DOMSTOLENS DOM (Første Afdeling)

7. december 2023 ( *1 )

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, stk. 1, litra a) – princippet om »lovlighed« – artikel 6, stk. 1, første afsnit, litra f) – behandlingens nødvendighed for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse – artikel 17, stk. 1, litra d) – ret til sletning i tilfælde af ulovlig behandling af personoplysninger – artikel 40 – adfærdskodekser – artikel 78, stk. 1 – adgang til effektive retsmidler over for en tilsynsmyndighed – tilsynsmyndighedens afgørelse vedrørende en klage – omfanget af domstolsprøvelsen af denne afgørelse – kreditoplysningsbureauer – opbevaring af oplysninger fra et offentligt register om gældssanering, der er indrømmet en person – opbevaringsperiode«

I de forenede sager C-26/22 og C-64/22,

angående anmodninger om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) ved afgørelser af 23. december 2021 og 31. januar 2022, indgået til Domstolen den 11. januar 2022 og den 2. februar 2022, i sagerne

UF (C-26/22),

AB (C-64/22)

mod

Land Hessen,

procesdeltager:

SCHUFA Holding AG,

har

DOMSTOLEN (Første Afdeling),

sammensat af afdelingsformanden, A. Arabadjiev, og dommerne T. von Danwitz, P.G. Xuereb, A. Kumin (refererende dommer) og I. Ziemele,

generaladvokat: P. Pikamäe,

justitssekretær: fuldmægtig K. Hötzel,

på grundlag af den skriftlige forhandling og efter retsmødet den 26. januar 2023,

efter at der er afgivet indlæg af:

UF og AB ved Rechtsanwälte R. Rohrmoser og S. Tintemann,

Land Hessen ved Rechtsanwälte M. Kottmann og G. Ziegenhorn,

SCHUFA Holding AG ved G. Thüsing og Rechtsanwalt U. Wuermeling,

den tyske regering ved J. Möller og P.-L. Krüger, som befuldmægtigede,

den portugisiske regering ved P. Barros da Costa, J. Ramos og C. Vieira Guerra, som befuldmægtigede,

Europa-Kommissionen ved A. Bouchagiar, F. Erlbacher, H. Kranenborg og W. Wils, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 16. marts 2023,

afsagt følgende

Dom

1

Anmodningerne om præjudiciel afgørelse vedrører fortolkningen af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) og artikel 6, stk. 1, første afsnit, litra f), artikel 17, stk. 1, litra d), artikel 40, artikel 77, stk. 1, og artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2

Anmodningerne er blevet indgivet i forbindelse med to tvister mellem UF (sag C-26/22) og AB (sag C-64/22) på den ene side og Land Hessen (delstaten Hessen, Tyskland) på den anden side vedrørende Hessischer Beauftragter für Datenschutz und Informationsfreiheits (delstaten Hessens ansvarlige for databeskyttelse og informationsfrihed, herefter »HBDI«) afslag på at pålægge SCHUFA Holding UF (herefter »SCHUFA«) at slette oplysninger opbevaret af dette selskab vedrørende gældssaneringer, der er indrømmet UF og AB.

Retsforskrifter

EU-retten

Direktiv 2008/48/EF

3

Følgende fremgår af 26. og 28. betragtning til Europa-Parlamentets og Rådets direktiv 2008/48/EF af 23. april 2008 om forbrugerkreditaftaler og om ophævelse af Rådets direktiv 87/102/EØF (EUT 2008, L 133, s. 66):

»(26)

[...] På et ekspanderende kreditmarked er det navnlig vigtigt, at kreditgivere ikke giver sig af med uansvarlig kreditgivning eller giver kredit uden forudgående vurdering af kreditværdighed, og medlemsstaterne bør udføre den nødvendige overvågning for at undgå sådan adfærd og fastsætte foranstaltninger med henblik på over for kreditgivere at have sanktioner, der gælder, hvis det sker. [...] [K]reditgivere [bør] bære ansvaret for at kontrollere den enkelte forbrugers kreditværdighed. [...]

[...]

(28)

For at vurdere en forbrugers kreditværdighed bør kreditgiveren også søge i relevante databaser; de juridiske og faktiske omstændigheder kan nødvendiggøre søgninger i forskelligartet omfang. For at undgå konkurrenceforvridning mellem kreditgivere bør det sikres, at kreditgivere har adgang til private eller offentlige databaser om forbrugere i en medlemsstat, hvor de ikke er etableret, på vilkår, som er ikke-diskriminerende i forhold til kreditgivere i den pågældende medlemsstat.«

4

Dette direktivs artikel 8 med overskriften »Forpligtelse til at vurdere forbrugerens kreditværdighed« fastsætter følgende i stk. 1:

»Medlemsstaterne sikrer, at kreditgiveren, inden kreditaftalen indgås, vurderer forbrugerens kreditværdighed på grundlag af fyldestgørende oplysninger, der, hvor det er relevant, indhentes hos forbrugeren og, hvor det er nødvendigt, ved søgning i den relevante database. Medlemsstater, hvis lovgivning kræver, at kreditgiveren vurderer forbrugerens kreditværdighed på grundlag af en søgning i den relevante database, kan opretholde denne forpligtelse.«

Direktiv 2014/17/EU

5

Følgende fremgår af 55. og 59. betragtning til Europa-Parlamentets og Rådets direktiv 2014/17/ЕU af 4. februar 2014 om forbrugerkreditaftaler i forbindelse med fast ejendom til beboelse og om ændring af direktiv 2008/48/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 (EUT 2014, L 60, s. 34):

»(55)

Det er af afgørende betydning, at forbrugerens evne og tilbøjelighed til at tilbagebetale kreditten vurderes og kontrolleres, inden der indgås en kreditaftale. Denne vurdering af kreditværdigheden bør tage hensyn til alle nødvendige og relevante faktorer, som kan påvirke forbrugerens evne til at tilbagebetale kreditten i dens løbetid. [...]

[...]

(59)

Anvendelse af en kreditdatabase er et nyttigt element i forbindelse med vurdering af kreditværdighed. [...]«

6

Dette direktivs artikel 18 med overskriften »Forpligtelse til at vurdere forbrugerens kreditværdighed« bestemmer følgende i stk. 1:

»Medlemsstaterne sikrer, at kreditgiver inden indgåelsen af kreditaftalen foretager en grundig vurdering af forbrugerens kreditværdighed. Ved denne vurdering tages der behørigt hensyn til de faktorer, der er relevante for at anslå udsigten til, at forbrugeren opfylder sine forpligtelser i henhold til kreditaftalen.«

7

Direktivets artikel 21 med overskriften »Adgang til databaser« fastsætter følgende i stk. 1 og 2:

»1.   Hver medlemsstat sikrer adgang for alle kreditgivere fra alle medlemsstater til de databaser, som anvendes i den pågældende medlemsstat i forbindelse med vurderingen af forbrugernes kreditværdighed og med det ene formål at føre tilsyn med forbrugernes overholdelse af kreditforpligtelserne i kreditaftalens løbetid. Vilkårene for adgang skal være ikkediskriminerende.

