1.

‘Your privacy is important for us. We use cookies to improve the user experience. Please review privacy preferences. Accept all/Settings. Check our privacy policy and cookies policy’. [„Ihre Privatsphäre ist uns wichtig. Zur Verbesserung des Nutzererlebnisses verwenden wir Cookies. Überprüfen Sie bitte die Präferenzen bezüglich der Privatsphäre. Alle annehmen/Einstellungen. Prüfen Sie unsere Grundsätze bezüglich der Privatsphäre und der Verwendung von Cookies.“] ( 2 )

2.

Beim Aufruf jeder Internetseite wird eine ähnliche Nachricht auftauchen.

3.

Dies ist auf die Datenschutz-Grundverordnung (im Folgenden: DSGVO) ( 3 ) zurückzuführen, die zum Hauptinstrument für den Schutz personenbezogener Daten in der Europäischen Union geworden ist.

4.

Taucht die DSGVO auch vor den nationalen Gerichten auf? Genauer gesagt, gilt sie für Offenlegungspflichten in einem Zivilverfahren vor einem nationalen Gericht? Wenn dem so ist, welche Verpflichtungen entstehen daraus für diese Gerichte? Dies sind die Fragen, zu deren Klärung dem Gerichtshof in dieser Rechtssache Gelegenheit gegeben wird.

5.

Diese Fragen stellen sich in einem Fall vor dem vorlegenden Gericht, dem Högsta domstolen (Oberstes Gericht, Schweden). Der Sachverhalt dieses Falles kann wie folgt zusammengefasst werden. Die Norra Stockholm Bygg AB (im Folgenden: Fastec), die Rechtsmittelführerin im Ausgangsverfahren, führte den Neubau eines Bürogebäudes für die Per Nycander AB (im Folgenden: Nycander) aus, die Rechtsmittelgegnerin im Ausgangsverfahren. Die Arbeitnehmer, die diesen Bauauftrag ausführten, erfassten für Steuerzwecke ihre Anwesenheitszeiten in einem elektronischen Personalverzeichnis. Das Personalverzeichnis wurde im Auftrag von Fastec durch die Entral AB (im Folgenden: Entral) bereitgestellt.

6.

Das Ausgangsverfahren begann mit einem Streit über die Vergütung für die ausgeführten Arbeiten. Nycander trat dem Zahlungsverlangen von Fastec (das sich auf etwas mehr als zwei Millionen schwedische Kronen [SEK], ungefähr 190133 Euro, belief) entgegen und machte geltend, die von Fastec für die Arbeiten aufgewendete Zeit sei kürzer gewesen, als der Zeitraum, für den Fastec Zahlung verlange.

7.

Zum Nachweis, dass dies der Fall sei, beantragte Nycander, Entral die Vorlage des von ihr im Auftrag von Fastec gespeicherten Personalverzeichnisses aufzugeben. Fastec trat diesem Antrag entgegen und führte zur Begründung aus, eine solche Offenlegung verstieße gegen die DSGVO, da die angeforderten Daten zu einem anderen Zweck erhoben worden seien und nicht als Beweis im Ausgangsverfahren verwendet werden dürften.

8.

Das Tingsrätt (Gericht erster Instanz, Schweden) gab Entral auf, das Verzeichnis vorzulegen. Diese Entscheidung wurde in der Berufungsinstanz durch das Svea hovrätt (Berufungsgericht für Svealand, Schweden) bestätigt.

9.

Fastec legte gegen die Entscheidung des Svea hovrätt (Berufungsgericht für Svealand) Rechtsmittel beim Högsta domstolen (Oberstes Gericht) ein und beantragte, den Offenlegungsantrag von Nycander abzuweisen oder hilfsweise die Vorlage einer anonymisierten Fassung des Personalverzeichnisses anzuordnen. Im Zusammenhang mit diesem Verfahren hat der Högsta domstolen (Oberstes Gericht) dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorgelegt:

10.

Im Lauf des Verfahrens haben Fastec, die tschechische, die polnische und die schwedische Regierung sowie die Europäische Kommission schriftliche Erklärungen beim Gerichtshof eingereicht. In der Sitzung vom 27. Juni 2022 haben Nycander, die polnische und die schwedische Regierung sowie die Kommission mündlich verhandelt.

11.

Art. 5 DSGVO legt die Grundsätze fest, denen jede Verarbeitung personenbezogener Daten entsprechen muss:

„(1)   Personenbezogene Daten müssen:

(2)   Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

12.

Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO sieht in den Abs. 1, 3 und 4 Folgendes vor:

„(1)   Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

…

…

(3)   Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4)   Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

13.

Weiterhin regelt Art. 23 Abs. 1 DSGVO Beschränkungen der Rechte und Pflichten nach der DSGVO:

„(1)   Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

…

…“

14.

Kap. 38 § 2 Abs. 1 des Rättegångsbalken (Prozessordnung; im Folgenden: PO) sieht vor, dass jede Person, die ein schriftliches Dokument besitzt, das als Beweismittel in Betracht kommt, dieses vorlegen muss. Abs. 2 dieser Bestimmung legt die Ausnahmen von dieser Verpflichtung fest, die Rechtsanwälte, Ärzte, Psychologen, Priester und andere Berufsträger umfasst, denen die Informationen in Ausübung ihrer Tätigkeit oder in vergleichbaren Situationen anvertraut wurden. Kap. 38 § 4 PO verleiht einem Gericht die Befugnis, die Vorlage eines schriftlichen Dokuments als Beweismittel anzuordnen.

15.

Dem vorlegenden Gericht zufolge hat ein Gericht bei der Prüfung, ob eine Person zur Vorlage eines Dokuments zu verpflichten ist, die Erheblichkeit des Beweismittels gegen das Interesse der anderen Partei abzuwägen, diese Informationen nicht freizugeben. Wie das vorlegende Gericht erläutert, beinhaltet dies jedoch nicht die Berücksichtigung der privaten Natur der Informationen, die offengelegt werden.

16.

Die DSGVO stellt den Hauptrechtsakt der Union zur Regelung des Schutzes natürlicher Personen in Hinblick auf die Verarbeitung ihrer personenbezogenen Daten dar. Im Gegensatz zu ihrer Vorgängerin, der Richtlinie 95/46/EG ( 4 ), wurde die DSGVO auf der Grundlage des Art. 16 AEUV erlassen ( 5 ). Diese Rechtsgrundlage befugt den Unionsgesetzgeber, das Grundrecht auf Schutz personenbezogener Daten zu schützen, das in Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) vorgesehen ist ( 6 ).

17.

Werden personenbezogene Daten verarbeitet, erlegt die DSGVO dem „Verantwortlichen“ die Verantwortung für die Einhaltung dieses Rechtsakts auf ( 7 ). Bei jeder Verarbeitung personenbezogener Daten ist es daher wichtig festzustellen, wer der Verantwortliche ist.

18.

Gemäß Art. 4 Nr. 7 DSGVO ist der Verantwortliche die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

19.

In der vorliegenden Rechtssache sind zwei eigenständige Fälle der Verarbeitung personenbezogener Daten gegeben. Die erste Verarbeitung betrifft das elektronische Personalverzeichnis, das von Entral im Auftrag von Fastec unterhalten wird, da Letztere nach schwedischem Recht verpflichtet ist, für Steuerzwecke Daten über Arbeitsstunden zu erheben. In diesem Zusammenhang ist Fastec der Verantwortliche und Entral der Auftragsverarbeiter ( 8 ).

20.

Es ist unstreitig, dass die erste Verarbeitung im Einklang mit der DSVGO stand. Deren Art. 6 Abs. 1 Buchst. c gestattet insbesondere die Verarbeitung personenbezogener Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich ist, der der Verantwortliche, hier Fastec, unterliegt ( 9 ). Würde festgestellt, dass diese erste Datenverarbeitung nach der DSGVO unrechtmäßig war, wäre sicherlich die Verarbeitung solcher Daten zu einem anderen Zweck folgerichtig auch unrechtmäßig ( 10 ).

21.

Die vorliegende Rechtssache betrifft jedoch die zweite Verarbeitung derselben Daten, die ursprünglich für Steuerzwecke erhoben wurden, zu einem anderen Zweck. Der neue Zweck liegt in der Offenlegung des Personalverzeichnisses durch Entral als Beweismittel im Zivilverfahren zwischen Fastec und Nycander. Die Vorlage dieses Verzeichnisses zu seiner Verwendung in einem Zivilverfahren brächte notwendigerweise die Verarbeitung personenbezogener Daten mit sich.

22.

Bei dieser zweiten Verarbeitung ändern sich gegenüber der ersten Verarbeitung die Rollen nach der DSGVO. Insbesondere ist das nationale Gericht, indem es Entral aufgibt, das Personalverzeichnis vorzulegen (im Folgenden: Offenlegungsanordnung) die Einrichtung, die über die Zwecke und Mittel der zweiten Datenverarbeitung entscheidet ( 11 ). Daher wird dieses Gericht zum Verantwortlichen ( 12 ).

23.

Im Rahmen dieser zweiten Verarbeitung könnte man annehmen, dass Fastec der Verantwortliche bleibt oder die Rolle dergestalt gewechselt hat, dass sie nunmehr zusammen mit Nycander der Datenempfänger ist ( 13 ). Selbst wenn Fastec gemeinsam mit dem nationalen Gericht der Verantwortliche bliebe ( 14 ), hätte dies jedoch keinen Einfluss auf die Verpflichtungen des nationalen Gerichts als Verantwortlicher ( 15 ). Schließlich ist noch festzustellen, dass sich die Rolle von Entral nicht ändert. Sie verbleibt der Auftragsverarbeiter und verarbeitet weiterhin dieselben personenbezogenen Daten, nun jedoch im Auftrag des neuen Verantwortlichen, des nationalen Gerichts.

24.

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob das nationale Gericht in der Tat ein Verantwortlicher nach der DSGVO werden kann, und ob dieser Verordnung in diesem Fall Anforderungen an das nationale Verfahrensrecht in Bezug auf die Befugnisse und Verpflichtungen der Gerichte in Zivilverfahren zu entnehmen sind. Wenn die DSGVO Anwendung findet und das nationale Gericht der Verantwortliche ist, möchte das vorlegende Gericht mit seiner zweiten Frage wissen, wie ein solches Gericht über die Offenlegung personenbezogener Daten zu entscheiden hat, wenn sie in einem Zivilverfahren als Beweismittel verwendet werden sollen.

25.

Zur Beantwortung der Fragen des vorlegenden Gerichts werde ich wie folgt vorgehen. Zunächst werden ich erläutern, warum ich der Auffassung bin, dass die DSGVO in Zivilverfahren vor Gerichten der Mitgliedstaaten anwendbar ist, und welchen Einfluss dies auf das bestehende Verfahrensrecht der Mitgliedstaaten hat (B). Nachfolgend werde ich die Methodik behandeln, der nationale Gerichte als Verantwortliche folgen sollten, um die Anforderungen der DSGVO zu erfüllen (C).

26.

Die erste Frage des vorlegenden Gerichts ist im Wesentlichen darauf gerichtet, ob die DSGVO in Zivilgerichtsverfahren anwendbar ist und welchen Einfluss sie auf die einschlägigen Verfahrensregeln hat. Genauer wird gefragt, ob sie die nationalen Vorschriften berührt, die die Befugnisse und Verpflichtungen von Gerichten bei der Anordnung der Offenlegung von Dokumenten als Beweismittel regeln. Diese Frage werde ich in drei Schritten beantworten.

27.

Der sachliche Anwendungsbereich der DSGVO wird in ihrem Art. 2 Abs. 1 definiert und folgt einem funktionalem und nicht einem institutionellen Ansatz. Die Anwendbarkeit der DSGVO wird durch die Antwort auf die Frage was (die Tätigkeit der Verarbeitung personenbezogener Daten) ausgelöst und nicht durch die Antwort auf die Frage wer ( 16 ).

28.

Die Ausnahmen vom Anwendungsbereich der DSGVO, die in ihrem Art. 2 Abs. 2 aufgeführt sind, haben ebenfalls funktionalen Charakter. Angesichts dessen, dass sie die Ausnahme von der Anwendung der DSGVO darstellen, war der Gerichtshof der Auffassung, dass sie eng auszulegen sind ( 17 ).

29.

Die Tätigkeiten von Behörden sind daher nicht als solche vom Anwendungsbereich der DSGVO ausgenommen, sondern nur in Bezug auf die in Art. 2 Abs. 2 DSGVO aufgeführten Tätigkeiten ( 18 ). In dieser Hinsicht nimmt dieser Artikel gerichtliche Tätigkeiten in Zivilverfahren nicht vom sachlichen Anwendungsbereich der DSGVO aus.

30.

Das Ergebnis, dass die DSGVO auf Tätigkeiten der Justiz Anwendung findet, wird durch den 20. Erwägungsgrund der DSGVO ( 19 ) bestätigt, in dem es heißt, dass dieser Rechtsakt für die Tätigkeiten der Gerichte und anderer Justizbehörden gilt ( 20 ).

31.

Die in Art. 55 Abs. 3 DSGVO enthaltene Ausnahme von der Zuständigkeit der Aufsichtsbehörden für Gerichte, wenn diese im Rahmen ihrer justiziellen Tätigkeit handeln, berührt dieses Ergebnis nicht. Ganz im Gegenteil bestätigt diese Bestimmung meines Erachtens, dass Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln, den Verpflichtungen der DSGVO unterliegen. Sie gewährleistet ihre Unabhängigkeit und Unparteilichkeit, indem sie die Aufsicht über die von ihnen vorgenommenen Verarbeitungen durch die Aufsichtsbehörden untersagt.

32.

In der vorliegenden Rechtssache geht es um die Verarbeitung personenbezogener Daten, die in den sachlichen Anwendungsbereich der DSGVO fällt. Die Erstellung und der Unterhalt des elektronischen Personalverzeichnisses betreffen die Verarbeitung personenbezogener Daten ( 21 ). Auch die Anordnung der Offenlegung solcher personenbezogenen Daten im Zusammenhang mit einem Zivilverfahren stellt eine Verarbeitung dieser Daten dar ( 22 ). Somit fällt der Sachverhalt des Ausgangsverfahrens in den sachlichen Anwendungsbereich der DSGVO.

33.

Was bedeutet dies für die Anwendung nationaler Verfahrensvorschriften wie der PO?

34.

Die Rechtsgrundlage für den Erlass der in der vorliegenden Rechtssache in Rede stehenden Offenlegungsanordnung ist die PO.

35.

Die DSGVO erfordert in der Tat, dass die Datenverarbeitung in einem Sachverhalt wie dem in der vorliegenden Rechtssache ihre Rechtsgrundlage im Recht der Mitgliedstaaten (oder der Union) hat ( 23 ).

36.

Ursprünglich für Steuerzwecke erhoben und verarbeitet sind die in Rede stehenden Daten nun gemäß der Offenlegungsanordnung in der vorliegenden Rechtssache zu Beweiszwecken in einem Gerichtsverfahren zu verarbeiten.

37.

Art. 6 Abs. 4 DSGVO gestattet die Datenverarbeitung zu einem anderen Zweck, wenn diese auf einer Rechtsvorschrift der Mitgliedstaaten beruht, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt. Unter diesen Zielen führt Art. 23 Abs. 1 Buchst. f „den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren“ auf.

38.

Alle Beteiligten an dem vorliegenden Vorabentscheidungsverfahren stimmen darin überein, dass Art. 23 Abs. 1 Buchst. f DSGVO die richtige Bestimmung zur Rechtfertigung der Datenverarbeitung zu einem anderen Zweck auf der Grundlage der PO darstellt ( 24 ).

39.

Die PO befugt die nationalen Gerichte, die Offenlegung von Dokumenten anzuordnen, wenn diesen in Zivilverfahren Beweiswirkung zukommt. Wie erläutert, wird das Gericht, das die Offenlegung eines Dokuments anordnet, das personenbezogene Daten enthält, zum Verantwortlichen nach der DSGVO.

40.

Wie die Kommission in der mündlichen Verhandlung ausgeführt hat, ist das nationale Gericht lediglich in einem gewissen Umfang ein normaler Verantwortlicher. Nationale Gerichte können nämlich Daten nur in Ausübung ihrer öffentlichen Gewalt verarbeiten.

41.

Findet die Datenverarbeitung in Ausübung öffentlicher Gewalt statt ( 25 ), erfordert Art. 6 Abs. 3 DSGVO, dass sie auf dem Unionsrecht oder dem Recht der Mitgliedstaaten beruht.

42.

Daher verlangen sowohl Art. 6 Abs. 4 DSGVO (der die Verarbeitung zu einem anderen Zweck gestattet) als auch ihr Art. 6 Abs. 3 (der die Datenverarbeitung in Ausübung öffentlicher Gewalt gestattet) das Vorliegen nationaler (oder von Unions‑) Rechtsvorschriften als Rechtsgrundlage für die Verarbeitung ( 26 ).

43.

Daher ist es eine notwendige Voraussetzung für die Rechtmäßigkeit der in Rede stehenden Verarbeitung, dass die PO das Gericht befugt, die Offenlegungsanordnung zu erlassen.

44.

Sind die Anforderungen der DSGVO an die rechtmäßige Verarbeitung erfüllt, wenn die von der DSGVO verlangte Rechtsgrundlage besteht und die Anordnung, die zur Verarbeitung personenbezogener Daten führt, im Einklang mit diesen Rechtsvorschriften der Mitgliedstaaten erlassen wird?

45.

Meines Erachtens ist das Bestehen einer Rechtsgrundlage im nationalen Recht zwar erforderlich, reicht aber nicht aus, damit die Anordnung der Offenlegung im Einklang mit der DSGVO steht.

46.

Das vorlegende Gericht erläutert, dass nach der PO bei der Entscheidung über die Offenlegung von Beweismitteln die private Natur der Information grundsätzlich keine Berücksichtigung findet. Zwar sind Gerichte verpflichtet, die Interessen der Streitparteien zu berücksichtigen, doch findet im Gesetz selbst keine Erwähnung, dass die Interessen der betroffenen Personen eine Rolle spielen.

47.

Ist die PO unvereinbar mit der DSGVO, weil sie Gerichte, wenn sie zu Verantwortlichen werden, nicht ausdrücklich dazu verpflichtet, die Interessen betroffener Personen beim Erlass von Entscheidungen zu berücksichtigen, die Einfluss auf deren personenbezogene Daten haben können?

48.

Meiner Auffassung nach ist dies nicht der Fall. Es ist zu berücksichtigen, dass die unterschiedlichen nationalen Rechtsakte, die als Rechtsgrundlagen für die Datenverarbeitung dienen, nicht spezifisch im Rahmen der Umsetzung der DSGVO erlassen wurden, sondern ihre eigenen Zwecke verfolgen. Außerdem ist die DSGVO in den Rechtsordnungen der Mitgliedstaaten unmittelbar anwendbar und bedarf keiner Umsetzung. Worauf es daher ankommt, ist, dass die nationalen Verfahrensvorschriften der gleichzeitigen Anwendung der DSGVO Raum geben, wenn beide aufeinandertreffen.

49.

In der mündlichen Verhandlung hat die schwedische Regierung bestätigt, dass die PO die Gerichte weder verpflichtet, noch es ihnen untersagt, die Interessen der betroffenen Personen zu berücksichtigen. Sie steht daher der unmittelbaren Anwendung der DSGVO in den durch dieses Gesetz geregelten Gerichtsverfahren nicht entgegen.

50.

Nationale Gerichte unterliegen daher nebeneinander den innerstaatlichen Verfahrensvorschriften und der DSGVO, wobei Letztere die nationalen Vorschriften ergänzt, wenn die Verfahrenstätigkeiten der Gerichte die Verarbeitung personenbezogener Daten mit sich bringen.

51.

Abschließend lässt sich feststellen, dass die nationalen Rechtsvorschriften nicht ausdrücklich auf die DSGVO verweisen oder Gerichte verpflichten müssen, die Interessen der betroffenen Personen zu berücksichtigen. Es genügt, dass diese Rechtsvorschriften die ergänzende Anwendung der DSGVO zulassen. Der nationale Rechtsakt verstieße nur dann gegen die DSGVO, wenn dies nicht der Fall wäre. Die PO scheint jedoch die ergänzende Anwendung der DSGVO zuzulassen ( 27 ).

52.

In Beantwortung der ersten Frage des vorlegenden Gerichts gelange ich daher zu dem Ergebnis, dass Art. 6 Abs. 3 und 4 DSGVO Anforderungen an das nationale Verfahrensrecht in Bezug auf Offenlegungspflichten stellt, wann immer diese zur Verarbeitung personenbezogener Daten führen. Die nationalen Verfahrensvorschriften dürfen in einem solchen Fall kein Hindernis dafür sein, dass die Interessen der betroffenen Personen berücksichtigt werden. Diese Interessen werden gewährleistet, wenn nationale Gerichte die Regelungen der DSGVO bei der Entscheidung über die Offenlegung von Dokumenten als Beweismittel in einem Einzelfall beachten.

53.

Da sie der DSGVO unterliegen, müssen nationale Gerichte als Verantwortliche die Interessen der betroffenen Personen in Betracht ziehen. Wie sind diese Interessen beim Erlass einer konkreten Entscheidung über die Offenlegung zu berücksichtigen? Das ist der Kern der zweiten Frage des vorlegenden Gerichts.

54.

Die Interessen der betroffenen Personen werden geschützt, wenn die Verarbeitung ihrer personenbezogenen Daten im Einklang mit den Art. 5 und 6 DSGVO erfolgt ( 28 ). Um es mit Generalanwalt Pikamäe zu sagen, gewährleistet die Einhaltung der Art. 5 und 6 DSGVO den Schutz des Rechts auf ein Privat- und Familienleben und den Schutz personenbezogener Daten, die durch Art. 7 bzw. Art. 8 der Charta garantiert werden ( 29 ).

55.

Die legitimen Ziele der Verarbeitung sind in Art. 6 DSGVO aufgeführt ( 30 ). Wie im vorangehenden Abschnitt dieser Schlussanträge erläutert, verfolgt die Verarbeitung in der vorliegenden Rechtssache einen rechtmäßigen Zweck, da das Gericht bei der Anordnung der Offenlegung seine öffentliche Gewalt auf der Grundlage des nationalen Rechts ausgeübt hat, das der Gewährleistung der ordnungsgemäßen Durchführung von Gerichtsverfahren dient. Sowohl Art. 6 als auch Art. 5 DSGVO erfordern jedoch nicht nur ein legitimes Ziel, sondern auch, dass die konkrete Verarbeitung zur Erreichung dieses Ziels erforderlich ist.

56.

Die DSGVO erfordert daher, dass das Gericht bei der Entscheidung, ob die Offenlegung personenbezogener Daten in einer konkreten Situation für Beweiszwecke in einem Gerichtsverfahren erforderlich ist, die Verhältnismäßigkeit prüft ( 31 ).

57.

In dieser Hinsicht verlangt Art. 6 Abs. 4 DSGVO, dass die nationale Rechtsvorschrift, auf der die Verarbeitung zu einem anderen Zweck beruht, eine notwendige und verhältnismäßige Maßnahme zum Schutz eines der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, in der vorliegenden Rechtssache des Schutzes der Unabhängigkeit der Justiz und des Schutzes von Gerichtsverfahren. Ferner erfordert Art. 6 Abs. 3 DSGVO, dass die Verarbeitung in Ausübung öffentlicher Gewalt für die Ausübung solcher öffentlichen Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

58.

Die nationale Rechtsvorschrift, die die Rechtsgrundlage für die Verarbeitung darstellt, mag in abstracto die Anforderungen des Art. 6 Abs. 3 und 4 DSGVO erfüllen. Die Rechtmäßigkeit jeder einzelnen Verarbeitung (einschließlich einer konkreten gerichtlichen Offenlegungsanordnung) hängt jedoch von der konkreten Abwägung aller betroffenen Interessen unter Berücksichtigung des legitimen Ziels ab, zu dem die Offenlegung beantragt wird ( 32 ). Nur auf diese Weise kann das nationale Gericht entscheiden, ob und in welchem Umfang die Offenlegung erforderlich ist.

59.

Somit ist klar, dass die DSGVO eine Verhältnismäßigkeitsprüfung erfordert. Gibt die DSGVO weitere Hinweise, wie das Gericht im Rahmen dieser Prüfung konkret vorgehen muss?

60.

Die Verhältnismäßigkeitsprüfung ist, wie erläutert, in jedem Einzelfall unter Berücksichtigung aller betroffenen Interessen vorzunehmen. In Situationen wie der in der vorliegenden Rechtssache ist das Interesse an der Offenlegung gegen den Eingriff in das Recht auf den Schutz personenbezogener Daten abzuwägen ( 33 ).

61.

Das Interesse an der Offenlegung spiegelt das Recht auf wirksamen gerichtlichen Rechtsschutz wider (Art. 47 der Charta). Die Interessen der betroffenen Personen, mit denen das Interesse an der Offenlegung kollidiert, spiegeln das Recht auf ein Privat- und Familienleben (Art. 7 der Charta) sowie das Recht auf den Schutz personenbezogener Daten (Art. 8 der Charta) wider. Es sind diese Rechte, die gegeneinander abzuwiegen sind, um zu entscheiden, ob die Offenlegung personenbezogener Daten erforderlich ist.

62.

Nachfolgend werde ich einige Hinweise geben, die die konkrete Vorgehensweise betreffen, der zu folgen vom nationalen Gericht erwartet werden kann.

63.

Zunächst kann immer davon ausgegangen werden, dass es im Interesse der betroffenen Personen liegt, die keine Einwilligung zur Verarbeitung gegeben haben, die Verarbeitung ihrer personenbezogenen Daten zu beschränken. Daher stellt die Rechtfertigung, warum in dieses Interesse eingegriffen werden sollte, für das nationale Gericht den Ausgangspunkt dar.

64.

Meines Erachtens können Art. 5 DSGVO, der die Grundsätze enthält, die der Verantwortliche bei der Verarbeitung personenbezogener Daten einzuhalten hat, Hinweise für die Durchführung dieser Prüfung entnommen werden.

65.

In dieser Hinsicht ist der Grundsatz der Datenminimierung in Art. 5 Abs. 1 Buchst. c DSGVO von entscheidender Bedeutung. Dieses Erfordernis verleiht, wie der Gerichtshof ausgeführt hat ( 34 ), dem Grundsatz der Verhältnismäßigkeit Ausdruck. Es verlangt, dass die personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

66.

Daher ist zunächst die Frage zu stellen, ob die Daten im von Entral vorgehaltenen Personalverzeichnis angemessen sind. Sie werden für den Zweck, zu dem sie offenzulegen sind, angemessen sein, wenn sie in der Tat die Anzahl der Arbeitsstunden belegen, die von den Arbeitnehmern von Fastec auf der Baustelle verbracht worden sind.

67.

Die zweite Frage lautet, ob die Daten im von Entral vorgehaltenen Personalverzeichnis für den Zweck, zu dem sie angefordert werden, erheblich sind. Der Zweck scheint im Interesse von Nycander zu liegen, ihr Vorbringen zu beweisen, dass die Arbeitnehmer von Fastec weniger Stunden gearbeitet haben, als in der Rechnung angegeben sind. Unter solchen Umständen wäre das Personalverzeichnis erheblich, wenn es ein solches Vorbringen in der Tat beweisen oder widerlegen könnte. Das nationale Gericht hat die Erheblichkeit unter Berücksichtigung anderer Tatsachen des Falles zu beurteilen (z. B. des Vorbringens von Fastec, das Personalverzeichnis enthalte lediglich einen Teil der erheblichen Arbeitsstunden, während weitere außerhalb der Baustelle geleistet worden seien).

68.

In Hinblick auf das dritte Erfordernis der Datenminimisierung hat das nationale Gericht festzustellen, ob zu Beweiszwecken alle in dem Verzeichnis enthaltenen Daten erforderlich sind oder auch schon einige von ihnen ausreichen. Außerdem verlangt die Datenminimisierung, dass, wenn andere Mittel zum Beweis derselben Tatsache zur Verfügung stehen, diese anderen Mittel verwendet werden. Beispielsweise könnte das nationale Gericht das Vorbringen von Fastec zu beurteilen haben, dass die tatsächlich geleisteten Arbeitsstunden anhand von Dokumenten überprüft werden könnten, die bereits in der Verfahrensakte des vorlegenden Gerichts enthalten seien. Stellt es fest, dass dieses Vorbringen zutrifft, darf das nationale Gericht die Offenlegung personenbezogener Daten im Personalverzeichnis nicht anordnen.

69.

Das nationale Gericht hat festzulegen, welche Arten personenbezogener Daten aus dem Verzeichnis ausreichen, um die erheblichen Tatsachen zu beweisen oder zu widerlegen. In dieser Hinsicht verlangt der Grundsatz der Datenminimisierung, dass nur die Daten offengelegt werden, die für den jeweiligen Zweck unbedingt erforderlich sind. Es mag daher erforderlich sein, dass Entral als Auftragsverarbeiter das Personalverzeichnis in der Weise ändert, dass die personenbezogenen Daten auf das erforderliche Minimum beschränkt werden, gleichwohl aber eine Schlussfolgerung hinsichtlich der tatsächlichen Arbeitsstunden gezogen werden kann.

70.

In dieser Hinsicht muss das nationale Gericht feststellen, ob es erforderlich ist, dass die Personen, deren Daten in dem Verzeichnis enthalten sind, identifizierbar sind, damit der Offenlegung Beweiswert zukommt (z. B. ob es erforderlich ist, die Namen der einzelnen Arbeitnehmer anzuführen, um sie als Zeugen vorzuladen). Andernfalls mögen die Informationen über die Gesamtzahl der auf der Baustelle geleisteten Stunden und/oder über die Anzahl der Personen, die diese Arbeitsstunden geleistet haben, ausreichen.

71.

Nach Maßgabe der Antworten auf die vorstehenden Fragen mag das Gericht entscheiden, die Offenlegung pseudonymisierter oder anonymisierter Daten zu verlangen ( 35 ).

72.

Nach dem 26. Erwägungsgrund der DSGVO verbleiben Daten, die einer Pseudonymisierung unterzogen worden sind, im sachlichen Anwendungsbereich der DSGVO. Dies erklärt sich dadurch, dass es möglich bleibt, die Identität der Person hinter dem Pseudonym zu ermitteln. Das Gegenteil gilt für anonymisierte Daten, die nicht in deren Anwendungsbereich fallen. Die Art der vom nationalen Gericht angeordneten Offenlegung wird sich deshalb letztlich auch auf die weitere Anwendbarkeit der DSGVO auswirken ( 36 ).

73.

Letztlich wird es Sache des nationalen Gerichts sein, den Beweiswert der unterschiedlichen Fassungen des Personalverzeichnisses zu festzustellen, um zu entscheiden, welche Art der Datenminimisierung gegebenenfalls für eine ordnungsgemäße Durchführung des vor ihm anhängigen Gerichtsverfahrens erforderlich ist.

74.

Neben dem Grundsatz der Datenminimisierung des Art. 5 Abs. 1 Buchst. c DSGVO binden auch andere in Art. 5 DSGVO enthaltene Grundsätze das nationale Gericht und sind für das Vorgehen bei dem Erlass der Offenlegungsanordnung maßgeblich.

75.

Beispielsweise nennt Art. 5 Abs. 1 Buchst. a DSGVO neben dem Grundsatz der Rechtmäßigkeit, der in ihrem Art. 6 weiter ausgeführt wird, auch den Grundsatz der Transparenz. Meiner Auffassung nach erfordert dieser Grundsatz, dass das nationale Gericht seine Entscheidung über die Anordnung der Offenlegung personenbezogener Daten klar erläutert, indem es u. a. darlegt, wie es die unterschiedlichen Interessen und Argumente der Parteien bezüglich der Offenlegung gegeneinander abgewogen hat.

76.

Eine angemessene Begründung in der Anordnung der Offenlegung erfüllt auch die Anforderung des Art. 5 Abs. 2 DSGVO, nach der der Verantwortliche in der Lage sein muss, die Einhaltung der in ihrem Art. 5 Abs. 1 genannten Grundsätze nachzuweisen.

77.

Wie die Grundsätze des Art. 5 DSGVO erfüllt werden müssen, kann auch dem 31. Erwägungsgrund der DSGVO entnommen werden. Danach ist erforderlich, dass „Anträge auf Offenlegung, die von Behörden ausgehen, … immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben [sollten], und [dass] sie … nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen [sollten]“.

78.

Die polnische Regierung hat Bedenken hinsichtlich der Beurteilung der Verhältnismäßigkeit durch das nationale Gericht geltend gemacht: Wenn das nationale Gericht den Beweiswert des Personalverzeichnisses oder anderer Beweismittel zu beurteilen habe, würde es nicht bereits zu sehr in die Rolle hineingezogen, die den Parteien vorbehalten bleiben sollte, nämlich zu versuchen, einen Streit gerade hinsichtlich des Beweiswerts solcher Beweismittel zu gewinnen?

79.

Meines Erachtens führt die Beurteilung des Beweiswerts, die die Interessen der betroffenen Personen berücksichtigt, nicht zu einem tieferen Eingriff in den Fall als die Beurteilung des Beweiswerts jedes anderen Beweismittels in einem Zivilverfahren ( 37 ).

80.

Wie tief der Eingriff des nationalen Gerichts geht, wird davon abhängen, wie offensichtlich der Beweiswert der Daten, deren Offenlegung beantragt wird, unter den Umständen des Einzelfalls ist. Es wird immer vom Einzelfall abhängen, in welchem Umfang die Offenlegung in die Interessen der betroffenen Personen eingreifen könnte.

81.

Beispielsweise können manche Fälle sensible Daten, die einer besonderen Schutzregelung nach Art. 9 DSGVO unterliegen, oder Daten über strafrechtliche Sanktionen betreffen, die Gegenstand der Regelung nach deren Art. 10 sind. In solchen Situationen wird den Interessen der betroffenen Personen im Rahmen der Abwägung notwendigerweise ein größeres Gewicht zukommen ( 38 ). Ebenso mag das Interesse an der Offenlegung von Fall zu Fall unterschiedlich sein. Während es bisweilen klar sein wird, dass die Erheblichkeit des beantragten Beweismittels marginal ist, wird es in anderen Situationen für die Entscheidung über den Ausgang des Verfahrens wesentlich sein. In dieser Hinsicht kommt dem Hinweis der Kommission Bedeutung zu, dass das nationale Gericht bei solchen Beurteilungen über ein weites Ermessen verfügen sollte. Es sollte jedoch nie von der Verpflichtung befreit werden, die Interessen der betroffenen Personen zu berücksichtigen.

82.

Die tschechische Regierung hat andere Bedenken geäußert: Die Verpflichtung nationaler Gerichte, die Interessen betroffener Personen zu berücksichtigen, wann immer die Offenlegung von Dokumenten als Beweismittel angeordnet werde, behindere den normalen Ablauf von Gerichtsverfahren. Zwar führt die DSGVO in der Tat eine zusätzliche Verpflichtung ( 39 ) der Gerichte ein, eine Verhältnismäßigkeitsprüfung durchzuführen, bevor sie die Offenlegung von Dokumenten als Beweismittel anordnen, die personenbezogene Daten beinhalten. Jedoch stellt die Interessenabwägung weder eine unübliche intellektuelle Aufgabe, die von Gerichten durchzuführen ist, noch eine nationalen Gerichten auferlegte Belastung dar, die sich von der unterscheidet, die nach der DSGVO für jeden Verantwortlichen gilt.

83.

Sollen die Unionsbürger im Einklang mit der Entscheidung des Unionsgesetzgebers, wie sie in der DSGVO Ausdruck gefunden hat, in den Genuss eines hohen Schutzniveaus hinsichtlich ihrer personenbezogenen Daten kommen, kann die Berücksichtigung der Interessen der betroffenen Personen nicht als übermäßige Belastung der Gerichte der Mitgliedstaaten angesehen werden.

84.

Daher schlage ich dem Gerichtshof vor, die zweite Frage des vorlegenden Gerichts wie folgt zu beantworten: Bei der Entscheidung über die Anordnung der Offenlegung in Zivilverfahren, die die Verarbeitung personenbezogener Daten mit sich bringt, muss das nationale Gericht eine Prüfung der Verhältnismäßigkeit durchführen, die die Interessen betroffener Personen berücksichtigt, deren Daten zu verarbeiten sind, und diese gegen das Interesse der Verfahrensbeteiligten an der Erlangung von Beweismitteln abwägen. Diese Beurteilung der Verhältnismäßigkeit orientiert sich an den in Art. 5 DSGVO festgelegten Grundsätzen, zu denen der Grundsatz der Datenminimierung zählt.

85.

Im Licht der vorstehen Erwägungen schlage ich dem Gerichtshof vor, die beiden vom Högsta domstolen (Oberstes Gericht, Schweden) zu Vorabentscheidung vorlegten Fragen wie folgt zu beantworten: