–

UZ ved Rechtsanwalt J. Leuschner,

–

den tyske regering ved J. Möller og P.-L. Krüger, som befuldmægtigede,

–

den tjekkiske regering ved O. Serdula, M. Smolek og J. Vláčil, som befuldmægtigede,

–

den franske regering ved A.-L. Desjonquères og J. Illouz, som befuldmægtigede,

–

den østrigske regering ved A. Posch, M.-T. Rappersberger og J. Schmoll, som befuldmægtigede,

–

den polske regering ved B. Majczyna, som befuldmægtiget,

–

Europa-Kommissionen ved A. Bouchagiar, F. Erlbacher og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 5, artikel 17, stk. 1, litra d), artikel 18, stk. 1, litra b), samt artikel 26 og 30 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem UZ, der er tredjelandsstatsborger, og Bundesrepublik Deutschland (Forbundsrepublikken Tyskland), repræsenteret ved Bundesamt für Migration und Flüchtlinge (forbundskontoret for migration og flygtninge, Tyskland) (herefter »Bundesamt«), vedrørende behandlingen af den ansøgning om international beskyttelse, som UZ har indgivet.

3

Følgende er anført i 52. betragtning til Europa-Parlamentets og Rådets direktiv 2013/32/EU af 26. juni 2013 om fælles procedurer for tildeling og fratagelse af international beskyttelse (omarbejdning) (EUT 2013, L 180, s. 60):

»Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger [(EFT 1995, L 281, s. 31)] gælder for medlemsstaternes behandling af personoplysninger i henhold til dette direktiv.«

4

1., 10., 40., 74., 79. og 82. betragtning til databeskyttelsesforordningen har følgende ordlyd:

[…]

[…]

[…]

[…]

[…]

5

Databeskyttelsesforordningens kapitel I, der har overskriften »Generelle bestemmelser«, indeholder artikel 1-4.

6

Forordningens artikel 1 med overskriften »Genstand og formål« har følgende ordlyd:

»1.   I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2.   Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

[…]«

7

Forordningens artikel 4 med overskriften »Definitioner« bestemmer følgende i nr. 2), 7) og 21):

[…]

[…]

[…]«

8

Databeskyttelsesforordningens kapitel II, der har overskriften »Principper«, indeholder forordningens artikel 5-11.

9

Forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter:

»1.   Personoplysninger skal:

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

10

Forordningens artikel 6 med overskriften »Lovlig behandling« bestemmer følgende i stk. 1:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.«

11

Databeskyttelsesforordningens artikel 7 vedrører betingelserne for samtykke, mens forordningens artikel 8 fastsætter betingelserne for et barns samtykke i forbindelse med informationssamfundstjenester.

12

Forordningens artikel 9 med overskriften »Behandling af særlige kategorier af personoplysninger« forbyder behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

13

Forordningens artikel 10 med overskriften »Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser« vedrører behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af forordningens artikel 6, stk. 1.

14

Databeskyttelsesforordningens kapitel III, der har overskriften »Den registreredes rettigheder«, indeholder artikel 12-23.

15

Forordningens artikel 17 med overskriften »Ret til sletning (»retten til at blive glemt«)« har følgende ordlyd:

»1.   Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

[…]

[…]

3.   Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

[…]

[…]

16

Forordningens artikel 18 med overskriften »Ret til begrænsning af behandling« har følgende ordlyd:

»1.   Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:

[…]

[…]

2.   Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hensyn til Unionens eller en medlemsstats vigtige samfundsinteresser.

[…]«

17

Databeskyttelsesforordningens kapitel IV, der har overskriften »Dataansvarlig og databehandler«, indeholder artikel 24-43.

18

Dette kapitels afdeling 1 med overskriften »Generelle forpligtelser« omfatter forordningens artikel 26, der har overskriften »Fælles dataansvarlige« og er affattet som følger:

»1.   Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.«

19

Forordningens artikel 30 med overskriften »Fortegnelser over behandlingsaktiviteter« fastsætter:

»1.   Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:

[…]

4.   Den dataansvarlige eller databehandleren samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant stiller efter anmodning fortegnelserne til rådighed for tilsynsmyndigheden.

[…]«

20

I databeskyttelsesforordningens kapitel VI med overskriften »Uafhængige tilsynsmyndigheder« bestemmes i artikel 58, der har overskriften »Beføjelser«, følgende i stk. 2:

»Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

21

Databeskyttelsesforordningens kapitel VIII, der har overskriften »Retsmidler, ansvar og sanktioner«, indeholder artikel 77-84.

22

Forordningens artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« bestemmer følgende i stk. 1:

»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«

23

Databeskyttelsesforordningens artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« fastsætter følgende i stk. 1 og 2:

»1.   Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2.   Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser.«

24

Forordningens artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« bestemmer følgende i stk. 4, 5 og 7:

»4.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 10000000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

[…]

5.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20000000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

[…]

7.   Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til artikel 58, stk. 2, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.«

25

I forordningens kapitel XI med overskriften »Afsluttende bestemmelser« bestemmes i artikel 94, der har overskriften »Ophævelse af direktiv 95/46/EF«, følgende:

»1.   Direktiv 95/46/EF ophæves med virkning fra den 25. maj 2018.

2.   Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. Henvisninger til Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, gælder som henvisninger til Det Europæiske Databeskyttelsesråd oprettet ved denne forordning.«

26

§ 43 i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) af 20. december 1990 (BGBl. 1990 I, s. 2954), i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »BDSG«), med overskriften »Bestemmelser om administrative bøder« fastsætter følgende i stk. 3:

»Offentlige myndigheder og andre offentlige organer som omhandlet i [BDSG’s] § 2, stk. 1, kan ikke pålægges administrative bøder.«

27

Den 7. maj 2019 indgav sagsøgeren i hovedsagen en ansøgning om international beskyttelse til Bundesamt, som afslog denne ansøgning.

28

Bundesamt traf sin afgørelse om afslag (herefter »den omtvistede afgørelse«) på grundlag af den elektroniske sagsmappe i »MARIS«, som kontoret havde oprettet, og som indeholder personoplysninger vedrørende sagsøgeren i hovedsagen.

29

Sagsøgeren i hovedsagen anlagde et søgsmål til prøvelse af den omtvistede afgørelse ved Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland), som er den forelæggende ret i denne sag. Den elektroniske sagsmappe i »MARIS« blev herefter som led i en fælles procedure i henhold til databeskyttelsesforordningens artikel 26 videregivet til den forelæggende ret via domstolenes og forvaltningens elektroniske postkasse (Elektronisches Gerichts- und Verwaltungspostfach), der administreres af et offentligt organ, som er en del af den udøvende magt.

30

Den forelæggende ret har anført, at det fremgår af 52. betragtning til direktiv 2013/32, at medlemsstaternes behandling af personoplysninger i forbindelse med procedurer for tildeling af international beskyttelse er reguleret af databeskyttelsesforordningen.

31

Den forelæggende ret er imidlertid i tvivl om, hvorvidt Bundesamts førelse af den elektronisk sagsmappe, som kontoret har oprettet, og videregivelsen af denne til den forelæggende ret via domstolenes og forvaltningens elektroniske postkasse er i overensstemmelse med denne forordning.

32

Hvad for det første angår førelsen af den elektroniske sagsmappe er det ikke blevet godtgjort, at Bundesamt overholder bestemmelserne i databeskyttelsesforordningens artikel 5, stk. 1, sammenholdt med artikel 30 heri. På trods af en anmodning herom fra den forelæggende ret har Bundesamt nemlig ikke fremlagt en fuldstændig fortegnelse over behandlingsaktiviteter i forbindelse med denne sagsmappe. En sådan fortegnelse burde imidlertid have været udarbejdet på tidspunktet for behandlingen af de personoplysninger, der vedrører sagsøgeren i hovedsagen, dvs. på tidspunktet for dennes indgivelse af sin ansøgning om international beskyttelse. Bundesamt bør høres om spørgsmålet om kontorets ansvar i henhold til databeskyttelsesforordningens artikel 5, stk. 2, efter at Domstolen har truffet afgørelse vedrørende den foreliggende anmodning om præjudiciel afgørelse.

33

Hvad for det andet angår videregivelsen af den elektroniske sagsmappe via domstolenes og forvaltningens elektroniske postkasse udgør en sådan videregivelse en »behandling« af oplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), som skal være i overensstemmelse med de principper, der er angivet i forordningens artikel 5. I strid med forordningens artikel 26 er der imidlertid ingen national lovgivning, der regulerer denne procedure for videregivelse mellem de administrative myndigheder og domstolene ved at fastlægge de fælles dataansvarliges respektive ansvar for behandlingen, og Bundesamt har ikke fremlagt nogen ordning herfor, på trods af den forelæggende rets fremsendelse af en anmodning herom. Den forelæggende ret ønsker således oplyst, om denne overførsel af oplysninger via domstolenes og forvaltningens elektroniske postkasse er lovlig.

34

Ifølge den forelæggende ret skal det navnlig afgøres, om tilsidesættelsen af de forpligtelser, der er fastsat i databeskyttelsesforordningens artikel 5, 26 og 30 – der medfører, at behandlingen af personoplysningerne er ulovlig – skal sanktioneres med sletning af disse oplysninger i overensstemmelse med forordningens artikel 17, stk. 1, litra d), eller med begrænsning af behandlingen i overensstemmelse med artikel 18, stk. 1, litra b). Sådanne sanktioner bør i det mindste komme i betragtning i tilfælde af en anmodning fra den registrerede. I modsat fald ville den forelæggende ret blive tvunget til at deltage i en ulovlig behandling af disse oplysninger i forbindelse med retssagen. I et sådant tilfælde ville alene tilsynsmyndigheden kunne gribe ind i medfør af databeskyttelsesforordningens artikel 58 og pålægge de offentlige myndigheder en administrativ bøde i henhold til forordningens artikel 83, stk. 5, litra a). Imidlertid kan der i henhold til BDSG’s § 43, stk. 3, der gennemfører forordningens artikel 83, stk. 7, på nationalt plan ikke pålægges offentlige myndigheder og andre offentlige organer administrative bøder. Det følger heraf, at hverken direktiv 2013/32 eller databeskyttelsesforordningen er overholdt.

35

Den forelæggende ret er desuden af den opfattelse, at den i hovedsagen omhandlede behandling ikke er omfattet af databeskyttelsesforordningens artikel 17, stk. 3, litra e), som tillader anvendelse af personoplysninger med henblik på, at sagsøgtes retskrav kan fastlægges, gøres gældende eller forsvares. I det foreliggende tilfælde blev oplysningerne ganske vist anvendt af Bundesamt med henblik på, i overensstemmelse med forordningens artikel 17, stk. 3, litra b), at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller den nationale ret, som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Hvis denne bestemmelse blev anvendt, ville det imidlertid svare til varigt at lovliggøre en praksis, der er i strid med databeskyttelseslovgivningen.

36

Den forelæggende ret ønsker derfor oplyst, i hvilket omfang den i forbindelse med sin judicielle virksomhed kan tage hensyn til personoplysninger, der er afgivet i forbindelse med en sådan procedure, der henhører under den udøvende magt. Hvis førelsen eller videregivelsen af den elektroniske sagsmappe via domstolenes og forvaltningens elektroniske postkasse skal kvalificeres som en ulovlig behandling efter databeskyttelsesforordningen, vil den forelæggende ret nemlig ved at tage disse personoplysninger i betragtning deltage i den omhandlede ulovlige behandling, hvilket vil være i strid med det formål, der forfølges med denne forordning, og som er at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og navnlig deres ret til beskyttelse af personoplysninger.

37

I denne henseende ønsker den forelæggende ret endvidere oplyst, om den omstændighed, at den registrerede har givet sit udtrykkelige samtykke til eller modsætter sig anvendelsen af sine personoplysninger i forbindelse med en retssag, har betydning for, om disse oplysninger kan tages i betragtning. Såfremt den forelæggende ret ikke kan tage oplysningerne i den elektroniske sagsmappe i »MARIS« i betragtning på grund af de ulovligheder, som førelsen og videregivelsen af denne sagsmappe er behæftet med, vil der – indtil disse ulovligheder eventuelt er afhjulpet – ikke være noget retsgrundlag for at træffe en afgørelse om sagsøgeren i hovedsagens ansøgning med henblik på tildeling af flygtningestatus. Følgelig må den forelæggende ret annullere den omtvistede afgørelse.

