettet sine personoplysninger. Følgelig formodes den registrerede at have en ret til at gøre indsigelse mod behandlingen og en ret til sletning, medmindre der foreligger vægtige legitime grunde ( 47 ).

94.

Det er min opfattelse, at der af hensyn til en effektiv beskyttelse af personoplysninger ikke bør være væsentlige hindringer for udøvelsen af retten til sletning, navnlig når der på markedet findes flere kreditoplysningsbureauer, der opbevarer oplysninger parallelt med det offentlige register. Hvis udøvelsen af denne ret gøres uforholdsmæssigt vanskelig som følge af en streng fortolkning af databeskyttelsesforordningens artikel 17, stk. 1, er der risiko for, at den beskyttelse, som databeskyttelsesforordningen har til formål at sikre, omgås af konkurrenter. Det skal imidlertid anføres, at EU-lovgiver har haft til formål at sikre, at »reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen« (min fremhævelse), således som det fremgår af 10. betragtning til databeskyttelsesforordningen. Den registrerede skal derfor være i stand til at gøre sine rettigheder gældende over for alle de selskaber, der overtræder disse regler. Eftersom SCHUFA kun er et af de mange store kreditoplysningsbureauer i Tyskland, er det nødvendigt at fastslå, om opbevaringen af personoplysninger sideløbende med det offentlige register udgør en udbredt praksis blandt disse selskaber.

95.

Det skal derfor på dette trin i analysen fastholdes, at sagsøgerne principielt kan påberåbe sig en ret til sletning i henhold til databeskyttelsesforordningens artikel 17, stk. 1. Resultatet vil kun være et andet, såfremt det er lykkedes for et privat kreditoplysningsbureau at »[påvise] vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder«, som omhandlet i databeskyttelsesforordningens artikel 21, stk. 1. For så vidt som de foreliggende oplysninger ikke gør det muligt at få øje på de vægtige grunde, der måtte være i tvisterne i hovedsagerne, tilkommer det den forelæggende ret at fastlægge de faktiske omstændigheder og i givet fald foretage en afvejning af de involverede interesser.

96.

Henset til ovenstående betragtninger skal databeskyttelsesforordningens artikel 17, stk. 1, litra d), fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis disse oplysninger er blevet behandlet ulovligt i henhold til denne forordnings artikel 6, stk. 1. Databeskyttelsesforordningens artikel 17, stk. 1, litra c), skal fortolkes således, at den registrerede principielt har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis vedkommende gør indsigelse mod behandlingen i henhold til denne forordnings artikel 21, stk. 1. Det tilkommer den forelæggende ret at undersøge, om der undtagelsesvis foreligger vægtige legitime grunde til behandlingen.

97.

Den forelæggende ret ønsker ligeledes oplyst, om det er i overensstemmelse med EU-retten i en adfærdskodeks som omhandlet i databeskyttelsesforordningens artikel 40 at fastsætte frister for kontrol og sletning, der går ud over opbevaringsfristerne for offentlige registre, uden at det er nødvendigt at foretage den afvejning, der er fastsat i denne forordnings artikel 6, stk. 1, første afsnit, litra f).

98.

I denne henseende skal det indledningsvis nævnes, at der ifølge den forelæggende ret på nuværende tidspunkt ikke findes nogen national lovgivning, der fastsætter fristerne for sletning for de databaser, der føres af kreditoplysningsbureauer. Det ser imidlertid ud til, at de berørte parter opfatter den adfærdskodeks, som tilsynsmyndighederne har vedtaget sammen med sammenslutningen af kreditoplysningsbureauer, som en form for »retsgrundlag«, der kan legitimere den ovenfor beskrevne praksis. En sådan opfattelse forekommer mig at være kritisabel i retlig henseende af følgende grunde.

99.

Juridisk set udgør en sådan adfærdskodeks kun et frivilligt engagement for dem, der har udarbejdet og vedtaget den, dvs. den ovennævnte sammenslutning og dens medlemmer. På samme måde indebærer den omstændighed, at denne adfærdskodeks er blevet godkendt af en tilsynsmyndighed, alene, at denne i sin egenskab af administrativ myndighed anser sig for at være bundet af nævnte adfærdskodeks. Det forekommer mig imidlertid indlysende, at den ikke er bindende i forhold til tredjemand i henhold til det retlige princip »pacta tertiis nec nocent nec prosunt«. I modsat fald ville ikke blot fysiske personer, hvis oplysninger behandles, men også selskaber, som ikke har deltaget i udarbejdelsen af en sådan adfærdskodeks, være berørt.

100.

En adfærdskodeks har pr. definition ikke normativ værdi i en retsorden, men har snarere til formål at præcisere bestemmelserne i en normativ retsakt for at lette dens anvendelse. Denne fortolkning understøttes af databeskyttelsesforordningens artikel 40, stk. 1 og 2, hvoraf det fremgår, at de adfærdskodekser, der kan udarbejdes af sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, dels »bidrager til korrekt anvendelse«, dels »specificere[r] anvendelsen« af forordningen (min fremhævelse). For så vidt som den omhandlede adfærdskodeks begrænser sig til at sikre den korrekte anvendelse af databeskyttelsesforordningen inden for en bestemt sektor, kan den således ikke i sig selv udgøre retsgrundlaget for en behandling af personoplysninger ( 48 ).

101.

Det retsgrundlag, der begrunder en sådan behandling, kan kun findes i databeskyttelsesforordningens artikel 6 eller, hvis der foreligger en gældende åbningsbestemmelse, i national ret. Jeg har allerede i nærværende forslag til afgørelse anført, at databeskyttelsesforordningens artikel 6 indeholder en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig ( 49 ). Følgelig kan adfærdskodeksens regler ikke medføre en udvidelse af denne liste uden samtidig at tilsidesætte EU-retten.

102.

Det forekommer mig imidlertid, at dette netop er tilfældet, når disse regler, som det er tilfældet i den foreliggende sag, pålægger kreditoplysningsbureauerne en forpligtelse til at opbevare de registreredes oplysninger i en periode på tre år, dvs. i en længere periode, der ikke kan begrundes i henhold til de principper for behandling af personoplysninger, der er fastsat i databeskyttelsesforordningen. Som jeg har påvist i forbindelse med min analyse, kan opbevaringen af disse oplysninger nærmere bestemt ikke anses for at være lovlig på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), i den periode, der følger efter sletningen af personoplysninger om insolvens fra offentlige registre ( 50 ).

103.

Det skal derfor på dette trin i analysen antages, at adfærdskodekser, der fører til et andet resultat end det, der ville være opnået i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), ikke kan tages i betragtning ved den afvejning, der foretages i henhold til denne bestemmelse. Som »dataansvarlige« i henhold til databeskyttelsesforordningens artikel 4, nr. 7), kan kreditoplysningsbureauerne ikke forskanse sig bag reglerne i den adfærdskodeks, som de selv har udarbejdet, for på gyldig vis at frigøre sig fra deres forpligtelser i henhold til denne forordning.

104.

Henset til ovenstående betragtninger er det min opfattelse, at databeskyttelsesforordningens artikel 40, stk. 2 og 5, skal fortolkes således, at adfærdskodekser, der er udarbejdet i overensstemmelse med disse bestemmelser og eventuelt godkendt af tilsynsmyndigheden, ikke på juridisk bindende vis kan fastsætte betingelser for lovlig behandling af personoplysninger, der adskiller sig fra de betingelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1.

105.

På baggrund af ovenstående betragtninger foreslår jeg Domstolen at besvare de af Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) forelagte præjudicielle spørgsmål som følger: