1.

Acta Diurna waren in Rom tägliche amtliche Bekanntmachungen, die in Stein oder Metall gemeißelt und an öffentlichen Orten wie dem Forum Romanum ausgestellt wurden. Im digitalen Zeitalter könnten sich nationale Behörden mit der Frage konfrontiert sehen, ob im Amtsblatt veröffentlichte Daten eines Landes, bildlich gesprochen, ebenso in Stein gemeißelt sind oder ob sie gelöscht oder geändert werden können.

2.

Das Ausgangsverfahren geht auf die Veröffentlichung von Daten durch das belgische Amtsblatt, den Moniteur belge, zurück, der amtliche Dokumente in Papierform und in elektronischer Form veröffentlicht.

3.

Die Parteien des Ausgangsverfahrens sind der État belge (belgischer Staat) und die Autorité de protection des données (Datenschutzbehörde, Belgien, im Folgenden: Datenschutzbehörde). Nachdem der Datenschutzbeauftragte des Notars festgestellt hatte, dass eine Passage eines notariell beglaubigten Gesellschafterbeschlusses, die neben den nach belgischem Recht erforderlichen Angaben personenbezogene Daten einer natürlichen Person enthielt, versehentlich veröffentlicht worden war, beantragte er beim Moniteur belge die Löschung dieser Daten. Diesen Antrag lehnte der Service Public Fédéral Justice (Föderaler Öffentlicher Dienst Justiz, im Folgenden: FÖD Justiz), die Verwaltungsbehörde des Moniteur belge, jedoch ab.

4.

Vor diesem Hintergrund sind die von der Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) mit ihrem Vorabentscheidungsersuchen vorgelegten Fragen in ihrem Umfang eher eng begrenzt. Das vorlegende Gericht möchte im Wesentlichen wissen, ob der Moniteur belge oder der FÖD Justiz als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 (im Folgenden: DSGVO) anzusehen sind ( 2 ). Für den Fall, dass diese Frage bejaht wird, fragt das vorlegende Gericht ferner nach den Grenzen der Pflichten eines Verantwortlichen, wenn die Verarbeitung von aufeinanderfolgenden Akteuren vorgenommen wird.

5.

In Kapitel I („Allgemeine Bestimmungen“) Art. 4 DSGVO sind insbesondere die folgenden Begriffe definiert: „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ und „Auftragsverarbeiter“.

6.

Weiterhin für die vorliegende Rechtssache relevant sind die Art. 5, 6, 17 und 26 DSGVO.

7.

Art. 67 §§ 1 und 2 der Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (Gesetz vom 7. Mai 1999 über das Gesellschaftsgesetzbuch, im Folgenden: Gesellschaftsgesetzbuch) bestimmten:

„§ 1   Die beglaubigten Abschriften der authentischen Urkunden, die Duplikate oder Originale der Privaturkunden und die Auszüge, ob in elektronischer Form oder nicht, deren Hinterlegung oder Bekanntmachung durch die folgenden Artikel vorgeschrieben ist, werden bei der Kanzlei des Handelsgerichts hinterlegt, in dessen Bereich die Gesellschaft ihren Sitz hat.

…

§ 2   Die hinterlegten Unterlagen werden zu der Akte gelegt, die für jede Gesellschaft bei der Kanzlei geführt wird, und die betreffenden Gesellschaften werden in das Register der juristischen Personen, ein Verzeichnis der Banque-Carrefour des Entreprises [Zentrale Datenbank der Unternehmen], eingetragen.“

8.

Art. 71 des Gesetzbuchs bestimmte:

„Für authentische Urkunden wird der Auszug aus den Gesellschaftsurkunden von den Notaren unterzeichnet, für Privaturkunden von allen gesamtschuldnerisch haftenden Gesellschaftern oder nur von einem unter ihnen, der von den anderen eigens dazu bevollmächtigt wurde.“

9.

Art. 73 dieses Gesetzbuchs bestimmte:

„Die Bekanntmachung erfolgt in den Anlagen zum Moniteur belge und muss zur Vermeidung eines Schadensersatzes zu Lasten der Beamten, denen das Versäumnis oder die Verspätung zuzuschreiben ist, binnen fünfzehn Tagen nach Hinterlegung erfolgen.

…“

10.

Art. 74 Abs. 1 dieses Gesetzbuchs bestimmte:

„Gemäß den vorhergehenden Artikeln zu hinterlegen und bekannt zu machen sind:

1. Urkunden zur Abänderung von Bestimmungen, deren Bekanntmachung durch vorliegendes Gesetzbuch vorgeschrieben ist;“

11.

Art. 1 des Arrêté royal du 30 janvier 2001 portant exécution du Code des sociétés (Königlicher Erlass vom 30. Januar 2001 zur Ausführung des Gesellschaftsgesetzbuchs) ( 4 ) bestimmte:

„… [A]lle Urkunden, Auszüge aus Urkunden, Protokolle und Unterlagen, deren Offenlegung durch das Gesellschaftsgesetzbuch … vorgeschrieben ist, [werden] bei den Kanzleien der Handelsgerichte hinterlegt.“

12.

Art. 11 dieses Königlichen Erlasses bestimmte:

„§ 1   Urkunden, Auszüge aus Urkunden und Unterlagen, die in den Anlagen zum Moniteur belge bekannt gemacht werden müssen, werden zusammen mit einer Kopie bei der Kanzlei hinterlegt. …

§ 2   Hinterlegte Papierunterlagen müssen folgende Bedingungen erfüllen:

…

…

§ 3   Für den Moniteur belge bestimmte Kopien von Urkunden, Auszügen aus Urkunden und Unterlagen, die in den Artikeln 67, 68 [und] 74 … des Gesellschaftsgesetzbuches … erwähnt sind, und der Text der Vermerke dürfen weder Streichungen noch Berichtigungen aufweisen. …

…“

13.

Art. 14 des Königlichen Erlasses lautet:

„Spätestens am zweiten Werktag nach dem Hinterlegungsdatum richtet der Urkundsbeamte die Kopien der Urkunden, der Auszüge aus Urkunden [und] der Unterlagen …, die er erhalten hat und die in den Anlagen zum Moniteur belge bekannt gemacht werden müssen, an die Direktion des Moniteur belge.“

14.

Art. 16 dieses Königlichen Erlasses bestimmte:

„Wenn eine Bekanntmachung erforderlich ist, erfolgt sie binnen den durch das Gesetz bestimmten Fristen in den Anlagen zum Moniteur belge.“

15.

Art. 472 der Loi-programme du 24 décembre 2002 (Programmgesetz vom 24. Dezember 2002) ( 5 ) bestimmt:

„Der Moniteur belge ist eine amtliche Veröffentlichung, die von der Direktion des Moniteur belge herausgegeben wird und in der alle Texte gesammelt werden, deren Veröffentlichung im Moniteur belge vorgeschrieben ist.“

16.

Art. 474 dieses Programmgesetzes bestimmt:

„Die Veröffentlichung im Moniteur belge durch die Direktion des Moniteur belge erfolgt in drei auf Papier gedruckten Exemplaren.

…

Ein Exemplar wird elektronisch gespeichert. Der König legt die Modalitäten der elektronischen Speicherung fest. …“

17.

Art. 475 dieses Programmgesetzes lautet:

„Jede weitere andere Zurverfügungstellung für die Öffentlichkeit erfolgt über die Internetseite der Direktion des Moniteur belge.

Die auf dieser Internetseite zur Verfügung gestellten Veröffentlichungen sind genaue Reproduktionen in elektronischem Format der in Artikel 474 vorgesehenen Exemplare auf Papier.“

18.

Art. 475a des Programmgesetzes vom 24. Dezember 2002 bestimmt:

„Jeder Bürger kann über eine kostenlose Telefonauskunft eine Kopie der im Moniteur belge veröffentlichten Unterlagen und Dokumente zum Selbstkostenpreis anfordern. Dieser Dienst ist weiter dafür zuständig, Bürgern einen Auskunftsdienst für die Dokumentensuche zur Verfügung zu stellen.“

19.

Art. 475b dieses Programmgesetzes bestimmt:

„Durch einen im Ministerrat beratenen Königlichen Erlass werden weitere begleitende Maßnahmen getroffen, um eine möglichst umfassende Verbreitung und einen möglichst umfassenden Zugang zu den im Moniteur belge enthaltenen Informationen zu gewährleisten.“

20.

LM ist Mehrheitsanteilseigner der Bureau LM, einer belgischen Gesellschaft mit beschränkter Haftung.

21.

Diese Gesellschaft hielt am 23. Januar 2019 eine Generalversammlung ab, in der sie beschloss, ihr Kapital herabzusetzen und ihre Satzung in diesem Sinne zu ändern.

22.

Gemäß den gesetzlichen Publizitätsregeln erstellte ein Notar einen Auszug dieses Beschlusses. Diesen hinterlegte der Notar am 12. Februar 2019 bei der Kanzlei des Tribunal de l’entreprise néerlandophone de Bruxelles (niederländischsprachiges Unternehmensgericht von Brüssel, Belgien) zum Zweck seiner amtlichen Veröffentlichung im Moniteur belge.

23.

Dieser Auszug wurde am 22. Februar 2019 in den Anlagen des Moniteur belge veröffentlicht. Er enthielt insbesondere den Beschluss über die Herabsetzung des Gesellschaftskapitals, den ursprünglichen Betrag des Kapitals, den Betrag der Herabsetzung, den neuen Betrag des Stammkapitals und die neue Fassung der Satzung. Neben den aufgrund einer gesetzlichen Vorschrift veröffentlichten Angaben enthielt der in Rede stehende Auszug die Namen der beiden Gesellschafter der in Rede stehenden Gesellschaft, die Beträge, die ihnen erstattet worden waren, sowie ihre Bankkontonummern (im Folgenden: in Rede stehende Passage), deren Veröffentlichung nicht gesetzlich vorgeschrieben war.

24.

Nachdem der Datenschutzbeauftragte des Notars festgestellt hatte, dass der Notar die in Rede stehende Passage in den veröffentlichten Auszug versehentlich mit aufgenommen hatte, beantragte er beim FÖD Justiz nach Art. 17 DSGVO, die in Rede stehende Passage zu löschen und den Auszug ohne diese Passage erneut zu veröffentlichen.

25.

Diesen Antrag lehnte der FÖD Justiz am 10. April 2019 ab ( 6 ); er bot an, eine erneute Veröffentlichung des um die in Rede stehende Passage bereinigten Auszugs vorzunehmen, wobei die ursprüngliche Veröffentlichung vom 22. Februar 2019 unangetastet bleiben sollte.

26.

LM, einer der beiden Gesellschafter der betreffenden Gesellschaft, erhob am 21. Januar 2020 bei der Datenschutzbehörde Beschwerde gegen den Moniteur belge (FÖD Justiz) wegen Verstößen gegen Art. 5 (insbesondere den Grundsatz der Datenminimierung), Art. 6 (Verarbeitung personenbezogener Daten) und Art. 17 (Recht auf Löschung) DSGVO.

27.

Mit Beschluss vom 23. März 2021 gab die Datenschutzbehörde der Beschwerde statt und ordnete im Wesentlichen an, die in Rede stehende Passage zu löschen.

28.

Gegen diesen Beschluss hat der belgische Staat bei der Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien), dem vorlegenden Gericht, am 22. April 2021 ein Rechtsmittel eingelegt, mit dem er die Nichtigerklärung dieses Beschlusses beantragt. LM ist dem Rechtsstreit beigetreten.

29.

Das vorlegende Gericht weist darauf hin, dass zwischen den Beteiligten Uneinigkeit darüber bestehe, wie der Begriff „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO auszulegen sei. Es stellt fest, dass der Moniteur belge den Auszug, nachdem er von Seiten des Tribunal de l’entreprise néerlandophone de Bruxelles (niederländischsprachiges Unternehmensgericht von Brüssel) bei ihm eingegangen sei, gemäß den gesetzlichen Bestimmungen über seine Stellung und Aufgaben unverändert veröffentlicht habe, d. h. ohne zu einer Überprüfung oder Änderung befugt zu sein. Das vorlegende Gericht fragt insbesondere, ob jeder der potenziellen aufeinanderfolgenden Akteure oder nur einer von ihnen als „Verantwortlicher“ im Sinne dieses Artikels einzustufen ist und somit nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 dieser Verordnung festgelegten Grundsätze einzustehen hat.

30.

Insoweit möchte das Gericht wissen, ob dieser Begriff der aufeinanderfolgenden oder nachfolgenden Verantwortlichkeit in dieser Verordnung verankert ist. Soweit der Moniteur belge als Empfänger der Daten im Sinne von Art. 4 Nr. 9 DSGVO angesehen werde, hält es das Gericht für fraglich, ob der Moniteur belge seinerseits als „nachfolgender“ Verantwortlicher der Verarbeitung tätig geworden sei. Dies scheine jedoch nicht der Fall zu sein, da der Moniteur belge nach geltendem belgischen Recht die Mittel und Zwecke der von ihm vorgenommenen Verarbeitung nicht im Sinne von Art. 4 Nr. 7 DSGVO festlegen könne.

31.

Vor diesem Hintergrund hat die Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) dem Gerichtshof folgende Fragen vorgelegt:

32.

Die Datenschutzbehörde, die belgische und die ungarische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.

33.

In der mündlichen Verhandlung vom 23. März 2023 sind die Datenschutzbehörde, die belgische Regierung und die Kommission vor dem Gerichtshof erschienen.

34.

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass das Amtsblatt eines Mitgliedstaats als Verantwortlicher anzusehen ist. Zunächst sind zwei Anmerkungen zur Formulierung dieser Frage angezeigt.

35.

Erstens ist dem Beschluss des vorlegenden Gerichts zu entnehmen, dass Gesellschaften nach dem Gesellschaftsgesetzbuch gesetzlich verpflichtet sind, verschiedene Dokumente und Beschlüsse in den Anlagen des Moniteur belge zu veröffentlichen. Das Gericht weist ferner darauf hin, dass der Moniteur belge in die Zuständigkeit des FÖD Justiz falle, ohne dass dies näher erläutert wird. Da die Aufteilung der Zuständigkeiten der nationalen Behörden innerhalb eines Mitgliedstaats durch nationale Vorschriften zu regeln ist, werde ich mich in den vorliegenden Schlussanträgen nur auf den Moniteur belge beziehen.

36.

Zweitens fügt das vorlegende Gericht in seine Frage eine Passage in Form eines Relativsatzes ein, mit der offenbar die dem Moniteur belge vom belgischen Gesetzgeber zugewiesenen Befugnisse erläutert werden.

37.

Diese Frage könnte somit dahin umformuliert werden, dass mit ihr im Wesentlichen geklärt werden soll, ob ein Amtsblatt eines Mitgliedstaats wie der Moniteur belge, dem nach dem anwendbaren nationalen Recht der Auftrag der Veröffentlichung und Archivierung amtlicher Dokumente übertragen wurde, als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann, wenn die Veröffentlichung dieser Dokumente in unveränderter Form von Dritten vorgegeben wird, diese Akteure die in diesen Dokumenten enthaltenen personenbezogenen Daten selbst verarbeitet haben und dieses Amtsblatt weder hinsichtlich des Inhalts der zu veröffentlichenden Dokumente noch hinsichtlich des Zwecks und der Mittel dieser Veröffentlichung über einen Entscheidungsspielraum verfügt.