38

På denne baggrund har Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

39

Den tyske regering har uden formelt at fremsætte en formalitetsindsigelse udtrykt tvivl om, hvorvidt de præjudicielle spørgsmål er relevante for afgørelsen af tvisten i hovedsagen. Indledningsvis fremgår det af forelæggelsesafgørelsen, at det ikke er endeligt fastslået, at Bundesamt har tilsidesat databeskyttelsesforordningens artikel 5 stk. 2, idet den forelæggende ret blot formoder, at dette er tilfældet. Dernæst har den forelæggende ret ikke anført, at alene Bundesamts sagsakter – forudsat at den ikke må anvende disse – er afgørende for afgørelsen af denne tvist. Den forelæggende ret har nemlig også andre kilder til oplysninger, som i henhold til princippet om oplysning af sagen ex officio bør udnyttes fuldt ud, når en myndighed ikke fremlægger sagsakter, eller når disse er ufuldstændige. Endelig er det tredje spørgsmål åbenbart hypotetisk, eftersom det ikke fremgår af forelæggelsesafgørelsen, at sagsøgeren i hovedsagen har givet samtykke til eller samtykker i den forelæggende rets brug af vedkommendes personoplysninger.

40

Det bemærkes, at ifølge Domstolens faste praksis foreligger der en formodning for, at spørgsmål om EU-retten er relevante. Domstolen kan kun afvise at træffe afgørelse om et præjudicielt spørgsmål forelagt af en national ret, såfremt det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan give en hensigtsmæssig besvarelse af de forelagte spørgsmål, eller såfremt problemet er af hypotetisk karakter. Inden for rammerne af proceduren i henhold til artikel 267 TEUF, som er baseret på en klar adskillelse mellem de nationale retters og Domstolens funktioner, er det endvidere alene den nationale ret, der har kompetence til at fastlægge og vurdere hovedsagens faktiske omstændigheder (jf. bl.a. dom af 24.3.2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, præmis 20 og 21 og den deri nævnte retspraksis).

41

Som det klart fremgår af artikel 267, stk. 2, TEUF, tilkommer det i forbindelse med det tætte samarbejde mellem de nationale retter og Domstolen, som er baseret på en indbyrdes fordeling af disses opgaver, den forelæggende ret at afgøre, på hvilket stadium af retsforhandlingerne det er hensigtsmæssigt for den at forelægge et præjudicielt spørgsmål for Domstolen (dom af 17.7.2008, Coleman, C-303/06, EU:C:2008:415, præmis 29 og den deri nævnte retspraksis).

42

Domstolen har nærmere bestemt allerede i denne henseende fastslået, at den omstændighed, at faktiske spørgsmål hidtil ikke har været genstand for bevisførelse ved en kontradiktorisk procedure, ikke i sig selv er af en sådan karakter, at den indebærer, at et præjudicielt spørgsmål ikke kan antages til realitetsbehandling (jf. i denne retning dom af 11.9.2014, Österreichischer Gewerkschaftsbund, C-328/13, EU:C:2014:2197, præmis 19 og den deri nævnte retspraksis).

43

Selv om det i det foreliggende tilfælde fremgår af anmodningen om præjudiciel afgørelse, at den forelæggende ret ikke har truffet endelig afgørelse om, hvorvidt Bundesamt har tilsidesat sine forpligtelser i henhold til databeskyttelsesforordningens artikel 5, stk. 2, sammenholdt med denne forordnings artikel 26 og 30, idet dette aspekt af tvisten i hovedsagen ifølge oplysningerne i denne anmodning endnu ikke har været genstand for en kontradiktorisk forhandling, står det fast, at den forelæggende ret har fastslået, at hverken den ordning for den fælles behandling af oplysningerne eller de fortegnelser over behandlingsaktiviteter, som er omhandlet i de to sidstnævnte bestemmelser, er blevet fremlagt af Bundesamt som dataansvarlig, på trods af den forelæggende rets anmodning herom til Bundesamt.