2.   Stk. 1 finder anvendelse på både databaser, der drives af private kreditbureauer eller kreditoplysningsbureauer, og på offentlige registre.«

Forordning (EU) 2015/848

8

Følgende fremgår af 76. betragtning til Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling (EUT 2015, L 141, s. 19):

»For at sikre en bedre information af relevante kreditorer og retter og forhindre, at der indledes parallelle insolvensbehandlinger, bør det kræves, at medlemsstaterne bekendtgør relevante oplysninger i grænseoverskridende insolvenssager i et offentligt tilgængeligt elektronisk register. For at gøre disse oplysninger lettere tilgængelige for kreditorer og retter i andre medlemsstater bør der i denne forordning fastsættes bestemmelse om sammenkobling af sådanne insolvensregistre via den europæiske e-justiceportal. [...]«

9

Denne forordnings artikel 79 med overskriften »Medlemsstaternes ansvar med hensyn til behandling af personoplysninger i nationale insolvensregistre« fastsætter følgende i stk. 4 og 5:

»4.   Medlemsstaterne er i overensstemmelse med [Europa-Parlamentets og Rådets] direktiv 95/46/EF [af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)] ansvarlige for indsamling og opbevaring af oplysninger i nationale databaser og for afgørelser, der træffes, om at gøre sådanne oplysninger tilgængelige i det sammenkoblede register, som der er adgang til via den europæiske e-justiceportal.

5.   Som led i de oplysninger, der bør stilles til rådighed for registrerede med henblik på at sætte dem i stand til at udøve deres rettigheder, og navnlig retten til sletning af oplysninger, underretter medlemsstaterne de registrerede om den tilgængelighedsperiode, som er fastsat for personlige oplysninger, der opbevares i insolvensregistre.«

Databeskyttelsesforordningen

10

Følgende fremgår af 10., 11., 47., 50., 98., 141. og 143. betragtning til databeskyttelsesforordningen:

»(10)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. [...]

(11)

For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, samt at der gives tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner ved overtrædelser i medlemsstaterne.

[...]

(47)

En dataansvarligs legitime interesser, herunder en dataansvarlig, som personoplysninger kan videregives til, eller en tredjemands legitime interesser kan udgøre et retsgrundlag for behandling, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor under hensyntagen til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige. For eksempel kan der foreligge sådanne legitime interesser, når der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos eller gør tjeneste under den dataansvarlige. I alle tilfælde kræver tilstedeværelsen af en legitim interesse en nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted. Den registreredes interesser og grundlæggende rettigheder kan navnlig gå forud for den dataansvarliges interesser, hvis personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelighed forventer viderebehandling. [...]

[...]

(50)

Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig[t] blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig[t] blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. [...] For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig[t] blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovlighed af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter. [...]

[...]

(98)

Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, bør opfordres til at udarbejde adfærdskodekser inden for rammerne af denne forordning med henblik på at fremme en effektiv anvendelse af denne forordning under hensyntagen til de specifikke typer af behandling, der foretages i visse sektorer, og de særlige behov hos mikrovirksomheder og små og mellemstore virksomheder. Sådanne adfærdskodekser bør navnlig kunne justere dataansvarliges og databehandleres forpligtelser, så der tages hensyn til den risiko, som sandsynligvis vil følge af behandlingen for fysiske personers rettigheder og frihedsrettigheder.

[...]

(141)

Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted, og have adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolskontrol. Tilsynsmyndigheden bør underrette den registrerede om forløbet og resultatet af klagen inden for en rimelig frist. [...]

[...]

(143)

[...] [E]nhver fysisk eller juridisk person [bør] have adgang til effektive retsmidler ved den kompetente nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager. Denne ret til adgang til effektive retsmidler omfatter dog ikke foranstaltninger truffet af tilsynsmyndigheder, der ikke er juridisk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyndigheden. En sag mod en tilsynsmyndighed bør anlægges ved domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret, og bør føres i overensstemmelse med den pågældende medlemsstats retspleje. Disse domstole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige omstændigheder, der er relevante for den tvist, som de får forelagt.

Hvis en klage er blevet afslået eller afvist af en tilsynsmyndighed, kan klageren anlægge sag ved domstolene i samme medlemsstat. I forbindelse med domstolskontrol vedrørende anvendelsen af denne forordning kan eller i det tilfælde, der er omhandlet i artikel 267 i TEUF, skal de nationale domstole, som anser en afgørelse om spørgsmålet for nødvendig for at afsige dom, anmode Domstolen om en præjudiciel afgørelse om fortolkning af EU-retten, herunder denne forordning. [...]«

11

Databeskyttelsesforordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« har følgende ordlyd:

»1.   Personoplysninger skal:

a)

behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

[...]

c)

være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

[...]

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

12

Denne forordnings artikel 6 med overskriften »Lovlig behandling« bestemmer følgende:

»1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[...]

f)

Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

[...]

4.   Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

a)

enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b)

den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c)

personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10

d)

den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e)

tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.«

13

Databeskyttelsesforordningens artikel 17 med overskriften »Ret til sletning (»retten til at blive glemt«)« fastsætter følgende i stk. 1:

»Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

[...]

c)

Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.

d)

Personoplysningerne er blevet behandlet ulovligt.

[...]«

14

Forordningens artikel 21 med overskriften »Ret til indsigelse« bestemmer følgende i stk. 1 og 2:

»1.   Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

2.   Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til sådan markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring.«

15

Forordningens artikel 40 med overskriften »Adfærdskodekser« bestemmer følgende i stk. 1, 2 og 5:

»1.   Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og [Europa‑]Kommissionen tilskynder til udarbejdelse af adfærdskodekser, der under hensyntagen til de særlige forhold i de forskellige behandlingssektorer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt anvendelse af denne forordning.

2.   Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af denne forordning, såsom med hensyn til:

a)

rimelig og gennemsigtig behandling

b)

de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge

c)

indsamlingen af personoplysninger

[...]

5.   Sammenslutninger og andre organer omhandlet i denne artikels stk. 2, der har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende adfærdskodeks, forelægger et udkast til kodeks, ændring eller udvidelse for den tilsynsmyndighed, der er kompetent i henhold til artikel 55. Tilsynsmyndigheden afgiver udtalelse om, hvorvidt udkastet til adfærdskodeks, ændring eller udvidelse overholder denne forordning, og godkender dette udkast til kodeks, ændring eller udvidelse, hvis den finder, at kodeksen sikrer tilstrækkelige fornødne garantier.«

16

Databeskyttelsesforordningens artikel 51 med overskriften »Tilsynsmyndighed« fastsætter følgende i stk. 1:

»Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).«

17

Denne forordnings artikel 52 med overskriften »Uafhængighed« bestemmer følgende i stk. 1, 2 og 4:

»1.   Hver tilsynsmyndighed udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed.

2.   Medlemmet eller medlemmerne af hver tilsynsmyndighed skal i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til denne forordning være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.

[...]

4.   Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med og deltagelse i Databeskyttelsesrådet.«

18

Forordningens artikel 57 med overskriften »Opgaver« bestemmer følgende i stk. 1:

»Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a)

føre tilsyn med og håndhæve anvendelsen af denne forordning

[...]

f)

behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 80, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

[...]«

19

I databeskyttelsesforordningens artikel 58 med overskriften »Beføjelser« opregnes i stk. 1 de undersøgelsesbeføjelser, som tilsynsmyndighederne har, og i stk. 2 de korrigerende foranstaltninger, som de kan træffe.

20

Denne forordnings artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« fastsætter følgende:

»1.   Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.

2.   Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.«

21

Samme forordnings artikel 78 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« fastsætter følgende i stk. 1 og 2:

»1.   Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2.   Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder.«

22

Databeskyttelsesforordningens artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« fastsætter følgende i stk. 1:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«

Tysk ret

23

§ 9, stk. 1, i Insolvenzordnung (lov om insolvens) af 5. oktober 1994 (BGBl. 1994 I, s. 2866) i den affattelse, der finder anvendelse på de faktiske omstændigheder i hovedsagen, bestemmer følgende:

»Den offentlige bekendtgørelse sker gennem en central offentliggørelse i alle delstater på internettet; dette kan ske i uddrag. Debitor skal betegnes præcist, og navnlig skal den pågældendes adresse og erhverv anføres. Bekendtgørelsen anses for sket, når der er gået yderligere to dage efter dagen for offentliggørelsen.«

24

§ 3 i Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (bekendtgørelse om offentlig bekendtgørelse i insolvensprocedurer på internettet) af 12. februar 2002 (BGBl. I, s. 677, herefter »InsoBekV«) fastsætter følgende i stk. 1 og 2:

»(1)   Offentliggørelsen i et elektronisk informations- og kommunikationssystem af oplysninger om en insolvensprocedure, herunder indledningen af insolvensproceduren, slettes senest seks måneder efter, at insolvensproceduren er blevet annulleret eller retskraftigt indstillet. Hvis proceduren ikke indledes, regnes fristen fra annullationen af de offentliggjorte sikrende retsmidler.

(2)   For offentliggørelser i forbindelse med en gældssaneringsprocedure inklusive den i § 289 i lov om insolvens omhandlede afgørelse gælder stk. 1, første punktum, med den tilføjelse, at fristen regnes fra den dag, hvor afgørelsen om gældssaneringen opnår retskraft.«

Tvisterne i hovedsagerne og de præjudicielle spørgsmål

25

I forbindelse med insolvensprocedurer vedrørende UF og AB opnåede disse fremrykket gældssanering ved retsafgørelser afsagt henholdsvis den 17. december 2020 og den 23. marts 2021. I overensstemmelse med § 9, stk. 1, i lov om insolvens og InsoBekV’s § 3, stk. 1 og 2, blev den officielle bekendtgørelse af disse afgørelser på internettet slettet efter seks måneder regnet fra disse afgørelser.

26

SCHUFA er et privat kreditoplysningsbureau, der registrerer og opbevarer oplysninger fra offentlige registre, bl.a. om gældssaneringer, i sine egne databaser. Det sletter sidstnævnte oplysninger tre år efter registreringen i overensstemmelse med den adfærdskodeks, der er udarbejdet i Tyskland af sammenslutningen af kreditoplysningsbureauer og godkendt af den kompetente tilsynsmyndighed.

27

UF og AB rettede henvendelse til SCHUFA for at få det til at slette indførelserne vedrørende de afgørelser om gældssanering, der var truffet i forhold til dem. Dette selskab nægtede at imødekomme deres anmodninger, efter at det havde forklaret, at det udførte sine aktiviteter under overholdelse af databeskyttelsesforordningen, og at fristen for sletning på seks måneder i InsoBekV’s § 3, stk. 1, ikke fandt anvendelse på selskabet.

28

UF og AB indgav hver især en klage til HBDI i dennes egenskab af kompetent tilsynsmyndighed.

29

Ved afgørelser truffet den 1. marts 2021 og den 9. juli 2021 fastslog HBDI, at SCHUFA’s behandling af oplysningerne var lovlig.

30

UF og AB har begge anlagt søgsmål til prøvelse af HBDI’s afgørelse ved Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland), som er den forelæggende ret. De har til støtte for deres søgsmål gjort gældende, at HBDI inden for rammerne af sine opgaver og beføjelser var forpligtet til at træffe foranstaltninger over for SCHUFA med henblik på at pålægge dette selskab at slette indførelserne vedrørende dem.

31

HBDI har heroverfor påstået frifindelse.

32

HBDI har for det første anført, at retten til at indgive klage som fastsat i databeskyttelsesforordningens artikel 77, stk. 1, alene er tænkt som en ret til at indgive et andragende. Domstolsprøvelsen omfatter således kun en prøvelse af, om tilsynsmyndigheden har behandlet klagen og underrettet klageren om forløbet og resultatet af klagen. Derimod skal den ret, der skal behandle søgsmålet, ikke kontrollere, om klageafgørelsen er indholdsmæssigt rigtig.

33

HBDI har for det andet fremhævet, at de oplysninger, som kreditoplysningsbureauerne har adgang til, kan opbevares så længe, det er nødvendigt af hensyn til de formål, hvortil de er blevet opbevaret. I mangel af en ordning fastsat af den nationale lovgiver har tilsynsmyndighederne vedtaget adfærdskodekser, og den kodeks, som sammenslutningen af kreditoplysningsbureauer har udarbejdet, foreskriver sletning af disse oplysninger netop tre år efter indførelsen i registret.

34

I denne henseende finder den forelæggende ret det i første række nødvendigt at afklare den retlige karakter af den afgørelse, som tilsynsmyndigheden træffer vedrørende en klage, der er blevet indgivet til den i henhold til databeskyttelsesforordningens artikel 77, stk. 1.

35

Den forelæggende ret er navnlig i tvivl med hensyn til HBDI’s argumentation, idet den vil kunne skade effektiviteten af de retsmidler, der er omhandlet i databeskyttelsesforordningens artikel 78, stk. 1. Henset til formålet med denne forordning, som er at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med gennemførelsen af chartrets artikel 7 og 8, kan dens artikel 77 og 78 desuden ikke fortolkes indskrænkende.

36

Den forelæggende ret går ind for en fortolkning, hvorefter den afgørelse, som tilsynsmyndigheden har truffet vedrørende realiteten, skal prøves fuldt ud af retten. Tilsynsmyndigheden har dog både en vurderings- og en skønsbeføjelse og kan kun have pligt til at handle, hvis der ikke kan peges på et lovligt alternativ.

37

I anden række er den forelæggende ret i to henseender i tvivl om, hvorvidt kreditoplysningsbureauernes opbevaring af oplysninger vedrørende en persons kreditværdighed, der stammer fra offentlige registre, såsom insolvensregistret, er lovlig.

38

For det første er der tvivl om, hvorvidt det er lovligt, at en privat virksomhed som SCHUFA opbevarer oplysninger, der er overført fra offentlige registre, i sine egne databaser.

39

Først og fremmest sker opbevaringen nemlig ikke i en konkret anledning, men for det tilfælde, at kreditbureauernes aftalepartnere anmoder dem om sådanne oplysninger, og den indebærer i sidste ende en opbevaring af disse oplysninger som reserve, især når de allerede er blevet slettet fra det offentlige register, fordi opbevaringsperioden er udløbet.

40

I øvrigt er en behandling og dermed en opbevaring af oplysninger kun tilladt, hvis en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt. I det foreliggende tilfælde kommer kun betingelsen i denne forordnings artikel 6, stk. 1, første afsnit, litra f), i betragtning. Det er imidlertid tvivlsomt, om et kreditoplysningsbureau som SCHUFA har en legitim interesse som omhandlet i denne bestemmelse.

41

Endelig er SCHUFA kun et blandt flere kreditoplysningsbureauer, og oplysningerne opbevares således i mange former i Tyskland, hvilket indebærer et massivt indgreb i den grundlæggende rettighed, der er anerkendt i chartrets artikel 7.

42

Såfremt det antages, at private virksomheders opbevaring af oplysninger fra offentlige registre som sådan er lovlig, er spørgsmålet for det andet, hvor længe de må opbevares.

43

I denne henseende er den forelæggende ret af den opfattelse, at det må kræves af disse private virksomheder, at de overholder den frist på seks måneder, der er fastsat i InsoBekV’s § 3 for opbevaring af afgørelser om gældssanering i insolvensregistret. Oplysninger, der skal slettes fra et offentligt register, skal således også samtidigt hermed slettes i alle private kreditoplysningsbureauer, som har opbevaret disse oplysninger.

44

Spørgsmålet er desuden, om en adfærdskodeks, der er godkendt i henhold til databeskyttelsesforordningens artikel 40, og som fastsætter en frist for sletning på tre år for registreringer vedrørende gældssaneringer, skal tages i betragtning ved den afvejning, der skal foretages i forbindelse med vurderingen i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f).

45

Under disse omstændigheder har Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Skal [databeskyttelsesforordningens] artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, [heri,] forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,

har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen,

eller

skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58?

2)

Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i [forordning 2015/848] opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med [chartrets] artikel 7 og 8 [...]?

3)

a)

Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?

b)

Såfremt det tredje [spørgsmål, litra a),] besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?

4)

Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

5)

Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?«

46

Ved afgørelse truffet af Domstolens præsident den 11. februar 2022 er sagerne C-26/22 og C-64/22 blevet forenet med henblik på retsforhandlingernes skriftlige og mundtlige del samt dommen.

Om de præjudicielle spørgsmål

Det første spørgsmål

47

Den forelæggende ret ønsker med det første spørgsmål nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 78, stk. 1, skal fortolkes således, at domstolsprøvelsen af en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er begrænset til, om myndigheden har behandlet klagen, undersøgt dens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller om denne afgørelse er underlagt en fuldstændig domstolsprøvelse, der omfatter beføjelsen for den ret, der skal behandle søgsmålet, til at pålægge tilsynsmyndigheden at træffe en konkret foranstaltning.

48

Med henblik på besvarelsen af dette spørgsmål skal det indledningsvis bemærkes, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 22.6.2023, Pankki S, C-579/21, EU:C:2023:501, præmis 38 og den deri nævnte retspraksis).

49

Hvad angår ordlyden af databeskyttelsesforordningens artikel 78, stk. 1, fastsætter denne bestemmelse, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende, uden at det berører andre administrative eller udenretslige klageadgange.

50

I denne henseende bemærkes indledningsvis, at i det foreliggende tilfælde udgør de afgørelser, der er vedtaget af HBDI, juridisk bindende afgørelser som omhandlet i databeskyttelsesforordningens artikel 78, stk. 1. Denne myndighed fastslog nemlig efter at have undersøgt, om de klager, der var blevet indgivet til den, var velbegrundede, at den behandling af personoplysninger, som sagsøgerne i hovedsagerne anfægtede, var lovlig i henhold til databeskyttelsesforordningen. Den juridisk bindende karakter af disse afgørelser bekræftes i øvrigt af 143. betragtning til denne forordning, hvoraf det følger, at en tilsynsmyndigheds afslag eller afvisning af en klage udgør en afgørelse, der har retsvirkninger for klageren.

51

Det skal ligeledes fremhæves, at det udtrykkeligt fremgår af denne bestemmelse, sammenholdt med 141. betragtning til forordningen, at enhver registreret skal have adgang til »effektive« retsmidler i overensstemmelse med chartrets artikel 47.

52

Domstolen har således allerede fastslået, at det følger af databeskyttelsesforordningens artikel 78, stk. 1, sammenholdt med 143. betragtning til denne forordning, at de domstole, hvorved der anlægges en sag til prøvelse af en tilsynsmyndigheds afgørelse, bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige omstændigheder, der er relevante for den tvist, som de får forelagt (dom af 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, præmis 41).

53

Databeskyttelsesforordningens artikel 78, stk. 1, kan følgelig ikke fortolkes således, at domstolsprøvelsen af en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er begrænset til, om myndigheden har behandlet klagen, undersøgt dens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen. En sådan afgørelse skal derimod være underlagt en fuldstændig domstolsprøvelse, for at der er tale om et »effektivt« retsmiddel som krævet i denne bestemmelse.

54

Denne fortolkning underbygges af den sammenhæng, hvori databeskyttelsesforordningens artikel 78, stk. 1, indgår, og af de mål, der forfølges med denne forordning.

55

Hvad angår den sammenhæng, hvori denne bestemmelse indgår, skal det fremhæves, at de nationale tilsynsmyndigheder i overensstemmelse med chartrets artikel 8, stk. 3, og databeskyttelsesforordningens artikel 51, stk. 1, og artikel 57, stk. 1, litra a), er ansvarlige for at føre tilsyn med overholdelsen af EU-reglerne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 107).

56

Navnlig skal hver tilsynsmyndighed på sit område i henhold til databeskyttelsesforordningens artikel 57, stk. 1, litra f), behandle de klager, som enhver registreret i henhold til denne forordnings artikel 77, stk. 1, har ret til at indgive, når den pågældende finder, at en behandling af personoplysninger vedrørende vedkommende overtræder den nævnte forordning, og, for så vidt det er nødvendigt, undersøge genstanden for klagen. Tilsynsmyndigheden skal behandle en sådan klage med den fornødne omhu (dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 109).

57

Med henblik på behandlingen af de indgivne klager tillægger databeskyttelsesforordningens artikel 58, stk. 1, hver tilsynsmyndighed væsentlige undersøgelsesbeføjelser. Når en sådan myndighed i forbindelse med sin undersøgelse konstaterer, at der foreligger en tilsidesættelse af denne forordnings bestemmelser, har den pligt til at reagere på en passende måde med henblik på at afhjælpe det konstaterede utilstrækkelige beskyttelsesniveau. Med henblik herpå opregnes i forordningens artikel 58, stk. 2, de forskellige korrigerende foranstaltninger, som tilsynsmyndigheden kan vedtage (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 111).

58

Som generaladvokaten har anført i punkt 42 i forslaget til afgørelse, følger det heraf, at klageproceduren, der ikke er en andragendelignende procedure, er tænkt som en mekanisme, der er egnet til effektivt at beskytte de registreredes rettigheder og interesser.

59

Henset til de omfattende beføjelser, som tilsynsmyndigheden er tillagt i henhold til databeskyttelsesforordningen, vil kravet om en effektiv retsbeskyttelse imidlertid ikke blive opfyldt, hvis afgørelser, der vedrører en tilsynsmyndigheds udøvelse af undersøgelsesbeføjelser eller vedtagelse af korrigerende foranstaltninger, kun var underlagt en begrænset domstolsprøvelse.

60

Det samme gælder for afgørelser om afslag på en klage, idet der i databeskyttelsesforordningens artikel 78, stk. 1, ikke sondres i forhold til karakteren af tilsynsmyndighedens afgørelse.

61

Hvad angår de formål, der forfølges med databeskyttelsesforordningen, fremgår det bl.a. af 10. betragtning hertil, at forordningen har til formål at sikre et højt niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU. Det fremgår endvidere af 11. betragtning til forordningen, at en effektiv beskyttelse af sådanne oplysninger kræver, at de registreredes rettigheder styrkes.

62

Såfremt databeskyttelsesforordningens artikel 78, stk. 1, skulle fortolkes således, at den domstolsprøvelse, som den omhandler, er begrænset til, om tilsynsmyndigheden har behandlet klagen, undersøgt dens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, ville gennemførelsen af forordningens mål og opfyldelsen af dens formål imidlertid nødvendigvis blive bragt i fare.

63

I øvrigt berører en fortolkning af denne bestemmelse, hvorefter en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse, hverken de garantier for uafhængighed, som tilsynsmyndighederne nyder, eller adgangen til effektive retsmidler over for en dataansvarlig eller databehandler.

64

For det første er det korrekt, at overholdelsen af reglerne om beskyttelse af personoplysninger i henhold til chartrets artikel 8, stk. 3, er underlagt en uafhængig myndigheds kontrol. I denne sammenhæng præciserer databeskyttelsesforordningens artikel 52 bl.a., at hver tilsynsmyndighed udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed (stk. 1), at medlemmet eller medlemmerne af hver tilsynsmyndighed i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser skal være frie for udefrakommende indflydelse (stk. 2), og at hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige ressourcer til effektivt at kunne udføre sine opgaver og udøve sine beføjelser (stk. 4).

65

Det forhold, at en tilsynsmyndigheds juridisk bindende afgørelser er underlagt en fuldstændig domstolsprøvelse, bringer imidlertid på ingen måde disse garantier for uafhængighed i fare.

66

For det andet skal det med hensyn til adgangen til effektive retsmidler over for en dataansvarlig eller databehandler som fastsat i databeskyttelsesforordningens artikel 79, stk. 1, fremhæves, at de retsmidler, der er omhandlet i henholdsvis forordningens artikel 78, stk. 1, og artikel 79, stk. 1, ifølge Domstolens praksis kan udøves samtidigt og uafhængigt af hinanden (dom af 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, præmis 35 og domskonklusionen). I denne sammenhæng har Domstolen bl.a. fastslået, at tilrådighedsstillelsen af flere retsmidler forstærker det formål, der er angivet i 141. betragtning til forordningen, om at sikre, at enhver registreret, der finder, at vedkommendes rettigheder i henhold til forordningen er blevet krænket, har adgang til effektive retsmidler i overensstemmelse med chartrets artikel 47 (dom af 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, præmis 44).

67

Selv om det tilkommer medlemsstaterne i overensstemmelse med princippet om procesautonomi at fastsætte de nærmere regler for forholdet mellem disse retsmidler (dom af 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, præmis 45 og domskonklusionen), er adgangen til effektive retsmidler over for en dataansvarlig eller databehandler som fastsat i databeskyttelsesforordningens artikel 79, stk. 1, følgelig uden betydning for omfanget af den domstolsprøvelse af en klageafgørelse vedtaget af en tilsynsmyndighed, der udøves i forbindelse med et søgsmål i henhold til forordningens artikel 78, stk. 1.

68

Det skal imidlertid tilføjes, at selv om tilsynsmyndigheden som nævnt i denne doms præmis 56 skal behandle klager med den fornødne omhu, har den hvad angår de korrigerende foranstaltninger, der er opregnet i databeskyttelsesforordningens artikel 58, stk. 2, et skøn med hensyn til valget af de midler, der er hensigtsmæssige og nødvendige (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 112).

69

Selv om en national domstol, for hvilken der er anlagt en sag i henhold til databeskyttelsesforordningens artikel 78, stk. 1, som fastslået i denne doms præmis 52, bør have fuld jurisdiktion til at undersøge alle faktiske og retlige omstændigheder vedrørende den pågældende tvist, indebærer garantien for en effektiv retsbeskyttelse ikke, at den har beføjelse til at sætte sit eget skøn med hensyn til valget af hensigtsmæssige og nødvendige korrigerende foranstaltninger i stedet for tilsynsmyndighedens, men kræver, at den undersøger, om tilsynsmyndigheden har holdt sig inden for grænserne af sit skøn.

70

Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 78, stk. 1, skal fortolkes således, at en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse.

Det andet til det femte spørgsmål

71

Den forelæggende ret ønsker med det andet til det femte spørgsmål, der skal behandles samlet, nærmere bestemt oplyst,

om databeskyttelsesforordningens artikel 5, stk. 1, litra a), sammenholdt med denne forordnings artikel 6, stk. 1, første afsnit, litra f), skal fortolkes således, at denne bestemmelse er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at disse i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering, der er indrømmet fysiske personer, og sletter disse oplysninger efter tre år i overensstemmelse med en adfærdskodeks som omhandlet i samme forordnings artikel 40, selv om opbevaringsperioden for de samme oplysninger i det offentlige register er seks måneder, og

om databeskyttelsesforordningens artikel 17, stk. 1, litra c) og d), skal fortolkes således, at et privat kreditoplysningsbureau, der har overtaget oplysninger om tildeling af gældssanering fra et offentligt register, har pligt til at slette disse.

Databeskyttelsesforordningens artikel 5, stk. 1, litra a)

72

I henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra a), skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

73

I denne forbindelse er der i denne forordnings artikel 6, stk. 1, første afsnit, fastsat en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. For at kunne anses for at være lovlig skal behandlingen således være omfattet af et af de tilfælde, som er omhandlet i denne bestemmelse (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 90 og den deri nævnte retspraksis).

74

I det foreliggende tilfælde står det fast, at lovligheden af den i hovedsagerne omhandlede behandling af personoplysninger alene skal vurderes i lyset af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f). I henhold til denne bestemmelse er behandling af personoplysninger kun lovlig, hvis og i det omfang den er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

75

Denne bestemmelse fastsætter således tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den dataansvarlige eller en tredjemand forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 106 og den deri nævnte retspraksis).

76

Hvad for det første angår betingelsen om, at der forfølges en »legitim interesse«, skal det – i mangel af en definition af dette begreb i databeskyttelsesforordningen – fremhæves, således som generaladvokaten har anført i punkt 61 i forslaget til afgørelse, at en bred vifte af interesser principielt kan anses for at være legitime.

77

Hvad for det andet angår betingelsen om, at behandlingen af personoplysninger er nødvendig for at virkeliggøre den forfulgte legitime interesse, indebærer denne, at den forelæggende ret skal efterprøve, om den legitime interesse, som forfølges med behandlingen af personoplysninger, ikke med rimelighed kan beskyttes lige så effektivt ved andre midler, som er mindre indgribende i de registreredes grundlæggende friheder og rettigheder, navnlig retten til respekt for privatlivet og beskyttelse af personoplysninger som sikret ved chartrets artikel 7 og 8 (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 108 og den deri nævnte retspraksis).

78

Det skal i denne henseende ligeledes bemærkes, at betingelsen om behandlingens nødvendighed skal undersøges sammen med princippet om såkaldt »dataminimering« i databeskyttelsesforordningens artikel 5, stk. 1, litra c), hvorefter personoplysningerne skal være »tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles« (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 109 og den deri nævnte retspraksis).

79

Hvad for det tredje angår betingelsen om, at de interesser eller grundlæggende rettigheder og frihedsrettigheder, som tilkommer den person, der er omfattet af beskyttelsen af oplysninger, ikke går forud for den legitime interesse, som forfølges af den dataansvarlige eller tredjemand, har Domstolen allerede fastslået, at denne betingelse indebærer en afvejning af de pågældende modstående rettigheder og interesser, som principielt afhænger af de konkrete omstændigheder i det enkelte tilfælde, og at det følgelig tilkommer den forelæggende ret at foretage denne afvejning under hensyn til disse konkrete omstændigheder (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 110 og den deri nævnte retspraksis).

80

Som det fremgår af 47. betragtning til databeskyttelsesforordningen, kan den registreredes interesser og grundlæggende rettigheder navnlig gå forud for den dataansvarliges interesser, når personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelighed forventer en sådan behandling (dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 112).

81

Selv om det således i sidste ende tilkommer den forelæggende ret at vurdere, om de tre betingelser, der er nævnt i denne doms præmis 75, er opfyldt med hensyn til den i hovedsagerne omhandlede behandling af personoplysninger, kan Domstolen, når den træffer afgørelse i en præjudiciel sag, give nærmere oplysninger med henblik på at vejlede den forelæggende ret i dens afgørelse (jf. i denne retning dom af 20.10.2022, Digi, C-77/21, EU:C:2022:805, præmis 39 og den deri nævnte retspraksis).

82

I det foreliggende tilfælde har SCHUFA med hensyn til spørgsmålet, om der forfølges en legitim interesse, gjort gældende, at kreditoplysningsbureauerne behandler oplysninger, der er nødvendige for at vurdere personers eller virksomheders kreditværdighed, med henblik på at kunne stille disse oplysninger til rådighed for deres aftalepartnere. Ud over at denne aktivitet beskytter de økonomiske interesser hos de virksomheder, der ønsker at indgå aftaler, som er forbundet med kreditgivning, udgør kreditvurderingen og leveringen af oplysninger om kreditværdighed grundlaget for kreditgivningen og for økonomiens funktion. Disse bureauers aktiviteter bidrager ligeledes til at konkretisere de forretningsmæssige ønsker for personer, der er interesserede i kreditrelaterede transaktioner, idet oplysningerne gør det muligt at foretage en hurtig og ikke-bureaukratisk undersøgelse af disse transaktioner.

83

I denne henseende tjener en behandling af personoplysninger som den, der er omhandlet i hovedsagerne, ganske vist SCHUFA’s økonomiske interesser, men den bidrager også til, at SCHUFA’s aftalepartnere, der påtænker at indgå aftaler, som er forbundet med kreditgivning, med personer, kan forfølge deres legitime interesse i at kunne vurdere disse personers kreditværdighed, og følgelig tjener den kreditsektoren på et socioøkonomisk plan.

84

Hvad angår forbrugerkreditaftaler fremgår det nemlig af artikel 8 i direktiv 2008/48, sammenholdt med 28. betragtning hertil, at kreditgiveren, inden kreditaftalen indgås, har pligt til at vurdere forbrugerens kreditværdighed på grundlag af fyldestgørende oplysninger, herunder, hvor det er relevant, oplysninger fra offentlige og private databaser.

85

Desuden fremgår det med hensyn til forbrugerkreditaftaler i forbindelse med fast ejendom til beboelse af artikel 18, stk. 1, og artikel 21, stk. 1, i direktiv 2014/17, sammenholdt med 55. og 59. betragtning hertil, at kreditgiver skal foretage en grundig vurdering af forbrugerens kreditværdighed og være sikret adgang til kreditdatabaser, idet anvendelse af sådanne databaser er et nyttigt element i forbindelse med denne vurdering.

86

Det skal tilføjes, at forpligtelsen til at vurdere forbrugernes kreditværdighed, således som fastsat ved direktiv 2008/48 og 2014/17, ikke alene tager sigte på at beskytte kreditansøgeren, men også, således som det er fremhævet i 26. betragtning til direktiv 2008/48, på at sikre kreditsystemets funktion i sin helhed.

87

Det kræves imidlertid også, at databehandlingen er nødvendig for at opnå formålet med de legitime interesser, der forfølges af den dataansvarlige eller en tredjemand, og at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor. I forbindelse med afvejningen af de pågældende modstridende rettigheder og interesser, dvs. henholdsvis den dataansvarliges og de involverede tredjemænds interesser og den registreredes rettigheder og interesser, skal der, således som det er anført i denne doms præmis 80, bl.a. tages hensyn til den registreredes rimelige forventninger samt til omfanget af den pågældende behandling og behandlingens indvirkning på denne person (jf. dom af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 116).

88

Med hensyn til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), har Domstolen fastslået, at denne bestemmelse skal fortolkes således, at en behandling kun kan anses for nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse som omhandlet i denne bestemmelse, hvis behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt for at gennemføre denne legitime interesse, og det fremgår af en afvejning af de modstridende interesser, henset til samtlige relevante omstændigheder, at de registreredes interesser og grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller tredjemands nævnte legitime interesse (jf. i denne retning dom af 4.5.2017, Rīgas satiksme, C-13/16, EU:C:2017:336, præmis 30, og af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk), C-252/21, EU:C:2023:537, præmis 126).

89

I denne sammenhæng har den forelæggende ret henvist til to aspekter ved den behandling af personoplysninger, der er omhandlet i hovedsagerne. For det første indebærer denne behandling en opbevaring af oplysninger i mange forskellige former, nemlig ikke blot i et offentligt register, men også i databaser tilhørende kreditoplysningsbureauer, idet det præciseres, at disse bureauer ikke foretager denne opbevaring i forbindelse med en konkret sag, men for det tilfælde, at deres aftalepartnere anmoder dem om de pågældende oplysninger. For det andet opbevarer disse bureauer oplysningerne i tre år på grundlag af en adfærdskodeks som omhandlet i databeskyttelsesforordningens artikel 40, selv om national lovgivning med hensyn til det offentlige register fastsætter en opbevaringsperiode på kun seks måneder.

90

Hvad angår det første af disse aspekter har SCHUFA gjort gældende, at det ville være umuligt at give oplysninger i rette tid, hvis et kreditoplysningsbureau havde pligt til at afvente en konkret anmodning, inden det kunne begynde at indsamle oplysninger.

91

I denne henseende påhviler det den forelæggende ret at efterprøve, om SCHUFA’s opbevaring af de omhandlede oplysninger i sine egne databaser er begrænset til det strengt nødvendige hvad angår gennemførelsen af den interesse, som legitimt forfølges, selv om de omhandlede oplysninger kan konsulteres i det offentlige register, og uden at en erhvervsvirksomhed har anmodet om oplysninger i et konkret tilfælde. Hvis dette ikke var tilfældet, ville SCHUFA’s opbevaring af disse oplysninger ikke kunne anses for nødvendig i den periode, hvori de er tilgængelige for offentligheden.

92

Med hensyn til den periode, hvori oplysningerne opbevares, må undersøgelserne af den anden og den tredje betingelse, der er nævnt i denne doms præmis 75, anses for sammenfaldende, for så vidt som bedømmelsen af, om de legitime interesser, der forfølges med den i hovedsagerne omhandlede behandling af personoplysninger, i det foreliggende tilfælde ikke med rimelighed kan opnås ved en kortere opbevaringsperiode for oplysningerne, kræver en afvejning af de omhandlede modstridende rettigheder og interesser.

93

Hvad angår afvejningen af de legitime interesser, der forfølges, bemærkes, at for så vidt som den analyse, der fremlægges af et kreditoplysningsbureau, muliggør en objektiv og troværdig vurdering af kreditværdigheden hos potentielle kunder hos aftalepartnerne til det bureau, der leverer disse kreditoplysninger, gør den det muligt at udligne informationsuligheder og dermed mindske risikoen for svig og andre usikkerhedsmomenter.

94

Hvad derimod angår den registreredes rettigheder og interesser udgør et kreditoplysningsbureaus behandling af oplysninger vedrørende tildeling af gældssanering, såsom opbevaring og analyse af samt videregivelse af disse oplysninger til en tredjemand, et alvorligt indgreb i den registreredes grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8. Sådanne oplysninger fungerer nemlig som en negativ faktor i forbindelse med vurderingen af den registreredes kreditværdighed og udgør derfor følsomme oplysninger om dennes privatliv (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 98). Behandlingen af disse oplysninger kan i høj grad skade den registreredes interesser, eftersom videregivelsen i betydelig grad kan besværliggøre den pågældendes udøvelse af sine friheder, bl.a. med hensyn til dækning af grundlæggende behov.

95

Desuden bemærkes, således som Kommissionen har anført, at jo længere tid kreditoplysningsbureauer opbevarer de omhandlede oplysninger, jo alvorligere er konsekvenserne for den registreredes interesser og privatliv, og jo højere er kravene til lovligheden af opbevaringen af oplysningerne.

96

Det skal desuden bemærkes, at formålet med et offentligt insolvensregister, således som det fremgår af 76. betragtning til forordning 2015/848, er at sikre en bedre information af relevante kreditorer og retter. I denne forbindelse fastsætter denne forordnings artikel 79, stk. 5, blot, at medlemsstaterne skal underrette de registrerede om den tilgængelighedsperiode, som er fastsat for personlige oplysninger, der opbevares i insolvensregistre, uden at fastsætte en frist for opbevaring af disse oplysninger. Til gengæld fremgår det af denne forordnings artikels stk. 4, at medlemsstaterne i overensstemmelse med denne er ansvarlige for indsamling og opbevaring af personoplysninger i nationale databaser. Fristen for opbevaring af disse oplysninger skal derfor fastsættes under overholdelse af denne forordning.

97

I det foreliggende tilfælde har den tyske lovgiver fastsat, at oplysninger om tildeling af gældssanering kun opbevares i insolvensregistret i seks måneder. Den tyske lovgiver har således fundet, at den registreredes rettigheder og interesser, efter udløbet af en frist på seks måneder, vejer tungere end offentlighedens interesse i at råde over disse oplysninger.

98

Desuden skal gældssaneringen, således som generaladvokaten har anført i punkt 75 i forslaget til afgørelse, gøre det muligt for den person, som den tildeles, på ny at deltage i det økonomiske liv, og den har derfor i almindelighed en eksistentiel betydning for vedkommende. Opfyldelsen af dette formål ville imidlertid blive bragt i fare, hvis kreditoplysningsbureauer med henblik på at vurdere en persons økonomiske situation, kunne opbevare oplysninger vedrørende en gældssanering og anvende disse, efter at de er blevet slettet fra det offentlige insolvensregister, for så vidt som de fortsat anvendes som en negativ faktor i forbindelse med vurderingen af en sådan persons kreditværdighed.

99

Under disse omstændigheder kan kreditsektorens interesse i at råde over oplysninger vedrørende en gældssanering ikke begrunde en behandling af personoplysninger som den i hovedsagerne omhandlede ud over fristen for opbevaring af disse oplysninger i det offentlige insolvensregister, således at et kreditoplysningsbureaus opbevaring af disse oplysninger ikke kan baseres på databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), med hensyn til perioden efter, at oplysningerne er slettet fra et offentligt insolvensregister.

100

Hvad angår den periode på seks måneder, hvori de omhandlede oplysninger også er tilgængelige i dette offentlige register, bemærkes, at selv om indvirkningen af en parallel opbevaring af oplysningerne i sådanne bureauers databaser kan anses for at være mindre alvorlig end efter udløbet af de seks måneder, udgør denne opbevaring ikke desto mindre et indgreb i de rettigheder, der er sikret i chartrets artikel 7 og 8. I denne henseende har Domstolen allerede fastslået, at det forhold, at de samme personoplysninger er tilgængelige fra flere kilder, forstærker indgrebet i personens ret til privatliv (jf. dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 86 og 87). Det tilkommer den forelæggende ret at foretage en afvejning af de involverede interesser og indvirkningen på den registrerede med henblik på at fastslå, om private kreditoplysningsbureauers parallelle opbevaring af disse oplysninger kan anses for at være begrænset til det strengt nødvendige, således som det kræves i henhold til Domstoles praksis som nævnt i denne doms præmis 88.

101

Hvad endelig angår det forhold, at der – som i nærværende tilfælde – foreligger en adfærdskodeks, i henhold til hvilken et kreditoplysningsbureau skal slette oplysninger vedrørende en gældssanering efter tre år, bemærkes, at adfærdskodekser i overensstemmelse med databeskyttelsesforordningens artikel 40, stk. 1 og 2, under hensyntagen til de særlige forhold i de forskellige behandlingssektorer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt anvendelse af denne forordning. Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan således udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af denne forordning, såsom med hensyn til rimelig og gennemsigtig behandling, de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge, og indsamlingen af personoplysninger.

102

I henhold til databeskyttelsesforordningens artikel 40, stk. 5, forelægges et udkast til kodeks desuden for den kompetente tilsynsmyndighed, der godkender udkastet, hvis den finder, at kodeksen sikrer tilstrækkelige fornødne garantier.

103

I det foreliggende tilfælde er den adfærdskodeks, der er omhandlet i hovedsagerne, blevet udarbejdet af sammenslutningen af tyske kreditoplysningsbureauer og godkendt af den kompetente tilsynsmyndighed.

104

Når dette er sagt, forholder det sig ikke desto mindre således, at selv om en adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40, stk. 1 og 2, skal bidrage til den korrekte anvendelse af denne forordning og specificere anvendelsen af denne, må de betingelser for lovligheden af en behandling af personoplysninger, der er fastsat i en sådan kodeks, således som generaladvokaten har anført i punkt 103 og 104 i forslaget til afgørelse, ikke adskille sig fra de betingelser, der er fastsat i forordningens artikel 6, stk. 1.

105

En adfærdskodeks, der fører til en anden vurdering end den, der ville være opnået i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kan således ikke tages i betragtning ved den afvejning, der foretages i henhold til denne bestemmelse.

Databeskyttelsesforordningens artikel 17

106

Endelig ønsker den forelæggende ret nærmere bestemt oplyst, hvilke forpligtelser der påhviler et kreditoplysningsbureau i henhold til databeskyttelsesforordningens artikel 17.

107

Det skal i denne henseende bemærkes, at den registrerede i overensstemmelse med databeskyttelsesforordningens artikel 17, stk. 1, litra d), som den forelæggende ret har henvist til, har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysningerne uden unødig forsinkelse, hvis de er blevet behandlet ulovligt.

108

Det fremgår følgelig af denne bestemmelses klare ordlyd, at såfremt den forelæggende ret efter sin vurdering af, om den i hovedsagerne omhandlede behandling af personoplysninger er lovlig, måtte konkludere, at behandlingen ikke er lovlig, påhviler det den dataansvarlige, i det foreliggende tilfælde SCHUFA, at slette de pågældende oplysninger hurtigst muligt. Dette vil, i overensstemmelse med det anførte i denne doms præmis 99, være tilfældet for en behandling af personoplysninger, der varer ud over opbevaringsfristen på seks måneder for oplysninger i det offentlige insolvensregister.

109

Hvad angår den behandling, der foretages i den periode på seks måneder, hvor oplysningerne er tilgængelige i det offentlige insolvensregister, finder databeskyttelsesforordningens artikel 17, stk. 1, litra c), anvendelse, hvis den forelæggende ret måtte konkludere, at behandlingen var i overensstemmelse med denne forordnings artikel 6, stk. 1, første afsnit, litra f).

110

Denne bestemmelse fastsætter retten til sletning af personoplysninger, når den registrerede gør indsigelse mod behandlingen i henhold til databeskyttelsesforordningens artikel 21, stk. 1, og der ikke foreligger »vægtige legitime grunde til behandlingen«. I henhold til sidstnævnte bestemmelse har den registrerede ganske vist til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e) eller f). Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre vedkommende påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

111

Det følger af en samlet læsning af disse bestemmelser, at den registrerede, således som generaladvokaten har anført i punkt 93 i forslaget til afgørelse, har en ret til at gøre indsigelse mod behandlingen og en ret til sletning, medmindre der foreligger vægtige legitime grunde, der går forud for den registreredes interesser, rettigheder og frihedsrettigheder som omhandlet i databeskyttelsesforordningens artikel 21, stk. 1, hvilket det tilkommer den dataansvarlige at påvise.

112

Hvis den dataansvarlige ikke påviser dette, har den registrerede således ret til at kræve sletning af disse oplysninger på grundlag af databeskyttelsesforordningens artikel 17, stk. 1, litra c), når vedkommende gør indsigelse mod behandlingen i overensstemmelse med forordningens artikel 21, stk. 1. Det tilkommer den forelæggende ret at undersøge, om der undtagelsesvis foreligger vægtige legitime grunde, der kan berettige den omhandlede behandling.

113

Henset til samtlige ovenstående betragtninger skal det andet til det femte spørgsmål besvares således:

Databeskyttelsesforordningens artikel 5, stk. 1, litra a), sammenholdt med denne forordnings artikel 6, stk. 1, første afsnit, litra f), skal fortolkes således, at denne bestemmelse er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at disse i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering, der er indrømmet fysiske personer, med henblik på at kunne give oplysninger om disse personers kreditværdighed, i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register.

Databeskyttelsesforordningens artikel 17, stk. 1, litra c), skal fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, når vedkommende gør indsigelse mod behandlingen i overensstemmelse med denne forordnings artikel 21, stk. 1, og der ikke foreligger vægtige legitime grunde, der undtagelsesvis kan berettige den omhandlede behandling.

Databeskyttelsesforordningens artikel 17, stk. 1, litra d), skal fortolkes således, at den dataansvarlige har pligt til uden unødig forsinkelse at slette personoplysninger, der er blevet behandlet ulovligt.

Sagsomkostninger

114

Da sagernes behandling i forhold til hovedsagernes parter udgør et led i de sager, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

 

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

 

1)

Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse.

 

2)

Artikel 5, stk. 1, litra a), i forordning 2016/679, sammenholdt med denne forordnings artikel 6, stk. 1, første afsnit, litra f),

skal fortolkes således, at

denne bestemmelse er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at disse i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering, der er indrømmet fysiske personer, med henblik på at kunne give oplysninger om disse personers kreditværdighed, i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register.

 

3)

Artikel 17, stk. 1, litra c), i forordning 2016/679

skal fortolkes således, at

den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, når vedkommende gør indsigelse mod behandlingen i overensstemmelse med denne forordnings artikel 21, stk. 1, og der ikke foreligger vægtige legitime grunde, der undtagelsesvis kan berettige den omhandlede behandling.

 

4)

Artikel 17, stk. 1, litra d), i forordning 2016/679

skal fortolkes således, at

den dataansvarlige har pligt til uden unødig forsinkelse at slette personoplysninger, der er blevet behandlet ulovligt.

 

Underskrifter


( *1 ) – Processprog: tysk.