38.

Zur Beantwortung dieser Frage ist zunächst darauf hinzuweisen, dass der Begriff „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO definiert ist als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“. Aus dieser Bestimmung in Verbindung mit Art. 5 Abs. 1 DSGVO, der die Grundsätze für die Verarbeitung personenbezogener Daten festlegt, geht eindeutig hervor, dass es in jeder Phase der Datenverarbeitung einen Verantwortlichen geben muss ( 7 ). Bei der Verarbeitung personenbezogener Daten muss es somit immer einen Verantwortlichen geben, der „der wesentliche Akteur bei der praktischen Umsetzung des Datenschutzrechts“ ist ( 8 ), so dass von großer Bedeutung ist, zu bestimmen, wer dieser Verantwortliche in jeder Phase der Verarbeitung ist ( 9 ). Der Begriff „Verantwortlicher“ umfasst sowohl natürliche als auch juristische Personen sowie Behörden, Einrichtungen oder andere Stellen. Die Einstufung, um welche Art von Akteur es sich handelt, bereitet in der vorliegenden Rechtssache jedoch eindeutig keine Schwierigkeiten.

39.

Bevor auf den Kern der Frage einzugehen ist, nämlich die Bestimmung des Begriffs „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO, halte ich es für wichtig, zu klären, ob die in der vorliegenden Rechtssache in Rede stehenden Vorgänge eine „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Nr. 2 bzw. Nr. 1 DSGVO darstellen.

40.

Zum einen bezeichnet der Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“; diese Definition ist nach der Rechtsprechung erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist ( 10 ). In der vorliegenden Rechtssache ist zwischen den Beteiligten unstreitig, dass die in der in Rede stehenden Passage enthaltenen Daten, wie die Namen der beiden Gesellschafter der Gesellschaft und ihre Bankkontonummern, personenbezogene Daten darstellen. Bei den diesen Gesellschaftern erstatteten Beträgen handelt es sich meines Erachtens für sich genommen nicht notwendigerweise um personenbezogene Daten. Wenn diese Beträge jedoch mit den Namen der Personen, die sie erhalten haben, verknüpft werden, sind sie tatsächlich als personenbezogene Daten anzusehen.

41.

Zum anderen definiert Art. 4 Nr. 2 DSGVO den Begriff „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ wie u. a. das „Abfragen“, „die Verwendung“, „die Offenlegung durch Übermittlung“, die „Verbreitung“ oder „eine andere Form der Bereitstellung“ personenbezogener Daten. In diesen Definitionen kommt zum Ausdruck, dass der Unionsgesetzgeber diese beiden Begriffe weit fassen wollte ( 11 ).

42.

Der Gerichtshof hat beispielsweise im Urteil Google Spain entschieden, dass die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, sofern die Informationen „personenbezogene Daten“ enthalten, als „Verarbeitung personenbezogener Daten“ im Sinne von Art. 2 Buchst. b der Richtlinie 95/46/EG ( 12 ), der im Wesentlichen Art. 4 Nr. 2 DSGVO entspricht, einzustufen ist ( 13 ). Ferner hat der Gerichtshof im Urteil Fashion ID ( 14 ) entschieden, dass eine Verarbeitung personenbezogener Daten aus einem oder mehreren Vorgängen bestehen kann, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann.

43.

In der vorliegenden Rechtssache sind meines Erachtens drei aufeinanderfolgende Verarbeitungen personenbezogener Daten erfolgt. Die erste Verarbeitung betrifft den Notar, der die im Moniteur belge zu veröffentlichende Urkunde erstellt hat (und dabei den Fehler begangen hat, die in Rede stehenden personenbezogenen Daten mit aufzunehmen) und sie bei der Kanzlei des Unternehmensgerichts hinterlegt hat. Die zweite Verarbeitung betrifft diese Kanzlei, die diese Urkunde in die Akte der Gesellschaft aufgenommen und sie zur Veröffentlichung an den Moniteur belge übermittelt hat. Die dritte Verarbeitung betraf den Moniteur belge, der nicht nur das in Papierform vorliegende Dokument in ein elektronisches Dokument digitalisiert, sondern dieses auch erhoben, erfasst, gespeichert, offengelegt und verbreitet hat. Es kann meines Erachtens kein Zweifel daran bestehen, dass alle drei Verarbeitungen, insbesondere auch diejenigen, die vom Moniteur belge durchgeführt wurden, eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellen.

44.

Der Umstand, dass in diesen drei Fällen eine Verarbeitung erfolgt ist, bedeutet jedoch noch nicht notwendigerweise, dass der Moniteur belge als Verantwortlicher gehandelt hat. In der DSGVO wird nämlich in Art. 4 Nrn. 7 und 8 zwischen Verantwortlichen einerseits und Auftragsverarbeitern andererseits unterschieden. Während der Verantwortliche den Zweck und die Mittel der Verarbeitung festlegt ( 15 ), verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen ( 16 ). Daher stellen die drei Fälle zwar eindeutig eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO dar, mit dieser Feststellung wird jedoch keine Entscheidung darüber getroffen, ob der Moniteur belge – oder ein anderer an dieser Dreistufenkette beteiligter Akteur – in der vorliegenden Rechtssache als Verantwortlicher anzusehen ist.

45.

Die Frage, ob der Moniteur belge als „Verantwortlicher“ gehandelt hat, läuft meines Erachtens auf die Prüfung hinaus, ob es im Sinne von Art. 4 Nr. 7 DSGVO „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

46.

Zunächst ist der Begriff „Verantwortlicher“ nach der einschlägigen Rechtsprechung des Gerichtshofs weit zu definieren. Der Gerichtshof hat nämlich bereits entschieden, dass das Ziel von Art. 4 Nr. 7 DSGVO darin besteht, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten ( 17 ). Außerdem sind die Begriffe des Verantwortlichen und des Auftragsverarbeiters funktionelle Begriffe, die eine Zuweisung der Verantwortlichkeiten anhand der tatsächlichen Rollen der Beteiligten ermöglichen sollen ( 18 ). Anders ausgedrückt, ist der „für die Verarbeitung personenbezogener Daten Verantwortliche … die Person, die entscheidet, warum und auf welche Weise diese Daten verarbeitet werden“ ( 19 ). Daher ist über die Zuweisung der Verantwortlichkeiten des Verantwortlichen „auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse“ zu entscheiden ( 20 ).

47.

Zweitens wird in Art. 4 Nr. 7 DSGVO mit dem Merkmal „allein oder gemeinsam“ mit anderen anerkannt, dass über „die Zwecke und Mittel“ der Datenverarbeitung von mehr als einem Akteur entschieden werden kann. Allerdings kann der Umfang, in dem zwei oder mehr Akteure gemeinsam Kontrolle ausüben, verschiedene Formen annehmen ( 21 ); dies wird im Rahmen der Würdigung der zweiten Frage erörtert.

48.

Drittens hat das Königreich Belgien mit dem Königlichen Erlass vom 25. Juni 2020 den FÖD Justiz als Verantwortlichen im Sinne von Art. 4 Nr. 7 der DSGVO benannt ( 22 ). Der dem Ausgangsverfahren zugrunde liegende Sachverhalt ereignete sich jedoch zeitlich vor dem Inkrafttreten dieses Erlasses. Er ist daher auf die vorliegende Rechtssache zeitlich nicht anwendbar. Daraus folgt somit, dass der Gerichtshof die vor dem Inkrafttreten dieses Erlasses bestehende Verteilung der Zuständigkeiten und Verantwortlichkeiten zwischen den nationalen Akteuren zu prüfen hat.

49.

Nach diesen Vorbemerkungen werde ich jetzt die Voraussetzungen nach Art. 4 Nr. 7 DSGVO prüfen, nämlich, welcher der fraglichen Akteure „über die Zwecke und Mittel der Verarbeitung“ der in Rede stehenden personenbezogenen Daten „entscheidet“.

50.

Die Eigenschaft als Verantwortlicher kann sich aus dem einschlägigen Recht oder aus einer Würdigung der tatsächlichen Gesichtspunkte oder Umstände des Falles ergeben ( 23 ). Nach Art. 4 Nr. 7 DSGVO können dann, wenn die Zwecke und Mittel dieser Verarbeitung insbesondere durch das Recht eines Mitgliedstaats vorgegeben sind, der Verantwortliche nach diesem Recht benannt beziehungsweise die für seine Benennung geltenden bestimmten Kriterien nach diesem Recht vorgesehen werden. Daraus folgt, dass dann, wenn ein Akteur im Gesetz explizit als Verantwortlicher festgelegt ist, diese Benennung maßgeblich ist ( 24 ). In der vorliegenden Rechtssache gibt es jedoch keine konkrete Bestimmung, durch die ein Verantwortlicher ausdrücklich benannt wird.

51.

Möglich ist auch, dass das Gesetz, wenngleich lediglich implizit, einen Akteur als Verantwortlichen benennt ( 25 ). Wenn beispielsweise der betreffende Akteur nach den nationalen Rechtsvorschriften verpflichtet ist, bestimmte Daten aufzubewahren oder anzugeben, wäre dieser Akteur in Bezug auf die zur Erfüllung dieser Pflicht erforderliche Verarbeitung als Verantwortlicher anzusehen. Eine solche implizite Benennung durch nationale Rechtsvorschriften liegt vor, wenn sich aus der Rolle, den Aufgaben und den Befugnissen, die dieser Stelle zugewiesen werden, ergibt, dass sie über die Zwecke und Mittel der betreffenden Verarbeitung entscheidet. Im Urteil Manni hat der Gerichtshof, auf eine Tatsachenwürdigung gestützt, festgestellt, dass die gesetzlich mit der Führung eines Gesellschaftsregisters betraute Stelle, „indem sie diese Informationen in das Register einträgt und darin aufbewahrt und sie gegebenenfalls auf Antrag an Dritte übermittelt“, im Sinne der in Art. 2 Buchst. b und d der Richtlinie 95/46 enthaltenen Definitionen eine „Verarbeitung personenbezogener Daten“ vornimmt, für die sie „Verantwortlicher“ ist ( 26 ).

52.

In der vorliegenden Rechtssache wird zwar durch die nationalen Rechtsvorschriften nicht ausdrücklich ein Verantwortlicher benannt, doch wird eine gesetzliche Pflicht für Gesellschaften geregelt, bestimmte Dokumente im Moniteur belge zu veröffentlichen ( 27 ). Durch sie wurde somit eine gesetzliche Pflicht zur Verarbeitung von Daten begründet, die von einem Verantwortlichen verwaltet werden muss. Der nationale Gesetzgeber hat eine Regelung geschaffen, nach der es drei Akteure gibt, die die Daten nacheinander verarbeiten; unter den Beteiligten herrscht jedoch Uneinigkeit darüber, welcher dieser drei Akteure tatsächlich der Verantwortliche ist ( 28 ). Es ist daher zu prüfen, welche konkreten Befugnisse diesen Akteuren zugewiesen sind, um festzustellen, welchen von ihnen der Gesetzgeber implizit als Verantwortlichen für die dritte Stufe der Verarbeitung, nämlich die vom Moniteur belge durchgeführten Vorgänge, benannt hat.

53.

Art. 4 Nr. 7 DSGVO verlangt durch die Verwendung des Verbs „entscheiden“, dass ein Verantwortlicher durch Ausübung einer Entscheidungsbefugnis Einfluss auf die Verarbeitung ausübt ( 29 ). Beispielsweise ging es in der das „Gefällt mir“-Plugin von Facebook ( 30 ) betreffenden Rechtssache darum, ob Fashion ID, ein Online-Händler für Modeartikel, der in seine Website das Social Plugin „Gefällt mir“ des sozialen Netzwerks Facebook eingebunden hatte, mit Facebook gemeinsam über die Mittel der Erhebung der personenbezogenen Daten der Besucher der Website von Fashion ID und deren Weitergabe durch Übermittlung entschied. Der Gerichtshof stellte in jener Rechtssache ausdrücklich fest, dass Fashion ID mit der Einbindung eines solchen Social Plugins in ihre Website entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins, im vorliegenden Fall Facebook Ireland, beeinflusste, die ohne Einbindung dieses Plugins nicht erfolgen würden ( 31 ). Demnach folgt aus dem Bestehen eines entscheidenden Einflusses auf die Verarbeitung personenbezogener Daten, dass der diesen Einfluss ausübende Akteur als Verantwortlicher anzusehen ist. Das Fehlen eines entscheidenden Einflusses ist jedoch nicht ausreichend, um ausschließen zu können, dass ein Akteur gleichwohl als Verantwortlicher angesehen werden kann.

54.

Aufgrund der Art und Weise, in der die Information erzeugt und elektronisch verbreitet wird, erhöht die Verbreitung von Daten im Internet die Gefahr einer Verletzung der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten exponentiell ( 32 ). Im Bewusstsein dieser Gefahr folgt der Gerichtshof einer weiten Definition des Begriffs „Verantwortlicher“ ( 33 ), damit durch die DSGVO ein wirksamer und umfassender Schutz betroffener Personen, und insbesondere ihres Rechts auf Privatleben, gewährleistet wird ( 34 ). In diesem Sinne hat der Gerichtshof im Urteil Google Spain festgestellt, dass es nicht nur mit dem klaren Wortlaut von Art. 2 Buchst. d der Richtlinie 95/46, der im Wesentlichen Art. 4 Nr. 7 DSGVO entspricht, sondern auch mit dem Ziel dieser Bestimmung unvereinbar wäre, den Suchmaschinenbetreiber deshalb von diesem Begriff auszunehmen, weil die auf den Internetseiten Dritter veröffentlichten personenbezogenen Daten nicht seiner Kontrolle unterliegen ( 35 ). Mit dieser weiten Definition folgt der Gerichtshof eindeutig einer teleologischen Auslegung dieser Bestimmung: Die Definition des „Verantwortlichen“ muss den wirksamen und umfassenden Schutz betroffener Personen gewährleisten. Außerdem ist darauf hinzuweisen, dass diese Auslegung durch die DSGVO nur bekräftigt werden kann, die auf der Grundlage von Art. 16 Abs. 1 AEUV erlassen wurde, der den Unionsgesetzgeber ermächtigt, das Grundrecht auf Schutz personenbezogener Daten nach Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) zu gewährleisten ( 36 ).

55.

In der vorliegenden Rechtssache hat der nationale Gesetzgeber eindeutig eine Regelung mit drei verschiedenen Verarbeitungen gestaltet, eine Kette, die mit dem Notar beginnt, der die betreffenden Dokumente erstellt und unterzeichnet, sich mit der Kanzlei des Unternehmensgerichts fortsetzt, die die Urkunde in die Akte der Gesellschaft aufnimmt und speichert, und die mit dem Moniteur belge endet, der diese Unterlagen digitalisiert und veröffentlicht. Zwar muss das betreffende Dokument vom Moniteur belge unverändert veröffentlicht werden, dies ändert jedoch nichts daran, dass es zu seiner Veröffentlichung weder vom Notar noch von der Kanzlei des Unternehmensgerichts in ein elektronisches Dokument digitalisiert wird; diese Digitalisierung und die anschließende Verbreitung des betreffenden Dokuments im Internet wird allein vom Moniteur belge vorgenommen.

56.

Hinzuweisen ist insbesondere darauf, dass der nationale Gesetzgeber mit dem Erlass der Art. 474 bis 475b des Programmgesetzes vom 24. Dezember 2002 dem Moniteur belge bestimmte Befugnisse übertragen hat. Aus diesen Bestimmungen ergibt sich, dass die betreffenden Dokumente vom Moniteur belge nicht nur in Papierform veröffentlicht, sondern auch über seine Website in elektronischem Format zur Verfügung gestellt, elektronisch gespeichert und Bürgern mittels Bereitstellung einer Telefonauskunft und eines Suchauskunftsdienstes für Dokumente zur Verfügung gestellt werden und schließlich eine möglichst umfassende Verbreitung und ein möglichst umfassender Zugang zu den im Moniteur belge enthaltenen Informationen gewährleistet wird. Aus diesen Bestimmungen ergibt sich daher meines Erachtens, dass der nationale Gesetzgeber den Moniteur belge mit Befugnissen im Bereich der Digitalisierung, Veröffentlichung, Verbreitung und Speicherung der in Rede stehenden Dokumente betraut und ihm damit Befugnisse übertragen hat, die vom Begriff des Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO erfasst sind ( 37 ).

57.

Durch die Durchführung der vorgenannten Vorgänge, mit denen es vom Gesetzgeber betraut worden ist, nämlich der Digitalisierung, Veröffentlichung und Verbreitung, wird die Gefahr einer Verletzung der Grundrechte der betreffenden Person (gegenüber der bloßen Veröffentlichung des Dokuments in seiner Papierfassung) durch den Moniteur belge exponentiell erhöht. Es ist die Verarbeitung durch dieses Amtsblatt, die den wirksamen und umfassenden Schutz der in Rede stehenden betroffenen Person tatsächlich bedroht. Demnach kann es meines Erachtens keine Alternative dazu geben, zu der Ansicht zu kommen, dass in Anbetracht des Ziels der Gewährleistung des wirksamen und umfassenden Schutzes betroffener Personen und des potenziellen Schadens, der diesen Personen aus der Digitalisierung und Verbreitung entstehen kann, der Moniteur belge von der Definition des „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO nicht ausgenommen werden kann.

58.

Schließlich ist zur Übertragbarkeit der Rechtsprechung zu privaten Suchmaschinen auf öffentliche Stellen, wie etwa den Moniteur belge, darauf hinzuweisen, dass der Gerichtshof sich in einem kürzlich ergangenen Urteil auf diese Rechtsprechung gestützt und insoweit bestätigt hat, dass die Staatsanwaltschaft als „Verantwortlicher“ anzusehen ist ( 38 ). In dieser Übertragung kommt meines Erachtens der Grundansatz zum Ausdruck, den Begriff „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO weit auszulegen, um einen wirksamen und umfassenden Schutz der im Primärrecht verankerten Grundrechte und Freiheiten betroffener Personen zu gewährleisten ( 39 ), und zwar unabhängig davon, ob der Verantwortliche ein öffentlicher oder privater Akteur ist ( 40 ). Um diesen wirksamen und umfassenden Schutz zu gewährleisten, sind die Grundsätze des Datenschutzes, die für private Suchmaschinen gelten, sowohl für private als auch für öffentliche Akteure relevant, die denselben übergreifenden Grundsätzen in Bezug auf Daten und Pflichten nach der DSGO unterliegen, in denen das Primärrecht sich konkretisiert.

59.

In der mündlichen Verhandlung hat die belgische Regierung die Ansicht vertreten, dass der Notar als Verantwortlicher anzusehen sei, da er über die Mittel und Zwecke der Datenverarbeitung entscheide.

60.

Wäre der Notar als alleiniger Verantwortlicher anzusehen, liefe dies meines Erachtens praktisch darauf hinaus, dass für die dritte Stufe der Verarbeitung, nämlich die vom Moniteur belge durchgeführten Vorgänge, niemand als Verantwortlicher anzusehen wäre, da, wie der Sachverhalt der vorliegenden Rechtssache veranschaulicht, der Gesetzgeber dem Notar nicht die Befugnis übertragen hat, auf diese dritte Stufe der Verarbeitung entscheidenden Einfluss auszuüben. Allerdings können die drei in Rede stehenden Akteure in verschiedenen Phasen und in unterschiedlichem Ausmaß in diese Verarbeitung personenbezogener Daten einbezogen sein, so dass möglicherweise jeder von ihnen als Verantwortlicher angesehen werden kann, wenngleich in unterschiedlichem Umfang und mit einem unterschiedlichen, sich aus der Eigenschaft als Verantwortlicher ergebenden Grad der Verantwortlichkeit ( 41 ). Hingewiesen sei ferner darauf, dass, wie von der Kommission in der mündlichen Verhandlung vorgetragen, der Moniteur belge theoretisch durch das Gesetz als Auftragsverarbeiter benannt werden könnte, sofern die nationale Regelung die Pflicht zur Erstellung, Speicherung und digitalen Verbreitung des in Rede stehenden Dokuments mehreren Akteuren auferlegt hat. Der Moniteur belge könnte jedoch nur als Auftragsverarbeiter angesehen werden, wenn die Voraussetzungen nach Art. 28 DSGVO erfüllt sind; dies ist ausgehend von dem dem Gerichtshof vorgetragenen Sachverhalt eindeutig nicht der Fall, da jeder der betreffenden Akteure für seinen eigenen Teil der Verarbeitung verantwortlich ist ( 42 ). Daher kann der Moniteur belge nicht als Auftragsverarbeiter im Sinne dieser Bestimmung angesehen werden.

61.

Die belgische Regierung hat ferner vorgebracht, dass der nationale Gesetzgeber selbst als Verantwortlicher handele oder einen Akteur als Verantwortlichen bestimme, wohingegen der Moniteur belge lediglich die ihm übertragenen Befugnisse ausübe. Nach Ansicht dieser Regierung soll die Rechtsprechung zu privaten Suchmaschinen auf öffentliche Akteure nicht übertragbar sein, da der Moniteur belge als vom Gesetzgeber eingerichtete Behörde über seinen eigenen Auftrag und seine eigenen Aufgaben nicht allein entscheiden könne.

62.

Wie bereits ausgeführt ( 43 ), hat der nationale Gesetzgeber in der vorliegenden Rechtssache den Moniteur belge implizit als Verantwortlichen benannt, indem er ihm die Befugnisse zur Durchführung einer bestimmten Anzahl konkreter Aufgaben übertragen hat.

63.

Sollte der Gerichtshof zu der Annahme kommen, dass der nationale Gesetzgeber immer dann als Verantwortlicher anzusehen wäre, wenn er seine Befugnis ausübt, über die Zwecke und Mittel eines bestimmten Verarbeitungsvorgangs zu entscheiden, würde dieser Ansatz meines Erachtens jedenfalls dazu führen, dass natürlichen Personen kein wirksamer Schutz mehr gewährt würde, so dass dem Begriff des Verantwortlichen seine praktische Wirksamkeit genommen würde. Der wirksame Schutz betroffener Personen kann nämlich nicht gewährleistet werden, wenn für jede Verarbeitung personenbezogener Daten, die durch die Rechtsvorschriften eines Mitgliedstaats vorgeschrieben wird, die zahlreichen Verantwortlichkeiten des Verantwortlichen vom Gesetzgeber selbst wahrgenommen würden. Wenn einer Behörde die Befugnisse zur Verarbeitung personenbezogener Daten übertragen worden sind, ist der Verantwortliche daher meines Erachtens nicht der Gesetzgeber, sondern vielmehr ist der Akteur, der für die Zwecke und Mittel dieser Verarbeitung verantwortlich ist, die Behörde, die die öffentlichen Aufgaben durchführt ( 44 ). In der vorliegenden Rechtssache ergibt sich aus den Umständen eindeutig, dass die in Rede stehende Verarbeitung, wie in Nr. 43 der vorliegenden Schlussanträge erläutert, im Wege der Durchführung der nationalen Rechtsvorschriften erfolgt, was die Annahme ausschließt, dass der Gesetzgeber selbst, durch den Erlass von Gesetzen, der Verantwortliche für die Verarbeitung personenbezogener Daten ist.

64.

In der vorliegenden Rechtssache ergibt sich aus den dem Gerichtshof vorgetragenen nationalen Rechtsvorschriften offenbar, dass der Moniteur belge in Bezug auf die Texte, die er zu veröffentlichen verpflichtet ist, über keine Entscheidungsbefugnis verfügt ( 45 ). Wie von der belgischen Regierung in ihren schriftlichen Erklärungen und in der mündlichen Verhandlung betont, steht dem Moniteur belge nämlich eine Frist von 15 Tagen ( 46 ) zur Verfügung, um das Dokument zu veröffentlichen, mit dem das vom Notar erstellte Dokument genau wiedergeben werden muss. Im Fall eines Versäumnisses oder einer Verspätung setzt sich der Beamte des Moniteur belge dem Risiko aus, dass Schadensersatzansprüche gegen ihn geltend gemacht werden ( 47 ). Um das zu verhindern, prüft diese Behörde nicht, ob die Informationen, die sie zu veröffentlichen verpflichtet ist, vollständig, gültig oder richtig sind. Wie von der belgischen Regierung vorgetragen, ist der Moniteur belge daher offenbar nicht befugt, den Inhalt dieser Dokumente, einschließlich der darin möglicherweise enthaltenen personenbezogenen Daten, zu überprüfen.

65.

Da jedoch der Gesetzgeber selbst durch den Erlass von Gesetzen nicht als Verantwortlicher handelt und da in der Tat kein anderer Akteur auf die Entscheidung über die Zwecke und Mittel der betreffenden Verarbeitung Einfluss hat – d. h. die Digitalisierung und die digitale Verbreitung der in Rede stehenden Dokumente – muss, um eine in Bezug auf die Benennung eintretende Regelungslücke zu vermeiden, der Moniteur belge als Verantwortlicher benannt werden. Dem Notar und der Kanzlei des Unternehmensgerichts fehlt es ganz einfach an einer Befugnis, in diesem Stadium tätig zu werden. Dass es an einem Entscheidungsspielraum seitens des Moniteur belge fehlt, kann jedoch nicht zu einer Herauslösung aus dem wirksamen Schutz betroffener Personen führen. Es ist daher festzustellen, dass der Moniteur belge Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wenngleich er, für die Verarbeitung personenbezogener Daten im Rahmen der durch die nationalen Rechtsvorschriften vorgeschriebenen Veröffentlichung von Dokumenten, lediglich implizit als solcher benannt worden ist.

66.

Dem Sachverhalt der vorliegenden Rechtssache ist offenbar zu entnehmen, dass der Datenschutzbeauftragte des Notars beim FÖD Justiz (der für den Moniteur belge tätig wird) beantragt hat, die in Rede stehende Passage zu löschen – aus dem Internet zu entfernen – und den Auszug ohne diese Passage zu veröffentlichen. Diesen Antrag hat der FÖD Justiz abgelehnt und eine Veröffentlichung eines neuen Auszugs angeboten. Vor diesem Hintergrund ist der betreffende Notar offenbar nicht befugt, eine Änderung oder Entfernung der in Rede stehenden Passage zu verlangen. Zu betonen ist jedoch, dass offenbar auch kein anderer Akteur hierzu befugt ist.

67.

Die belgische Regierung trägt vor, dass die im Moniteur belge veröffentlichten Dokumente nach dem Willen des nationalen Gesetzgebers zu Archivierungszwecken über die Zeit hinweg unveränderlich bleiben sollten und dass die elektronische Version der Veröffentlichungen die Papierfassung stets genau wiedergeben müsse, was eine rückwirkende Änderung der Veröffentlichungen ausschließe. Diese Regierung trägt weiter vor, dass die Berichtigung eines im Moniteur belge veröffentlichten Dokuments betreffend eine juristische Person voraussetze, dass der Notar ein Änderungsdokument bei der Kanzlei des Unternehmensgerichts hinterlege, die dann bei der Verwaltung des Moniteur belge beantragen müsse, dieses Änderungsdokument zu veröffentlichen. Dagegen sei es nach belgischem Recht nicht möglich, die ursprüngliche Urkunde vollständig zu löschen, da sonst gegen den Grundsatz der Unveränderlichkeit des Moniteur belge verstoßen werden könnte.

68.

Meines Erachtens hat die Ablehnung durch die Behörde, die Passage zu löschen, die die betreffenden personenbezogenen Daten enthält, und das betreffende Dokument ohne diese Passage zu veröffentlichen, die Wirkung, diese Daten öffentlich verfügbar zu erhalten. Daraus folgt meines Erachtens, dass diese Behörde im Rahmen der Anwendung der nationalen Rechtsvorschriften als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO handelt, da sie dadurch, dass sie die in Rede stehende Passage nicht entfernt, sondern sie öffentlich verfügbar erhält, über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Würde der Moniteur belge nicht als Verantwortlicher angesehen, wäre offenbar keine Stelle als solcher anzusehen ( 48 ).

69.

Ob eine Behörde wie der Moniteur belge als „Verantwortlicher“ anzusehen ist, kann meines Erachtens nicht davon abhängen, dass sie nach nationalem Recht einem Antrag auf Löschung von Daten nicht entsprechen kann. Soweit die nationalen Rechtsvorschriften eine Regelungslücke aufweisen, ist es daher Sache der nationalen Behörden und, im vorliegenden Stadium, des nationalen Gerichts, im Wege der Anwendung der DSGVO den Akteur zu benennen, der die sich aus dieser Verordnung ergebenden Pflichten einzuhalten hat. In der vorliegenden Rechtssache bleiben die Daten, da sie verarbeitet werden, öffentlich verfügbar, nach nationalem Recht ist jedoch als Verantwortlicher für diesen Teil der Verarbeitung keine zuständige Behörde benannt.

70.

In dieser Fallgestaltung sollte der Gerichtshof in Anbetracht dessen, dass der nationale Gesetzgeber insoweit eine Regelungslücke gelassen hat, als er keinen Verantwortlichen benannt hat, feststellen, dass es Sache des vorlegenden Gerichts ist, auf der Grundlage der dem Gerichtshof vorgetragenen Umstände den Moniteur belge (oder gegebenenfalls, wenn das Gericht dieser Auffassung ist, den FÖD Justiz) als Verantwortlichen zu benennen. Nur eine solche Auslegung stünde meines Erachtens im Einklang mit dem mit Art. 4 Nr. 7 DSGVO verfolgten Ziel, durch eine weite Definition des Begriffs „Verantwortlicher“ einen wirksamen und umfassenden Schutz betroffener Personen zu gewährleisten ( 49 ). Ferner würde dies Schlupflöcher vermeiden und eine mögliche Umgehung der Vorschriften der DSGVO verhindern.

71.

Was die praktischen Argumente im Zusammenhang mit dem Grundsatz der Unveränderlichkeit der vom Moniteur belge verbreiteten Informationen angeht, ist es Sache des nationalen Gesetzgebers, im Hinblick auf die sich insbesondere aus den Art. 5 und 17 DSGVO ergebenden Pflichten einen gesetzlichen Rahmen zu schaffen, der dem Schutz betroffener Personen und diesem Grundsatz Rechnung trägt. Da die Veröffentlichung personenbezogener Daten die Gefahr eines Schadens für betroffene Personen exponentiell erhöht, bedarf es innovativer Lösungen im nationalen Recht ( 50 ).

72.

Im Ergebnis schlage ich dem Gerichtshof in der vorliegenden Rechtssache vor, festzustellen, dass der Moniteur belge mit der Entscheidung zur Ablehnung der Entfernung der in Rede stehenden Passage für die Öffentlichkeit, d. h. mit der Erhaltung der öffentlichen Verfügbarkeit dieser Passage, als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO handelt.

73.

Im vorliegenden Fall ist durch die nationalen Rechtsvorschriften eine Pflicht begründet worden, zur Einhaltung der sich aus der DSGVO ergebenden Pflichten einen Verantwortlichen zu benennen. Was erstens die Digitalisierung, Veröffentlichung und Verbreitung der in Rede stehenden Daten angeht, ist zur Gewährleistung der Grundrechte der betroffenen Person der Moniteur belge als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO zu bestimmen. Was zweitens die unterbliebene Entfernung der in Rede stehenden Daten angeht, weisen die nationalen Rechtsvorschriften eine Regelungslücke auf, da keiner der betreffenden Akteure diese Daten entfernen darf. In einem solchen Fall ist es Sache des nationalen Gerichts, das die DSGVO zur Gewährleistung des Schutzes der Grundrechte der betroffenen Personen anwendet, einen Verantwortlichen zu benennen; in der vorliegenden Rechtssache dürfte dies der Moniteur belge sein.

74.

Daher schlage ich vor, die erste Frage dahin zu beantworten, dass Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass ein Amtsblatt eines Mitgliedstaats wie der Moniteur belge, dem nach dem anwendbaren nationalen Recht der Auftrag der Veröffentlichung und Archivierung amtlicher Dokumente übertragen wurde, zur Gewährleistung eines wirksamen und umfassenden Schutzes betroffener Personen als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann, wenn ihm die Veröffentlichung dieser Dokumente in unveränderter Form von anderen Akteuren aufgetragen wird, da der nationale Gesetzgeber diesem Amtsblatt die Befugnis zur Entscheidung über die Mittel der Digitalisierung, Veröffentlichung, Verbreitung und Speicherung der in Rede stehenden Dokumente übertragen und weit gefasste Zwecke der Veröffentlichung und Verbreitung festgelegt hat. Was jedoch die fehlende Benennung des Verantwortlichen in Bezug auf die Entfernung oder Löschung der Daten angeht, ist es, da die in Rede stehenden Daten öffentlich verfügbar bleiben, Sache des nationalen Gerichts, den Akteur zu benennen, der die sich aus der DSGVO ergebenden Pflichten einhalten muss.

75.

Nur für den Fall, dass der Gerichtshof der vorstehenden Antwort auf die erste Frage folgt, ist von ihm auch die zweite Frage zu beantworten, nämlich ob der Moniteur belge oder die ihn verwaltende Behörde für die Einhaltung der sich aus der DSGVO ergebenden Pflichten des Verantwortlichen allein verantwortlich sein muss.

76.

Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 2 DSGVO dahin auszulegen ist, dass das betreffende Amtsblatt allein für die Einhaltung der Pflichten verantwortlich ist, die nach dieser Bestimmung bei dem Verantwortlichen liegen, unter Ausschluss anderer Akteure, von denen die Daten in den Urkunden und amtlichen Dokumenten, deren Veröffentlichung sie von ihm verlangen, zuvor verarbeitet wurden, oder ob diese Pflichten kumulativ jedem der nacheinander Verantwortlichen auferlegt sind.

77.

Nach Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der in Abs. 1 dieses Artikels genannten Grundsätze, wie die Grundsätze der Datenminimierung und der Richtigkeit, verantwortlich ( 51 ) und muss deren Einhaltung nachweisen können. Da eine natürliche Person die Löschung personenbezogener Daten begehre, für die nach den nationalen Rechtsvorschriften keine Veröffentlichung erforderlich sei, erläutert das vorlegende Gericht, dass es darüber entscheiden müsse, ob der Moniteur belge oder die ihn verwaltende Behörde für die Einhaltung der Grundsätze der Datenminimierung und Richtigkeit allein verantwortlich sein müsse oder ob für die Wahrung dieser Grundsätze auch die beiden weiteren Akteure verantwortlich seien.

78.

Das vorlegende Gericht hält unter Hinweis darauf, dass die Beteiligten des Ausgangsverfahrens sich nicht darauf beriefen, dass gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO gegeben seien, insbesondere für klärungsbedürftig, ob jeder der potenziellen aufeinanderfolgenden Verantwortlichen oder nur einer von ihnen als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 dieser Verordnung einzustufen und damit nach Art. 5 Abs. 2 dieser Verordnung für die Einhaltung der vorgenannten Grundsätze verantwortlich zu machen sei.

79.

Wie bereits ausgeführt ( 52 ), wurden die betreffenden personenbezogenen Daten, die in der in Rede stehenden Passage genannt wurden, die im Moniteur belge veröffentlicht wurde, nacheinander von mehreren Akteuren verarbeitet, nämlich von dem Notar, der den Auszug erstellte, von der Kanzlei des Tribunal de l’entreprise néerlandophone de Bruxelles (niederländischsprachiges Unternehmensgericht von Brüssel), das ihn in die Akte der Gesellschaft aufnahm, und schließlich vom Moniteur belge, der ihn unverändert veröffentlichte.

80.

Zu dieser Kette von Ereignissen ist festzustellen, dass die dem Moniteur belge übertragene Verarbeitung der betreffenden personenbezogenen Daten nicht nur nach der Verarbeitung durch den Notar und die Kanzlei des Unternehmensgerichts erfolgte, sondern sich auch technisch von der Verarbeitung durch diese beiden Akteure unterscheidet und zusätzlich zu dieser erfolgte. Wichtig ist der Hinweis darauf, dass soweit die vom Moniteur belge durchgeführten Vorgänge insbesondere die Digitalisierung der Daten, die in den bei ihm eingereichten Auszügen aus Dokumenten enthalten sind, die Veröffentlichung, die allgemeine Zurverfügungstellung für die Öffentlichkeit und die Speicherung dieser Daten beinhalten, mit den dem Moniteur belge gesetzlich übertragenen Vorgängen – gegenüber der zuvor von den beiden anderen Akteuren durchgeführten Verarbeitung – eine erhebliche und zusätzliche Wirkung und eine erhebliche und zusätzliche Gefahr für die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verbunden ist ( 53 ).

81.

Daher obliegt es dem Moniteur belge, für die Verarbeitungsvorgänge, zu denen er durch das nationale Recht verpflichtet wird, sämtliche, sich aus der DSGVO ergebenden Pflichten des Verantwortlichen einzuhalten.

82.

In Art. 4 Nr. 7 DSGVO wird anerkannt, dass „über die Zwecke und Mittel der Verarbeitung“ von mehreren Akteuren entschieden werden kann. Nach dieser Vorschrift bezeichnet der Begriff „Verantwortlicher“ die Stelle, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung entscheidet. Dieser Fall ist in Art. 26 DSGVO geregelt, wonach mehrere Akteure für dieselbe Verarbeitung als Verantwortliche tätig werden können und jeder von ihnen den geltenden Datenschutzvorschriften unterliegt ( 54 ).

83.

Nach Art. 26 Abs. 1 DSGVO sind zwei oder mehr Verantwortliche dann, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, gemeinsam Verantwortliche. Weiter heißt es in diesem Absatz, dass die gemeinsam Verantwortlichen ihre jeweiligen Zuständigkeiten in Bezug auf die Gewährleistung der Einhaltung aller Anforderungen der DSGVO in transparenter Form festlegen müssen, sofern und soweit ihre jeweiligen Pflichten nicht u. a. durch Rechtsvorschriften der Mitgliedstaaten, denen die Verantwortlichen unterliegen, bestimmt sind. Die gemeinsame Verantwortlichkeit mehrerer Verantwortlicher hängt daher nicht notwendigerweise vom Vorliegen eines Vertrags zwischen den verschiedenen Verantwortlichen und nicht einmal von ihrem Willen ab, sondern kann sich aus dem nationalen Recht ergeben, sofern sich aus diesem die Benennung mehrerer Verantwortlicher und die jeweiligen Pflichten jedes dieser Verantwortlichen im Hinblick auf die Anforderungen der DSGVO ableiten lassen.

84.

Der Umstand, dass an ein und derselben Verarbeitungskette mehrere Akteure beteiligt sind, bedeutet jedoch nicht, dass sie notwendigerweise als gemeinsam Verantwortliche handeln ( 55 ). Der Gerichtshof hat ferner entschieden, dass eine natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als verantwortlich angesehen werden kann ( 56 ). In der vorliegenden Rechtssache ist somit offenbar nicht davon auszugehen, dass durch das nationale Recht gemeinsam Verantwortliche benannt worden sind, da der Notar über die vom Moniteur belge durchgeführten Vorgänge keine Kontrolle hat.

85.

In der vorliegenden Rechtssache ist daher eine gemeinsame Verantwortlichkeit der drei Akteure meines Erachtens weder durch das nationale Recht festgelegt worden noch dem dem vorlegenden Gericht vorgetragenen Sachverhalt zu entnehmen. Was den Sachverhalt des Ausgangsverfahrens betrifft, ist insbesondere darauf hinzuweisen, dass für die drei Akteure innerhalb der Kette nicht dieselben Mittel der Verarbeitung relevant sind, da der Moniteur belge die Digitalisierung, die Veröffentlichung und die Verbreitung der betreffenden Dokumente durchführt. Außerdem müsste ausgehend vom Sachverhalt des Ausgangsverfahrens die betroffene natürliche Person, die von ihrem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen will, ihre Ansprüche nach der DSGVO gegenüber jedem und gegen jeden der gemeinsam Verantwortlichen geltend machen. Unter diesem Blickwinkel wäre daher für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 DSGVO jeder der Akteure gesondert verantwortlich ( 57 ).

86.

Demzufolge kann meines Erachtens keine „kumulative“ Verantwortlichkeit der verschiedenen Verantwortlichen nach Art. 5 Abs. 2 DSGVO festgestellt werden. Vielmehr kann jeder der an der Verarbeitungskette beteiligten Akteure für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 DSGVO nur individuell im Einklang mit den Zwecken und Mitteln der Datenverarbeitung für die Verarbeitungsvorgänge verantwortlich sein, die er durchgeführt hat. Da in der vorliegenden Rechtssache die Daten nicht vom Notar, sondern vom Moniteur belge falsch veröffentlicht wurden, dürfte diese Behörde meines Erachtens, obwohl sie die Daten nicht selbst in die in Rede stehende Passage aufgenommen hat, auch für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 der DSGVO individuell verantwortlich zu machen sein.

87.

Schließlich ist es Sache des vorlegenden Gerichts, die Vereinbarkeit des nationalen Rechts mit der DSGVO zu prüfen, das die Möglichkeit einer Berichtigung, nicht aber einer Löschung der im Moniteur belge veröffentlichten Daten vorsieht. Nach den nationalen Rechtsvorschriften ist es dem Moniteur belge nämlich offenbar nicht gestattet, Daten, die (auch in elektronischer Form) bereits veröffentlicht wurden, rückwirkend zu löschen. Insoweit besteht zwar nach Art. 23 DSGVO die Möglichkeit, das Recht auf Berichtigung und das Recht auf Löschung nach Art. 16 bzw. Art. 17 DSGVO nach nationalem Recht zu beschränken. Eine solche Beschränkung muss jedoch nach Art. 52 Abs. 1 der Charta gesetzlich vorgeschrieben sein, den Wesensgehalt der Grundrechte natürlicher Personen achten und den Grundsatz der Verhältnismäßigkeit wahren ( 58 ).

88.

Ich schlage daher vor, die zweite Frage dahin zu beantworten, dass Art. 5 Abs. 2 DSGVO dahin auszulegen ist, dass das betreffende Amtsblatt für die Einhaltung der nach dieser Bestimmung beim Verantwortlichen liegenden Pflichten für die Vorgänge verantwortlich ist, die es durchgeführt hat. Aus der in Rede stehenden Verarbeitung ergibt sich keine gemeinsame Verantwortlichkeit; der Moniteur belge ist für die Verarbeitungsvorgänge, zu denen er durch das nationale Recht verpflichtet wird, allein verantwortlich.

89.

Nach alledem schlage ich dem Gerichtshof vor, die von der Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) vorgelegten Fragen wie folgt zu beantworten:

Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass ein Amtsblatt eines Mitgliedstaats wie der Moniteur belge, dem nach dem anwendbaren nationalen Recht der Auftrag der Veröffentlichung und Archivierung amtlicher Dokumente übertragen wurde, zur Gewährleistung eines wirksamen und umfassenden Schutzes betroffener Personen als Verantwortlicher im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 angesehen werden kann, wenn ihm die Veröffentlichung dieser Dokumente in unveränderter Form von anderen Akteuren aufgetragen wird, da der nationale Gesetzgeber diesem Amtsblatt die Befugnis zur Entscheidung über die Mittel der Digitalisierung, Veröffentlichung, Verbreitung und Speicherung der in Rede stehenden Dokumente übertragen und weit gefasste Zwecke der Veröffentlichung und Verbreitung festgelegt hat. Was jedoch die fehlende Benennung des Verantwortlichen in Bezug auf die Entfernung oder Löschung der Daten angeht, ist es im Hinblick darauf, dass die in Rede stehenden Daten öffentlich verfügbar bleiben, Sache des nationalen Gerichts, den Akteur zu benennen, der die sich aus der Verordnung 2016/679 ergebenden Pflichten einhalten muss.

Art. 5 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass das betreffende Amtsblatt für die Einhaltung der nach dieser Bestimmung beim Verantwortlichen liegenden Pflichten für die Vorgänge verantwortlich ist, die es durchgeführt hat. Aus der in Rede stehenden Verarbeitung ergibt sich keine gemeinsame Verantwortlichkeit; der Moniteur belge ist für die Verarbeitungsvorgänge, zu denen er durch das nationale Recht verpflichtet wird, allein verantwortlich.