URTEIL DES GERICHTSHOFS (Achte Kammer)

27. Februar 2025 ( *1 )

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Unmittelbare Benennung des Verantwortlichen durch das nationale Recht – Hilfsapparat einer Landesregierung – Keine Rechtspersönlichkeit – Keine eigene Rechtsfähigkeit – Entscheidung über die Zwecke und Mittel der Verarbeitung“

In der Rechtssache C-638/23

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgerichtshof (Österreich) mit Entscheidung vom 23. August 2023, beim Gerichtshof eingegangen am 24. Oktober 2023, in dem Verfahren

Amt der Tiroler Landesregierung

gegen

Datenschutzbehörde,

Beteiligte:

Bundesministerin für Justiz,

CW,

erlässt

DER GERICHTSHOF (Achte Kammer)

unter Mitwirkung des Präsidenten der Neunten Kammer N. Jääskinen in Wahrnehmung der Aufgaben des Präsidenten der Achten Kammer sowie der Richter M. Gavalec (Berichterstatter) und N. Piçarra,

Generalanwalt: M. Campos Sánchez-Bordona,

Kanzler: A. Calot Escobar,

aufgrund des schriftlichen Verfahrens,

unter Berücksichtigung der Erklärungen

der Datenschutzbehörde, vertreten durch M. Schmidl und E. Wagner als Bevollmächtigte,

der Bundesministerin für Justiz, vertreten durch E. Riedl als Bevollmächtigten,

der österreichischen Regierung, vertreten durch A. Posch, J. Schmoll und C. Gabauer als Bevollmächtigte,

der Europäischen Kommission, vertreten durch A. Bouchagiar und M. Heller als Bevollmächtigte,

aufgrund der nach Anhörung des Generalanwalts ergangenen Entscheidung, ohne Schlussanträge über die Rechtssache zu entscheiden,

folgendes

Urteil

1

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2

Es ergeht im Rahmen eines Rechtsstreits zwischen dem Amt der Tiroler Landesregierung (Österreich) (im Folgenden: Amt) und der Datenschutzbehörde (Österreich) wegen einer behaupteten unrechtmäßigen Verarbeitung personenbezogener Daten einer natürlichen Person durch das Amt.

Rechtlicher Rahmen

Unionsrecht

3

In den Erwägungsgründen 1, 7, 10, 45 und 74 der DSGVO heißt es:

„(1)

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union ... sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

...

(7)

... Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen. Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.

...

(10)

Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. ...

...

(45)

Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte.

...

(74)

Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.“

4

Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

5

In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

...

2.

‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

...

7.

‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

...“

6

Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO bestimmt:

„(1)   Personenbezogene Daten müssen

a)

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b)

für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);

c)

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d)

sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e)

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);

f)

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);

(2)   Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

7

Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 und 3 DSGVO sieht vor:

„(1)   Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

...

c)

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

...

e)

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

...

(3)   Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a)

Unionsrecht oder

b)

das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. ...“

Österreichisches Recht

Tiroler Landesordnung 1989

8

Art. 56 („Landeshauptmann“) Abs. 1 des Landesverfassungsgesetzes vom 21. September 1988 über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Tiroler Landesordnung 1989) sieht vor:

„Der Landeshauptmann vertritt das Land Tirol.“

9

Art. 58 („[Amt]“) Abs. 1 der Tiroler Landesordnung 1989 bestimmt:

„Der Landeshauptmann, die Landesregierung und ihre Mitglieder haben sich bei der Besorgung ihrer Aufgaben des [Amtes] zu bedienen. Der Landeshauptmann ist der Vorstand des [Amtes].“

TDVG

10

§ 2 des Tiroler Datenverarbeitungsgesetzes (TDVG) sieht vor:

„(1)   Als Verantwortliche nach Art. 4 Z 7 [DSGVO] gelten:

a)

das [Amt];

...

(3)   Das [Amt] ist immer alleiniger Verantwortlicher, wenn eine Datenverarbeitung vom Land Tirol betrieben oder beauftragt wird, soweit

a)

keine gemeinsame Verantwortung im Sinn des Abs. 1 lit. b oder c besteht und

b)

keine Auftragsverarbeitung nach § 5 vorliegt.“

Ausgangsrechtsstreit und Vorlagefrage

11

Im Rahmen von Maßnahmen zur Bekämpfung der Covid-19-Pandemie sandte das Amt, ein Hilfsapparat des Tiroler Landeshauptmanns und der Tiroler Landesregierung, allen im Land Tirol wohnhaften volljährigen Personen, die noch nicht gegen das betreffende Virus geimpft worden waren, ein „Impferinnerungsschreiben“. Um die Adressaten dieser Schreiben zu ermitteln, beauftragte das Amt zwei private Unternehmen, die die Daten des zentralen Impfregisters mit jenen des Patientenindex, der die Wohnadressen der Patienten enthielt, abglichen.

12

Am 21. Dezember 2021 reichte CW, einer dieser Adressaten, bei der Datenschutzbehörde eine Beschwerde gegen das Amt wegen unrechtmäßiger Verarbeitung seiner personenbezogenen Daten ein. Vor dieser Behörde gab das Amt an, dass es die Eigenschaft eines „Verantwortlichen“ habe und das Schreiben an CW von ihm stamme.

13

Mit Bescheid vom 22. August 2022 stellte die Datenschutzbehörde fest, dass das Amt das Recht von CW auf Schutz seiner personenbezogenen Daten insofern verletzt habe, als es für die Übersendung eines „Impferinnerungsschreibens“ die im Impfregister enthaltenen Daten des Betroffenen abgefragt habe, obwohl es weder für das Impfregister noch für den Patientenindex zugriffsberechtigt sei. Die Verarbeitung der personenbezogenen Daten von CW sei daher rechtswidrig gewesen.

14

Gegen diesen Bescheid erhob das Amt Beschwerde an das Bundesverwaltungsgericht (Österreich). Dieses entschied, dass das Amt nach dem anwendbaren nationalen Recht die Eigenschaft eines Verantwortlichen habe, ihm aber kein Recht auf Einsichtnahme in das Impfregister zwecks Versendung eines Erinnerungsschreibens wie des an CW gerichteten zustehe. Gegen das seine Beschwerde abweisende Erkenntnis des Bundesverwaltungsgerichts erhob das Amt Revision an den Verwaltungsgerichtshof (Österreich), bei dem es sich um das vorlegende Gericht handelt.

15

Um über die bei ihm anhängige Rechtssache entscheiden zu können, hält es das vorlegende Gericht für klärungsbedürftig, ob das Amt im Kontext dieser Rechtssache die Eigenschaft eines „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO habe.

16

Insoweit weist das vorlegende Gericht darauf hin, dass das Amt dem Landeshauptmann lediglich einen Vorschlag zur Übersendung eines „Impferinnerungsschreibens“ unterbreitet habe, den dieser in seiner Eigenschaft als Vorstand des Amtes und als Vertreter des Landes Tirol gemäß Art. 58 bzw. Art. 56 Abs. 1 der Tiroler Landesverordnung 1989 genehmigt habe. Das Amt habe sich somit darauf beschränkt, dem Landeshauptmann zum einen mitzuteilen, welchen Zweck die beabsichtigte Verarbeitung personenbezogener Daten habe, nämlich eine Erhöhung der Impfquote, und zum anderen, welche Mittel auf der Grundlage dieser Verarbeitung eingesetzt würden, nämlich die Versendung eines solchen „Impferinnerungsschreibens“ unter Verwendung der Daten des zentralen Impfregisters und des Patientenindex.

17

Angesichts der Genehmigung durch den Landeshauptmann habe nur dieser sowohl über den Zweck als auch über die Mittel der Verarbeitung personenbezogener Daten entschieden, so dass das Amt nicht die Eigenschaft eines „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 erster Halbsatz DSGVO haben könne.

18

Dennoch möchte das vorlegende Gericht wissen, ob das Amt durch eine Bestimmung des nationalen Rechts, nämlich § 2 Abs. 1 lit. a TDVG, rechtswirksam als solcher benannt werden konnte.

19

Das Amt sei nämlich keine juristische Person oder Behörde, die mit der Verarbeitung personenbezogener Daten betraut sei, die zur Übersendung eines „Impferinnerungsschreibens“ an CW geführt habe. Das Amt sei an dieser Verarbeitung nur als Hilfsapparat einer Behörde beteiligt gewesen. Es habe keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit. Daher sei zu prüfen, ob das Amt unter diesen Umständen als „Einrichtung oder andere Stelle“ im Sinne von Art. 4 Nr. 7 erster Halbsatz DSGVO angesehen werden könne, die gemäß Art. 4 Nr. 7 zweiter Halbsatz DSGVO nach nationalem Recht als Verantwortlicher benannt werden könne.

20

Außerdem weist das vorlegende Gericht darauf hin, dass nach Art. 4 Nr. 7 zweiter Halbsatz DSGVO ein Verantwortlicher nur dann unmittelbar benannt werden könne, wenn die Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten durch das nationale Recht vorgegeben seien. In § 2 Abs. 1 lit. a TDVG werde zwar das Amt als Verantwortlicher benannt, jedoch lasse sich dieser Bestimmung nicht konkret entnehmen, welche Arten von Verarbeitungen personenbezogener Daten das Amt vornehmen könne, welche Zwecke diese Verarbeitungen verfolgen sollten und welche Mittel das Amt hierfür einsetzen könne.

21

Das vorlegende Gericht fügt hinzu, dass sich aus Art. 6 Abs. 1 Buchst. c und e DSGVO ergebe, dass eine Verarbeitung personenbezogener Daten rechtmäßig sei, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich sei, der der Verantwortliche unterliege, oder für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Aus diesen Erlaubnistatbeständen und dem mit Art. 4 Nr. 7 DSGVO verfolgten Ziel, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, ergebe sich, dass die Mitgliedstaaten nur eine Person oder Stelle als Verantwortlichen benennen könnten, die in der Lage sei, die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu bestimmen oder zumindest mitzubestimmen.

22

Vor diesem Hintergrund hat der Verwaltungsgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:

Ist Art. 4 Nr. 7 DSGVO dahin gehend auszulegen, dass er der Anwendung einer Bestimmung des nationalen Rechts (wie vorliegend des § 2 Abs. 1 TDVG) entgegensteht, in der zwar im Sinn des zweiten Halbsatzes des Art. 4 Nr. 7 DSGVO ein bestimmter Verantwortlicher vorgesehen wird, aber

dieser eine bloße Dienststelle (wie im vorliegenden Fall das Amt) ist, die zwar gesetzlich eingerichtet, aber keine natürliche oder juristische Person und im vorliegenden Fall auch keine Behörde ist, sondern nur als Hilfsapparat für diese auftritt und über keine eigene (Teil)Rechtsfähigkeit verfügt;

dessen Benennung ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten erfolgt und daher auch keine Zwecke und Mittel einer konkreten Verarbeitung personenbezogener Daten durch das Recht des Mitgliedstaats vorgegeben werden;

dieser im konkreten Fall weder allein noch gemeinsam mit anderen über die Zwecke und Mittel der zugrunde liegenden Verarbeitung personenbezogener Daten entschieden hat?

Zur Vorlagefrage

23

Mit seiner Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, in der als Verantwortlicher ein Hilfsapparat der Verwaltung, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, benannt ist, aber nicht konkret angegeben ist, für welche speziellen Vorgänge der Verarbeitung personenbezogener Daten dieser Hilfsapparat verantwortlich ist und worin der Zweck dieser Vorgänge besteht. Das vorlegende Gericht möchte des Weiteren wissen, ob Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass eine Stelle, die nach nationalem Recht als Verantwortlicher im Sinne dieser Bestimmung benannt ist, tatsächlich über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden muss, um als Verantwortlicher Anfragen beantworten zu müssen, die betroffene Personen aufgrund ihrer Rechte aus der DSGVO an sie richten.

24

Vorab ist darauf hinzuweisen, dass der Ausdruck „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen umfasst, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Sind, wie es in dieser Bestimmung weiter heißt, die Zwecke und Mittel der Verarbeitung u. a. durch das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach diesem Recht vorgesehen werden.

25

Aus der Rechtsprechung des Gerichtshofs ergibt sich, dass durch die weite Definition des Begriffs „Verantwortlicher“ in dieser Bestimmung ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden soll (vgl. in diesem Sinne Urteile vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 29, und vom 5. Dezember 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, Rn. 40).

26

Wie sich aus ihrem Art. 1 sowie aus ihren Erwägungsgründen 1 und 10 ergibt, besteht das Ziel der DSGVO u. a. darin, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta der Grundrechte und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben bei der Verarbeitung personenbezogener Daten – zu gewährleisten (Urteil vom 7. März 2024, IAB Europe, C‑604/22, EU:C:2024:214, Rn. 53 und die dort angeführte Rechtsprechung).

27

Nach dem im Hinblick auf dieses Ziel ausgelegten Wortlaut von Art. 4 Nr. 7 DSGVO bedarf die Feststellung, ob eine Person oder Einrichtung als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, der Prüfung, ob diese Person oder Einrichtung allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob diese durch das nationale Recht vorgegeben werden. Erfolgt durch das nationale Recht eine solche Vorgabe, ist zu prüfen, ob dieses Recht den Verantwortlichen bzw. die bestimmten Kriterien seiner Benennung vorsieht (Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 29).

28

Angesichts der weiten Definition des Ausdrucks „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO kann die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht nicht nur explizit, sondern auch implizit erfolgen. Im letzteren Fall ist es jedoch erforderlich, dass sich diese Vorgabe mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben der betroffenen Person oder Einrichtung ergibt (Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 30).

29

Die Vorlagefrage ist im Licht dieser Vorbemerkungen zu prüfen. Zu diesem Zweck muss erstens festgestellt werden, inwieweit der nationale Gesetzgeber einen Hilfsapparat von Behörden rechtswirksam als Verantwortlichen im Sinne von Art. 4 Nr. 7 zweiter Halbsatz DSGVO benennen kann, wenn dieser Hilfsapparat keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat.

30

Insoweit ist zum einen darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass sich aus dem klaren Wortlaut von Art. 4 Nr. 7 DSGVO ergibt, dass ein Verantwortlicher nicht nur eine natürliche oder juristische Person, sondern auch eine Behörde, eine Einrichtung oder eine andere Stelle sein kann, wobei solche Stellen nach nationalem Recht nicht zwangsläufig Rechtspersönlichkeit besitzen (vgl. in diesem Sinne Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 36).

31

Somit kann nicht ausgeschlossen werden, dass eine Stelle auch dann als „Verantwortlicher“ im Sinne dieser Bestimmung eingestuft werden kann, wenn sie keine Rechtspersönlichkeit besitzt.

32

Was zum anderen die Frage betrifft, ob eine Stelle nur dann als „Verantwortlicher“ eingestuft werden kann, wenn sie eine eigene Rechtsfähigkeit hat, oder bereits dann, wenn sie über eine gewisse Entscheidungs- und Handlungsfähigkeit im Rahmen des Schutzes personenbezogener Daten verfügt, ist darauf hinzuweisen, dass der Unionsgesetzgeber ausweislich des 74. Erwägungsgrundes der DSGVO gewollt hat, dass der Verantwortliche für jedwede Verarbeitung personenbezogener Daten unabhängig davon, ob sie durch ihn oder durch einen Dritten, aber in seinem Namen, erfolgt, dieselbe Verantwortung und Haftung trägt. Nach dem Willen des Unionsgesetzgebers sollte zudem der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die fraglichen Maßnahmen auch wirksam sind. Dabei sollte der Verantwortliche die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.

33

Insoweit enthält Art. 5 Abs. 2 DSGVO einen Grundsatz der Rechenschaftspflicht, wonach der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist und dessen Einhaltung nachweisen können muss.

34

In Anbetracht der rechtlichen Verpflichtungen, denen der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO somit unterliegt, muss er nach den in den Rechtsvorschriften seines Mitgliedstaats vorgesehenen Modalitäten in der Lage sein, diese Verpflichtungen in tatsächlicher und rechtlicher Hinsicht zu erfüllen, ohne dass es insoweit darauf ankommt, ob die betreffende Stelle Rechtspersönlichkeit und eine eigene Rechtsfähigkeit hat.

35

Im vorliegenden Fall obliegt dem vorlegenden Gericht die Prüfung, ob das Amt nach österreichischem Recht befugt ist, die Verantwortung und Haftung sowie die Verpflichtungen zu übernehmen, die die DSGVO dem Verantwortlichen auferlegt, insbesondere unter Berücksichtigung des vor den mit dem Ausgangsrechtsstreit befassten nationalen Gerichten unbestrittenen Umstands, dass das Amt gegen die Entscheidung der Datenschutzbehörde Beschwerde erheben kann, ebenso wie es selbst Gegenstand einer Beschwerde bei dieser Behörde sein kann. Das vorlegende Gericht kann des Weiteren berücksichtigen, dass das Amt zwei private Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragte, die im zentralen Impfregister und im Index der in Tirol wohnhaften Patienten enthalten waren.

36

Zweitens möchte das vorlegende Gericht wissen, ob ein nationaler Gesetzgeber eine Stelle als Verantwortlichen im Sinne von Art. 4 Nr. 7 zweiter Halbsatz DSGVO benennen kann, ohne konkret anzugeben, welche Verarbeitungen personenbezogener Daten die Stelle vornehmen kann, welchen Zweck diese Verarbeitungen haben und welche Mittel die Stelle hierfür genau einsetzen kann.

37

Wie oben in Rn. 28 ausgeführt, kann, wenn durch das nationale Recht eine Stelle als Verantwortlicher benannt wird, die Vorgabe der Zwecke und Mittel der Verarbeitung durch dieses Recht implizit erfolgen, sofern sich diese Vorgabe mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben dieser Stelle ergibt. Diese Voraussetzung ist erfüllt, wenn sich diese Zwecke und Mittel im Wesentlichen aus den nationalen Rechtsvorschriften ergeben, die die Tätigkeit dieser Stelle regeln.

38

Die unmittelbare Benennung einer Stelle als Verantwortlicher durch den nationalen Gesetzgeber trägt zu dem mit der DSGVO ausweislich ihres siebten Erwägungsgrundes verfolgten Ziel der Rechtssicherheit bei, indem es natürlichen Personen, deren personenbezogene Daten verarbeitet werden, ermöglicht wird, die Stelle, die für die Einhaltung der ihnen durch diese Verordnung verliehenen Rechte zuständig ist, leicht zu ermitteln.

39

Eine solche Benennung ist jedoch nur dann rechtswirksam, wenn die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten, für die diese Stelle als verantwortlich benannt ist, vorgibt, wobei es nicht erforderlich ist, dass der Gesetzgeber alle Verarbeitungsvorgänge, für die die Stelle auf diese Weise benannt ist, abschließend aufgezählt hat. Im 45. Erwägungsgrund der DSGVO heißt es insoweit: „Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist.“

40

Daraus folgt, dass eine nationale Regelung, in der eine Stelle als Verantwortlicher benannt ist, aber nicht ausdrücklich alle konkreten Vorgänge der Verarbeitung personenbezogener Daten, für die die Stelle verantwortlich ist, und der Zweck dieser Verarbeitungsvorgänge aufgeführt sind, mit Art. 4 Nr. 7 DSGVO vereinbar ist, sofern diese Regelung explizit oder zumindest implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die die Stelle als verantwortlich benannt ist.

41

Hier hat das vorlegende Gericht zum einen zu prüfen, ob die Verarbeitung personenbezogener Daten, die das Amt zur Vorbereitung und Versendung der im Ausgangsverfahren in Rede stehenden „Impferinnerungsschreiben“ vorgenommen hat, mit den Zwecken vereinbar ist, denen die Verarbeitungen personenbezogener Daten, für die das Amt als verantwortlich benannt wurde, entsprechen müssen, so wie sich diese Zwecke zumindest implizit aus der Gesamtheit der nationalen Rechtsvorschriften betreffend seine Tätigkeit ergeben; zum anderen hat das vorlegende Gericht die Mittel zu würdigen, die das Amt hierfür einsetzen kann. Der bloße Umstand, dass diese nationalen Rechtsvorschriften gegebenenfalls nicht konkret vorgeben, welche Verarbeitungsvorgänge das Amt durchführen darf, schließt es nicht aus, eine Stelle wie das Amt als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO einzustufen.

42

Drittens möchte das vorlegende Gericht wissen, ob eine Stelle, die nach den nationalen Rechtsvorschriften als Verantwortlicher im Sinne von Art. 4 Nr. 7 zweiter Halbsatz DSGVO benannt ist, zudem selbst – oder zusammen mit anderen zuständigen Behörden – über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten, für die sie als verantwortlich benannt ist, entscheiden muss, um als Verantwortlicher Anfragen beantworten zu müssen, die betroffene Personen aufgrund ihrer Rechte aus der DSGVO an sie richten.

43

Insoweit genügt der Hinweis, dass zur Feststellung, ob eine Stelle die Eigenschaft eines Verantwortlichen im Sinne von Art. 4 Nr. 7 erster Halbsatz DSGVO hat, zu prüfen ist, ob sie tatsächlich zu ihren eigenen Zwecken auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen hat (vgl. in diesem Sinne Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 30 und 31).

44

Um die Eigenschaft einer Stelle als Verantwortlicher im Sinne von Art. 4 Nr. 7 zweiter Halbsatz DSGVO festzustellen, ist es hingegen, wie sich aus dem klaren Wortlaut dieser Bestimmung ergibt, nicht erforderlich, dass diese Stelle einen Einfluss auf die Entscheidung über die Zwecke und Mittel dieser Verarbeitung ausübt.

45

Eine solche Stelle, die nach nationalem Recht als Verantwortlicher benannt ist, muss daher nicht selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, um als Verantwortlicher Anfragen beantworten zu müssen, die betroffene Personen aufgrund ihrer Rechte aus der DSGVO an sie richten.

46

Insoweit hat der Gerichtshof bereits entschieden, dass die Rechtswirksamkeit einer unmittelbaren Benennung nicht dadurch berührt wird, dass die als Verantwortlicher benannte Stelle nach nationalem Recht keine Kontrolle über die personenbezogenen Daten ausübt, die sie zu verarbeiten hat (vgl. in diesem Sinne Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 37 und 38).

47

Eine solche Auslegung steht im Einklang mit dem mit der DSGVO verfolgten Ziel der Rechtssicherheit. Wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, würde dieses Ziel beeinträchtigt, wenn die betroffenen Personen, um davon ausgehen zu können, dass der nationale Gesetzgeber diese Benennung rechtswirksam vorgenommen hat, prüfen müssten, ob die für die Verarbeitung ihrer personenbezogenen Daten als verantwortlich benannte Stelle befugt ist, selbst über die Zwecke und Mittel einer solchen Verarbeitung zu entscheiden.

48

Hinzuzufügen ist noch, dass der Umstand, wonach es nicht erforderlich ist, dass eine nach nationalem Recht als Verantwortlicher benannte Stelle auch befugt ist, selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden, um als Verantwortlicher Anfragen beantworten zu müssen, die betroffene Personen aufgrund ihrer Rechte aus der DSGVO an sie richten, als solcher diesen Personen nicht die Möglichkeit nimmt, diese Anfragen an eine andere Stelle zu richten, die sie aufgrund des Einflusses, den diese andere Stelle auf die Entscheidung über die Zwecke und Mittel der Verarbeitung ihrer personenbezogenen Daten ausgeübt hat, als für die fragliche Verarbeitung (Mit-)Verantwortlichen ansehen.

49

Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung, in der als Verantwortlicher ein Hilfsapparat der Verwaltung, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, benannt ist, aber nicht konkret angegeben ist, für welche speziellen Vorgänge der Verarbeitung personenbezogener Daten dieser Hilfsapparat verantwortlich ist und worin der Zweck dieser Vorgänge besteht, nicht entgegensteht, sofern zum einen eine solche Stelle gemäß dieser nationalen Regelung die Pflichten zu erfüllen vermag, die ein Verantwortlicher gegenüber den betroffenen Personen im Bereich des Schutzes personenbezogener Daten hat, und zum anderen diese nationale Regelung explizit oder zumindest implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

Kosten

50

Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
 

Aus diesen Gründen hat der Gerichtshof (Achte Kammer) für Recht erkannt:
 

Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

 

ist dahin auszulegen, dass

 

er einer nationalen Regelung, in der als Verantwortlicher ein Hilfsapparat der Verwaltung, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, benannt ist, aber nicht konkret angegeben ist, für welche speziellen Vorgänge der Verarbeitung personenbezogener Daten dieser Hilfsapparat verantwortlich ist und worin der Zweck dieser Vorgänge besteht, nicht entgegensteht, sofern zum einen eine solche Stelle gemäß dieser nationalen Regelung die Pflichten zu erfüllen vermag, die ein Verantwortlicher gegenüber den betroffenen Personen im Bereich des Schutzes personenbezogener Daten hat, und zum anderen diese nationale Regelung explizit oder zumindest implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

 

Jääskinen

Gavalec

Piçarra

Verkündet in öffentlicher Sitzung in Luxemburg am 27. Februar 2025.

Der Kanzler

A. Calot Escobar

Der Präsident

K. Lenaerts

( *1 ) Verfahrenssprache: Deutsch.