44

Det fremgår i øvrigt af forelæggelsesafgørelsen, at den forelæggende ret, som det alene påhviler at fastslå og vurdere de faktiske omstændigheder, er af den opfattelse, at den omtvistede afgørelse er blevet truffet alene på grundlag af den elektroniske sagsmappe oprettet af Bundesamt, som det muligvis var i strid med reglerne i den nævnte forordning at føre og videregive, således at afgørelsen af denne grund eventuelt skal annulleres.

45

Hvad endelig angår sagsøgeren i hovedsagens samtykke til anvendelsen af vedkommendes personoplysninger i forbindelse med retssagen er det tilstrækkeligt at bemærke, at det tredje præjudicielle spørgsmål netop skal afklare, om det i det foreliggende tilfælde er nødvendigt, at der er givet udtryk for et sådant samtykke, for at den forelæggende ret kan tage disse oplysninger i betragtning.

46

Under disse omstændigheder skal Domstolen, eftersom den har fået forelagt en anmodning om fortolkning af EU-retten, som ikke klart er uden forbindelse med realiteten i hovedsagen eller dennes genstand, og eftersom den råder over de nødvendige elementer til at kunne give en hensigtsmæssig besvarelse af de forelagte spørgsmål vedrørende databeskyttelsesforordningens betydning for tvisten i hovedsagen, besvare spørgsmålene uden selv at tage stilling til den formodning vedrørende de faktiske omstændigheder, som den forelæggende ret har baseret sig på, og som det tilkommer denne at efterprøve efterfølgende, såfremt det måtte vise sig nødvendigt (jf. analogt dom af 17.7.2008, Coleman, C-303/06, EU:C:2008:415, præmis 31 og de deri nævnte retspraksis).

47

Følgelig skal det fastslås, at den foreliggende anmodning om præjudiciel afgørelse kan antages til realitetsbehandling, og de spørgsmål, som den forelæggende ret har stillet, skal besvares, idet det bemærkes, at det dog påhviler den forelæggende ret at efterprøve, om Bundesamt har tilsidesat sine forpligtelser i henhold til databeskyttelsesforordningens artikel 26 og 30.

48

Den forelæggende ret ønsker med det første spørgsmål nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), skal fortolkes således, at den dataansvarliges tilsidesættelse af de forpligtelser, der er fastsat i denne forordnings artikel 26 og 30, vedrørende henholdsvis indgåelse af en ordning, som fastlægger det fælles ansvar for behandlingen, og førelse af fortegnelser over behandlingsaktiviteter, udgør en ulovlig behandling, som giver den registrerede ret til sletning eller begrænsning af behandlingen, eftersom en sådan tilsidesættelse indebærer, at den dataansvarlige tilsidesætter princippet om »ansvarlighed« som fastsat i forordningens artikel 5, stk. 2.

49

Ifølge Domstolens faste praksis skal der ved fortolkningen af en EU-retlig bestemmelse ikke blot tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den ordning, som den udgør en del af (jf. i denne retning bl.a. dom af 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, præmis 32 og den deri nævnte retspraksis).

50

Hvad for det første angår ordlyden af de relevante EU-retlige bestemmelser bemærkes, at den registrerede i medfør af databeskyttelsesforordningens artikel 17, stk. 1, litra d), har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis personoplysningerne er blevet »behandlet ulovligt«.

51

I henhold til databeskyttelsesforordningens artikel 18, stk. 1, litra b), har den registrerede ligeledes, hvis den pågældende modsætter sig sletning af oplysningerne og i stedet anmoder om, at anvendelsen heraf begrænses, ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis »behandlingen er ulovlig«.

52

De bestemmelser, der er nævnt i de to foregående præmisser, skal sammenholdes med forordningens artikel 5, stk. 1, hvorefter der ved behandlingen af personoplysninger skal overholdes en række principper, som er angivet i denne bestemmelse, herunder det i forordningens artikel 5, stk. 1, litra a), anførte princip om, at personoplysninger skal »behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede«.

53

I henhold til databeskyttelsesforordningens artikel 5, stk. 2, er den dataansvarlige i overensstemmelse med det princip om »ansvarlighed«, som er fastsat i denne bestemmelse, ansvarlig for overholdelsen af denne artikels stk. 1 og skal kunne påvise, at vedkommende overholder alle de principper, der er fastsat i nævnte stk. 1, idet bevisbyrden herfor således påhviler den pågældende (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 77, 78 og 81).

54

Det følger heraf, at den dataansvarlige i henhold til databeskyttelsesforordningens artikel 5, stk. 2, sammenholdt med denne artikels stk. 1, litra a), skal sikre, at vedkommendes behandling af oplysningerne er »lovlig«.

55

Det skal imidlertid fastslås, at spørgsmålet om, hvad der er lovlig behandling, netop er reguleret i databeskyttelsesforordningens artikel 6, således som det fremgår af selve overskriften til denne bestemmelse, der fastsætter, at behandling kun er lovlig, hvis mindst ét af de forhold, der er angivet i denne artikels stk. 1, første afsnit, litra a)-f), gør sig gældende, nemlig – således som det ligeledes fremgår af 40. betragtning til forordningen – enten at den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål, eller at behandling er nødvendig af hensyn til et af de omhandlede formål, der vedrører henholdsvis opfyldelse af en kontrakt, som den registrerede er part i, eller gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt, overholdelse af en retlig forpligtelse, som påhviler den dataansvarlige, beskyttelse af den registreredes eller en anden fysisk persons vitale interesser, udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, og den dataansvarliges eller en tredjemands forfølgelse af en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor.

56

Denne liste over tilfælde, hvor en behandling af personoplysninger kan anses for at være lovlig, er udtømmende og fuldstændig, og behandlingen skal således, for at kunne anses for at være lovlig, være omfattet af et af de tilfælde, der er omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 99 og den deri nævnte retspraksis, og af 8.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Formål med behandling af personoplysninger – strafferetlig efterforskning), C-180/21, EU:C:2022:967, præmis 83).

57

Ifølge Domstolens praksis skal enhver behandling af personoplysninger således foregå i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i denne forordnings artikel 5, stk. 1, og opfylde de betingelser for lovlig behandling, som er opstillet i forordningens artikel 6 (jf. bl.a. dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 208, af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 96, og af 20.10.2022, Digi, C-77/21, EU:C:2022:805, præmis 49 og 56).

58

For så vidt som databeskyttelsesforordningens artikel 7-11, der ligesom artikel 5 og 6 er indeholdt i denne forordnings kapitel II om principper, har til formål at præcisere rækkevidden af de forpligtelser, der påhviler den dataansvarlige i henhold til forordningens artikel 5, stk. 1, litra a), og artikel 6, stk. 1, skal behandlingen af personoplysninger, for at være lovlig, i øvrigt også, således som det fremgår af Domstolens praksis, foregå under overholdelse af disse andre bestemmelser i det nævnte kapitel, der i det væsentlige vedrører samtykke, behandling af særlige kategorier af følsomme personoplysninger og behandling af personoplysninger vedrørende straffedomme og lovovertrædelser (jf. i denne retning dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 72-75, og af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 100, 102 og 106).

59

Det skal imidlertid fastslås, således som samtlige regeringer, der har indgivet skriftlige indlæg, og Europa-Kommissionen har anført, at den dataansvarliges overholdelse af forpligtelsen til at indgå en ordning om fastlæggelse af det fælles ansvar for behandling, jf. databeskyttelsesforordningens artikel 26, og af forpligtelsen til at føre fortegnelser over behandlingsaktiviteter, jf. denne forordnings artikel 30, ikke er blandt de i forordningens artikel 6, stk. 1, første afsnit, nævnte forhold, der gør behandlingen lovlig.

60

Desuden har databeskyttelsesforordningens artikel 26 og 30, til forskel fra artikel 7-11, ikke til formål at præcisere rækkevidden af de krav, der er fastsat i forordningens artikel 5, stk. 1, litra a), og artikel 6, stk. 1.

61

Det kan derfor af selve ordlyden af databeskyttelsesforordningens artikel 5, stk. 1, litra a), og artikel 6, stk. 1, første afsnit, udledes, at den dataansvarliges tilsidesættelse af de forpligtelser, der er fastsat i forordningens artikel 26 og 30, ikke udgør en »ulovlig behandling« som omhandlet i artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), som ville følge af den dataansvarliges tilsidesættelse af princippet om »ansvarlighed« som fastsat i samme forordnings artikel 5, stk. 2.

62

Denne fortolkning understøttes for det andet af den sammenhæng, hvori disse forskellige bestemmelser indgår. Det fremgår nemlig klart af selve strukturen af databeskyttelsesforordningen og dermed af dens opbygning, at der heri sondres mellem for det første »principper«, der er omhandlet i kapitel II, som bl.a. omfatter artikel 5 og 6, og for det andet »generelle forpligtelser«, der indgår i afdeling 1 i forordningens kapitel IV om de dataansvarlige, og som omfatter de forpligtelser, der er fastsat i samme forordnings artikel 26 og 30.

63

Denne sondring kommer desuden til udtryk i databeskyttelsesforordningens kapitel VIII om sanktioner, idet overtrædelser af forordningens artikel 26 og 30 på den ene side og overtrædelser af dens artikel 5 og 6 på den anden side ifølge henholdsvis stk. 4 og 5 i forordningens artikel 83 straffes med administrative bøder på op til et bestemt beløb, der er forskelligt, alt efter hvilket stykke der finder anvendelse, på grund af de respektive overtrædelsers alvorsgrad, som er anerkendt af EU-lovgiver.

64

For det tredje og sidste bestyrkes den ordlydsfortolkning af databeskyttelsesforordningen, som er anført i denne doms præmis 61, af det formål, der forfølges med denne forordning, som fremgår af artikel 1 og første og tiende betragtning til forordningen, og som bl.a. består i at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatliv i forbindelse med behandlingen af personoplysninger, som er fastsat i artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og i artikel 16, stk 1, TEUF (jf. i denne retning dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, præmis 125 og den deri nævnte retspraksis).

65

Det forhold, at der ikke foreligger en ordning, der fastlægger det fælles ansvar, jf. databeskyttelsesforordningens artikel 26, eller fortegnelser over behandlingsaktiviteterne som omhandlet i denne forordnings artikel 30, er nemlig ikke i sig selv tilstrækkeligt til at godtgøre, at den grundlæggende ret til beskyttelse af personoplysninger er blevet tilsidesat. Selv om det nærmere bestemt er korrekt, således som det fremgår af 79. og 82. betragtning til denne forordning, at fortegnelserne over behandlingsaktiviteter og en klar fordeling af ansvarsområderne mellem de fælles dataansvarlige udgør midler til at sikre, at disse dataansvarlige overholder de garantier, der er fastsat ved forordningen for at beskytte de registreredes rettigheder og frihedsrettigheder, forholder det sig ikke mindre således, at det forhold, at sådanne fortegnelser eller en sådan ordning ikke findes, ikke i sig selv viser, at disse rettigheder og frihedsrettigheder er blevet tilsidesat.

66

Det følger heraf, at den dataansvarliges tilsidesættelse af databeskyttelsesforordningens artikel 26 og 30 ikke udgør en »ulovlig behandling« som omhandlet i forordningens artikel 17, stk. 1, litra d), eller artikel 18, stk. 1, litra b), sammenholdt med artikel 5, stk. 1, litra a), og artikel 6, stk. 1, første afsnit, som giver den registrerede ret til sletning eller begrænsning af behandlingen.

67

Således som samtlige regeringer, der har indgivet skriftlige indlæg, og Kommissionen har gjort gældende, skal en sådan tilsidesættelse derfor afhjælpes gennem andre foranstaltninger, der er fastsat i databeskyttelsesforordningen, såsom tilsynsmyndighedens udøvelse af »korrigerende beføjelser« som omhandlet i forordningens artikel 58, stk. 2, bl.a. ved meddelelse af påbud i henhold til denne bestemmelses litra d) om at bringe behandlingsaktiviteterne i overensstemmelse med forordningen, ved indgivelse af klage til tilsynsmyndigheden i henhold til forordningens artikel 77, stk. 1, eller ved erstatning for den skade, som den dataansvarlige eventuelt har forvoldt, i henhold til forordningens artikel 82.

68

Endelig skal det i betragtning af de betænkeligheder, som den forelæggende ret har givet udtryk for, desuden præciseres, at den omstændighed, at pålæggelse af en administrativ bøde i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra i), og artikel 83 i det foreliggende tilfælde vil være udelukket, eftersom national ret forbyder en sådan sanktion over for Bundesamt, ikke er til hinder for en effektiv anvendelse af denne forordning. Det er nemlig i denne henseende tilstrækkeligt at bemærke, at forordningens artikel 83, stk. 7, udtrykkeligt giver medlemsstaterne beføjelse til at fastsætte, hvorvidt og i hvilket omfang sådanne bøder må pålægges offentlige myndigheder og organer. I øvrigt gør de forskellige alternative foranstaltninger, der er fastsat i databeskyttelsesforordningen, jf. den foregående præmis, det muligt at sikre en sådan effektiv anvendelse.

69

Følgelig skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), skal fortolkes således, at den dataansvarliges tilsidesættelse af de forpligtelser, der er fastsat i denne forordnings artikel 26 og 30, vedrørende henholdsvis indgåelse af en ordning, som fastlægger det fælles ansvar for behandlingen, og førelse af fortegnelser over behandlingsaktiviteter, ikke udgør en ulovlig behandling, som giver den registrerede ret til sletning eller begrænsning af behandlingen, eftersom en sådan tilsidesættelse ikke som sådan indebærer, at den dataansvarlige tilsidesætter princippet om »ansvarlighed« som fastsat i forordningens artikel 5, stk. 2, sammenholdt med artikel 5, stk. 1, litra a), og artikel 6, stk. 1, første afsnit, heri.

70

Henset til besvarelsen af det første spørgsmål er det ufornødent at besvare det andet spørgsmål.

71

Den forelæggende ret ønsker med det tredje spørgsmål nærmere bestemt oplyst, om EU-retten skal fortolkes således, at når den ansvarlige for behandlingen af personoplysninger har tilsidesat sine forpligtelser i henhold til databeskyttelsesforordningens artikel 26 eller 30, er lovligheden af en national rets hensyntagen til sådanne oplysninger betinget af den registreredes samtykke.

72

I denne henseende skal det fastslås, at det fremgår klart af selve ordlyden af denne forordnings artikel 6, stk. 1, første afsnit, at den registreredes samtykke, der er omhandlet i dette afsnits litra a), kun udgør ét af de forhold, der gør behandlingen lovlig, idet et sådant samtykke til gengæld ikke kræves i forbindelse med de andre forhold, der gør behandlingen lovlig, som er anført i samme afsnits litra b)-f), og som i det væsentlige vedrører behandlingens nødvendighed for at opfylde bestemte formål (jf. analogt dom af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, præmis 41).

73

Når en domstol udøver den retslige kompetence, som den er tillagt ved national ret, skal den behandling af personoplysninger, som den ser sig foranlediget til at foretage, anses for at være nødvendig til opfyldelse af det formål, der er anført i forordningens artikel 6, stk. 1, første afsnit, litra e), vedrørende udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

74

Eftersom det for det første er tilstrækkeligt, at ét af de forhold, som er angivet i databeskyttelsesforordningens artikel 6, stk. 1, gør sig gældende, for at en behandling af personoplysninger kan anses for at være lovlig, og tilsidesættelse af denne forordnings artikel 26 og 30, således som det er blevet fastslået i denne doms præmis 61, for det andet ikke udgør en ulovlig behandling, er den forelæggende rets hensyntagen til personoplysninger, som Bundesamt måtte have behandlet i strid med de forpligtelser, der er fastsat i de sidstnævnte artikler, ikke betinget af den registreredes samtykke.

75

Følgelig skal det tredje spørgsmål besvares med, at EU-retten skal fortolkes således, at når den ansvarlige for behandlingen af personoplysninger har tilsidesat sine forpligtelser i henhold til databeskyttelsesforordningens artikel 26 eller 30, er lovligheden af en national rets hensyntagen til sådanne oplysninger ikke betinget af den registreredes samtykke.

76

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret: