URTEIL DES GERICHTSHOFS (Dritte Kammer)

11. Januar 2024 ( *1 )

„Vorlage zur Vorabentscheidung – Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr (Datenschutz-Grundverordnung) – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Ausdruck ‚Verantwortlicher‘ – Amtsblatt eines Mitgliedstaats – Pflicht zur unveränderten Veröffentlichung gesellschaftsrechtlicher Akte, die von Gesellschaften oder deren gesetzlichen Vertretern erstellt wurden – Art. 5 Abs. 2 – Aufeinanderfolgende Verarbeitung von in solchen Akten enthaltenen personenbezogenen Daten durch mehrere Personen oder unterschiedliche Einrichtungen – Festlegung der Zuständigkeiten“

In der Rechtssache C‑231/22

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht von der Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) mit Entscheidung vom 23. Februar 2022, beim Gerichtshof eingegangen am 1. April 2022, in dem Verfahren

État belge

gegen

Autorité de protection des données,

Beteiligter:

LM,

erlässt

DER GERICHTSHOF (Dritte Kammer)

unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra, M. Safjan (Berichterstatter), N. Jääskinen und M. Gavalec,

Generalanwältin: L. Medina,

Kanzler: C. Strömholm, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 23. März 2023,

unter Berücksichtigung der Erklärungen

der Autorité de protection des données, vertreten durch F. Biebuyck, P. Van Muylder, Avocates, und E. Kairis, Advocaat,

der belgischen Regierung, vertreten durch P. Cottin, J.‑C. Halleux und C. Pochet als Bevollmächtigte im Beistand von S. Kaisergruber und P. Schaffner, Avocats,

der ungarischen Regierung, vertreten durch Zs. Biró-Tóth und M. Z. Fehér als Bevollmächtigte,

der Europäischen Kommission, vertreten durch A. Bouchagiar, H. Kranenborg und A.‑C. Simon als Bevollmächtigte,

nach Anhörung der Schlussanträge der Generalanwältin in der Sitzung vom 8. Juni 2023

folgendes

Urteil

1

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nr. 7 und Art. 5 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2

Es ergeht im Rahmen eines Rechtsstreits zwischen dem belgischen Staat und der in Belgien gemäß Art. 51 DSGVO eingerichteten Aufsichtsbehörde, der Autorité de protection des données (im Folgenden: Datenschutzbehörde) (Belgien), wegen eines Beschlusses, mit dem die Datenschutzbehörde anordnete, dass die Verwaltungsbehörde des Moniteur belge – des Amtsblatts, das in Belgien die Erstellung und Verbreitung eines breiten Spektrums amtlicher und für die Öffentlichkeit bestimmter Veröffentlichungen in Papierform und auf elektronischem Weg gewährleistet – dem ausgeübten Recht einer natürlichen Person auf Löschung mehrerer personenbezogener Daten, die in einem in diesem Amtsblatt veröffentlichten Rechtsakt enthalten waren, Folge zu leisten habe.

Rechtlicher Rahmen

Unionsrecht

3

Art. 4 Nrn. 2 und 7 DSGVO bestimmt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

2.

‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

7.

‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

…“

4

Art. 5 DSGVO lautet:

„(1)   Personenbezogene Daten müssen

a)

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b)

für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);

c)

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d)

sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e)

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);

f)

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)[.]

(2)   Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

5

In Art. 17 DSGVO heißt es:

„(1)   Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a)

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b)

Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c)

Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

(3)   Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

b)

zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

d)

für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt …

…“

6

Art. 26 DSGVO lautet:

„(1)   Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

(2)   Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das [W]esentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3)   Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem [E]inzelnen der Verantwortlichen geltend machen.“

7

Art. 51 DSGVO bestimmt u. a., dass die Mitgliedstaaten eine oder mehrere unabhängige Behörden vorsehen müssen, die für die Überwachung der Anwendung dieser Verordnung zuständig sind.

Belgisches Recht

8

Art. 472 des Programmgesetzes vom 24. Dezember 2002 (Moniteur belge vom 31. Dezember 2002, S. 58686) bestimmt:

„Das Belgische Staatsblatt ist eine amtliche Veröffentlichung, die von der Direktion des Belgischen Staatsblatts herausgegeben wird und in der alle Texte gesammelt werden, deren Veröffentlichung im Belgischen Staatsblatt vorgeschrieben ist.“

9

Art. 474 des Programmgesetzes sieht vor:

„Die Veröffentlichung im Belgischen Staatsblatt durch die Direktion des Belgischen Staatsblatts erfolgt in drei Exemplaren, die auf Papier gedruckt werden.

Ein Exemplar wird elektronisch gespeichert. Der König legt die Modalitäten der elektronischen Speicherung fest …“

10

Art. 475 des Programmgesetzes lautet:

„Jede weitere andere Zurverfügungstellung für das Publikum erfolgt über die Internetseite der Direktion des Belgischen Staatsblatts.

Die auf dieser Internetseite zur Verfügung gestellten Veröffentlichungen sind genaue Reproduktionen in elektronischem Format der in Artikel 474 vorgesehenen Exemplare auf Papier.“

11

Art. 475bis des Programmgesetzes bestimmt:

„Über einen kostenlosen telefonischen Hilfsdienst kann jeder Bürger bei den Dienststellen des Belgischen Staatsblatts gegen Zahlung des Selbstkostenpreises eine Abschrift der im Belgischen Staatsblatt veröffentlichten Akte und Dokumente erhalten. Dieser Dienst ist ebenfalls damit beauftragt, den Bürgern beim Suchen von Dokumenten Hilfestellung zu leisten.“

12

Art. 475ter des Programmgesetzes vom 24. Dezember 2002 sieht vor:

„Andere Begleitmaßnahmen werden durch einen im Ministerrat beratenen Erlass getroffen, um eine weitmöglichste Verbreitung der im Belgischen Staatsblatt enthaltenen Information und einen breitmöglichsten Zugriff darauf zu gewährleisten.“

Ausgangsverfahren und Vorlagefragen

13

Eine natürliche Person hielt in Belgien die Mehrheit der Anteile an einer privaten Gesellschaft mit beschränkter Haftung. Nachdem die Gesellschafter dieser Gesellschaft beschlossen hatten, ihr Kapital herabzusetzen, wurde durch Beschluss der außerordentlichen Hauptversammlung dieser Gesellschaft vom 23. Januar 2019 deren Satzung geändert.

14

Gemäß dem Gesellschaftsgesetzbuch in der Fassung des Gesetzes vom 7. Mai 1999 (Moniteur belge vom 6. August 1999, S. 29440) wurde durch den Notar der natürlichen Person ein Auszug aus diesem Beschluss erstellt und anschließend von ihm bei der Geschäftsstelle des zuständigen Gerichts, d. h. des Unternehmensgerichts, in dessen Bezirk die Gesellschaft ihren Sitz hat, hinterlegt. Im Einklang mit den einschlägigen Rechtsvorschriften übermittelte das Gericht den Auszug der Direktion des Moniteur belge zum Zweck der Veröffentlichung.

15

Am 12. Februar 2019 wurde der Auszug gemäß den anwendbaren Rechtsvorschriften unverändert, d. h. ohne inhaltliche Kontrolle, in den Anhängen des Moniteur belge veröffentlicht.

16

Der Auszug enthält den Beschluss, das Gesellschaftskapital herabzusetzen, die ursprüngliche Höhe dieses Gesellschaftskapitals, die Höhe der Kapitalherabsetzung sowie die neue Höhe des Gesellschaftskapitals und den neuen Text der Satzung der Gesellschaft. Zudem enthält der Auszug eine Passage, in der der Name der beiden Gesellschafter der Gesellschaft, so auch der Name der in Rn. 13 des vorliegenden Urteils genannten natürlichen Person, die ihnen ausgezahlten Beträge und ihre Kontonummern (im Folgenden: im Ausgangsverfahren in Rede stehende Passage) aufgeführt sind.

17

Nachdem sie festgestellt hatte, dass ihr Notar einen Fehler begangen hatte, da er – obwohl dies nicht gesetzlich vorgeschrieben ist – die im Ausgangsverfahren in Rede stehende Passage in den in Rn. 14 des vorliegenden Urteils genannten Auszug aufgenommen hatte, leitete die natürliche Person über den Notar und den Datenschutzbeauftragten des Notars Schritte ein, um im Einklang mit ihrem Recht auf Löschung nach Art. 17 DSGVO die Löschung dieser Passage zu erwirken.

18

Der Föderale Öffentliche Dienst Justiz (im Folgenden: FÖD Justiz), dem die Direktion des Moniteur belge unterstellt ist, lehnte es u. a. mit einem Bescheid vom 10. April 2019 ab, einem solchen Löschungsantrag stattzugeben.

19

Am 21. Januar 2020 reichte die natürliche Person bei der Datenschutzbehörde gegen den FÖD Justiz eine Beschwerde ein, um feststellen zu lassen, dass der Löschungsantrag begründet sei und dass die Voraussetzungen für die Ausübung des Rechts auf Löschung nach Art. 17 Abs. 1 DSGVO erfüllt seien.

20

Mit Beschluss vom 23. März 2021 richtete die Datenschutzbehörde eine „Rüge“ an den FÖD Justiz und ordnete an, dass dieser dem Löschungsantrag so bald wie möglich, spätestens jedoch innerhalb von 30 Tagen nach Bekanntgabe dieses Beschlusses, Folge zu leisten habe.

21

Am 22. April 2021 erhob der belgische Staat bei der Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien), dem vorlegenden Gericht, Klage auf Aufhebung dieses Beschlusses.

22

Das vorlegende Gericht weist darauf hin, dass zwischen den Parteien streitig sei, wie im Ausgangsverfahren der Ausdruck „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO auszulegen sei, da die in der im Ausgangsverfahren in Rede stehenden Passage enthaltenen personenbezogenen Daten, deren Veröffentlichung nicht gesetzlich vorgeschrieben sei, von mehreren „aufeinanderfolgenden“ potenziellen Verantwortlichen verarbeitet worden seien. Dabei handele es sich erstens um den Notar, der den Auszug mit der im Ausgangsverfahren in Rede stehenden Passage, in die er diese Daten irrtümlich eingefügt habe, erstellt habe, zweitens um die Geschäftsstelle des Gerichts, bei der dieser Auszug vor seiner Übermittlung an den Moniteur belge zum Zweck der Veröffentlichung hinterlegt worden sei, und drittens um den Moniteur belge, der den Auszug nach der Entgegennahme von diesem Gericht gemäß den für sein Statut und seine Aufgaben geltenden Rechtsvorschriften unverändert, d. h. ohne Kontroll- und Änderungsbefugnis, veröffentlicht habe.

23

In diesem Rahmen fragt sich das vorlegende Gericht, ob der Moniteur belge als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden könne. Für den Fall, dass dies bejaht wird, möchte das vorlegende Gericht unter Hinweis darauf, dass sich die Parteien des Ausgangsverfahrens nicht auf die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO berufen, auch wissen, ob der Moniteur belge nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze allein verantwortlich zu machen sei oder ob diese Verantwortung auch kumulativ bei den öffentlichen Stellen liege, die zuvor die Daten in der im Ausgangsverfahren in Rede stehenden Passage verarbeitet hätten, d. h. dem Notar, der den Auszug mit dieser Passage erstellt habe, und dem Unternehmensgericht, in dessen Bezirk die betreffende private Gesellschaft mit beschränkter Haftung ihren Gesellschaftssitz habe.

24

Unter diesen Umständen hat die Cour d’appel de Bruxelles (Appellationshof Brüssel) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.

Ist Art. 4 Nr. 7 DSGVO dahin auszulegen, dass als Verantwortlicher ein Amtsblatt eines Mitgliedstaats anzusehen ist, dem der öffentliche Auftrag der Veröffentlichung und Archivierung amtlicher Dokumente übertragen wurde und das nach dem anwendbaren nationalen Recht die Aufgabe hat, Rechtsakte und amtliche Dokumente, deren Veröffentlichung ihm von anderen öffentlichen Stellen aufgetragen wird, unverändert so zu veröffentlichen, wie sie von diesen Stellen übermittelt werden, nachdem jene selbst in diesen Rechtsakten und Dokumenten enthaltene personenbezogene Daten verarbeitet haben, wobei ihm vom nationalen Gesetzgeber weder hinsichtlich des Inhalts der zu veröffentlichenden Dokumente noch hinsichtlich des Zwecks und der Mittel der Veröffentlichung ein Entscheidungsspielraum eingeräumt wurde?

2.

Falls die erste Frage bejaht wird: Ist Art. 5 Abs. 2 DSGVO dahin auszulegen, dass das betreffende Amtsblatt allein für die Einhaltung der Pflichten verantwortlich ist, die nach dieser Bestimmung bei dem Verantwortlichen liegen, unter Ausschluss anderer öffentlicher Stellen, von denen die Daten in den Rechtsakten und amtlichen Dokumenten, deren Veröffentlichung sie von ihm verlangen, zuvor verarbeitet wurden, oder sind diese Pflichten kumulativ jedem der aufeinanderfolgenden Verantwortlichen auferlegt?

Zu den Vorlagefragen

Zur erste Frage

25

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ im Sinne dieser Bestimmung eingestuft werden kann.

26

Zunächst ist klarzustellen, dass der Ausdruck „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO voraussetzt, dass eine „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO vorliegt. Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass die personenbezogenen Daten, die in der im Ausgangsverfahren in Rede stehenden Passage enthalten sind, vom Moniteur belge verarbeitet wurden. Auch wenn das vorlegende Gericht diese Verarbeitung nicht im Einzelnen darlegt, lässt sich den übereinstimmenden schriftlichen Erklärungen der Datenschutzbehörde und der belgischen Regierung entnehmen, dass diese Daten vom Moniteur belge zumindest erhoben, erfasst, gespeichert, durch Übermittlung offengelegt und verbreitet wurden; solche Vorgänge stellen eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO dar.

27

Nach dieser einleitenden Klarstellung ist darauf hinzuweisen, dass der Ausdruck „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen umfasst, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Sind, wie es in dieser Bestimmung weiter heißt, die Zwecke und Mittel dieser Verarbeitung u. a. durch das Recht der Mitgliedstaaten vorgegeben, kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach diesem Recht vorgesehen werden.

28

Insoweit ist darauf hinzuweisen, dass nach der Rechtsprechung des Gerichtshofs durch die weite Definition des Ausdrucks „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden soll (vgl. in diesem Sinne Urteile vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 29, und Deutsche Wohnen, C‑807/21, EU:C:2023:950, Rn. 40 sowie die dort angeführte Rechtsprechung).

29

Nach dem im Hinblick auf dieses Ziel ausgelegten Wortlaut von Art. 4 Nr. 7 DSGVO bedarf die Feststellung, ob eine Person oder Einrichtung als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, der Prüfung, ob diese Person oder Einrichtung allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob diese durch das nationale Recht vorgegeben werden. Erfolgt durch das nationale Recht eine solche Vorgabe, ist zu prüfen, ob dieses Recht den Verantwortlichen bzw. die bestimmten Kriterien seiner Benennung vorsieht.

30

Insoweit ist klarzustellen, dass angesichts der weiten Definition des Ausdrucks „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht nicht nur explizit, sondern auch implizit erfolgen kann. Im letzteren Fall ist es jedoch erforderlich, dass sich diese Vorgabe mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben der betroffenen Person oder Einrichtung ergibt. Der Schutz dieser Personen würde sich nämlich verringern, wenn Art. 4 Nr. 7 DSGVO eng ausgelegt wird, um lediglich die Fälle zu erfassen, in denen die Zwecke und Mittel einer Datenverarbeitung durch eine Person, Behörde, Einrichtung oder Stelle ausdrücklich durch das nationale Recht vorgegeben werden, selbst wenn sich diese Zwecke und Mittel im Wesentlichen aus den Rechtsvorschriften ergeben, die die Tätigkeit der betreffenden Einrichtung regeln.

31

Im vorliegenden Fall stellt erstens das vorlegende Gericht klar, dass im Ausgangsverfahren dem Moniteur belge nach nationalem Recht wohl keine Befugnis übertragen worden sei, um die Zwecke und Mittel der von ihm vorgenommenen Datenverarbeitung vorzugeben, und die erste Vorlagefrage unter dieser Prämisse gestellt worden sei. Im Übrigen geht aus den übereinstimmenden Erklärungen der Datenschutzbehörde und der belgischen Regierung in der mündlichen Verhandlung hervor, dass der Behörde, die den Moniteur belge leitet, d. h. dem FÖD Justiz, nach nationalem Recht wohl ebenfalls keine solche Befugnis übertragen wurde.

32

Zweitens geht aus den dem Gerichtshof vorliegenden Akten hervor, dass die personenbezogenen Daten, die in den dem Moniteur belge zur Veröffentlichung übermittelten Rechtsakten und Dokumenten enthalten sind, im Wesentlichen unverändert erhoben, erfasst, aufbewahrt und veröffentlicht werden, damit die Öffentlichkeit offiziell über die Existenz der Rechtsakte und Dokumente informiert werden kann und diese Dritten entgegengehalten werden können.

33

Aus den Erläuterungen des vorlegenden Gerichts geht hervor, dass die Verarbeitung im Wesentlichen mit Hilfe automatisierter Mittel erfolgt: Unter anderem werden die betreffenden Daten in Exemplaren reproduziert, die auf Papier gedruckt werden und von denen eines elektronisch gespeichert wird, wobei die auf Papier gedruckten Exemplare in elektronischem Format für die Website des Moniteur belge reproduziert werden und ein telefonischer Hilfsdienst damit beauftragt ist, den Bürgern beim Suchen von Dokumenten Hilfestellung zu leisten.

34

Aus den dem Gerichtshof vorliegenden Akten ergibt sich somit, dass das belgische Recht zumindest implizit die Zwecke und Mittel für die Verarbeitung personenbezogener Daten durch den Moniteur belge vorgegeben hat.

35

Unter diesen Umständen ist festzustellen, dass der Moniteur belge als zuständige Einrichtung oder Stelle für die Verarbeitung der in ihren Veröffentlichungen enthaltenen personenbezogenen Daten im Einklang mit den für die durch das belgische Recht vorgegebenen Zwecke und Mittel der Verarbeitung als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann.

36

Dieses Ergebnis wird nicht dadurch in Frage gestellt, dass der Moniteur belge als Unterabteilung des FÖD Justiz keine Rechtspersönlichkeit besitzt. Aus dem klaren Wortlaut dieser Bestimmung ergibt sich nämlich, dass ein Verantwortlicher nicht nur eine natürliche oder juristische Person, sondern auch eine Behörde, eine Einrichtung oder eine Stelle sein kann, wobei solche Träger nach nationalem Recht nicht zwangsläufig Rechtspersönlichkeit besitzen.

37

Auch der Umstand, dass der Moniteur belge nach nationalem Recht die in den bei diesem Amtsblatt eingegangenen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten vor ihrer Veröffentlichung im Amtsblatt nicht kontrolliert, kann keinen Einfluss auf die Frage haben, ob der Moniteur belge als Verantwortlicher angesehen werden kann.

38

Zwar trifft es zu, dass der Moniteur belge das betreffende Dokument unverändert zu veröffentlichen hat. Es ist jedoch allein seine Sache, diese Aufgabe wahrzunehmen und anschließend den betreffenden Rechtsakt oder das betreffende Dokument zu verbreiten. Zum einen ist die Veröffentlichung solcher Rechtsakte und Dokumente ohne Möglichkeit der Kontrolle oder Änderung ihres Inhalts untrennbar mit den durch das nationale Recht vorgegebenen Zwecken und Mitteln der Verarbeitung verbunden, da sich die Rolle eines Amtsblatts wie des Moniteur belge darauf beschränkt, die Öffentlichkeit über die Existenz dieser Rechtsakte und Dokumente, wie sie dem Amtsblatt in Form einer Kopie nach dem anwendbaren nationalen Recht übermittelt werden, zu unterrichten, damit sie Dritten entgegengehalten werden können. Zum anderen würde es dem in Rn. 28 des vorliegenden Urteils genannten Ziel von Art. 4 Nr. 7 DSGVO zuwiderlaufen, das Amtsblatt eines Mitgliedstaats vom Ausdruck „Verantwortlicher“ auszunehmen, weil die in seinen Veröffentlichungen enthaltenen personenbezogenen Daten nicht seiner Kontrolle unterliegen (vgl. entsprechend Urteil vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 34).

39

Nach alledem ist auf die erste Frage zu antworten, dass Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind.

Zur zweiten Frage

40

Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 2 DSGVO dahin auszulegen ist, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist oder ob die Einhaltung kumulativ der Einrichtung oder Stelle und den dritten öffentlichen Stellen obliegt, die die in den vom Amtsblatt veröffentlichten Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten zuvor verarbeitet haben.

41

Zunächst ist darauf hinzuweisen, dass der Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO in Form von Pflichten festgelegten Grundsätze verantwortlich ist und die Einhaltung dieser Grundsätze nachweisen können muss.

42

Im vorliegenden Fall geht aus den dem Gerichtshof vorliegenden Akten hervor, dass die dem Moniteur belge übertragene Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten sowohl der Verarbeitung durch den Notar und durch die Geschäftsstelle des zuständigen Gerichts nachgelagert ist als auch sich technisch von der Verarbeitung durch diese beiden Einrichtungen unterscheidet, da sie eine weitere Verarbeitung darstellt. Die von ihm durchgeführten Maßnahmen werden dem Moniteur belge nämlich durch das nationale Recht übertragen und umfassen u. a. die digitale Umwandlung der Daten, die in den ihm vorgelegten (Auszügen aus) Rechtsakten enthalten sind, die Veröffentlichung dieser Daten, ihre Zurverfügungstellung für eine breite Öffentlichkeit und ihre Speicherung.

43

Daher ist davon auszugehen, dass der Moniteur belge nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze in Bezug auf die Verarbeitungen, zu denen er nach nationalem Recht verpflichtet ist, und damit für sämtliche dem Verantwortlichen durch die DSGVO auferlegten Pflichten verantwortlich ist.

44

Sodann ist in Anbetracht der Zweifel des vorlegenden Gerichts zu der Frage, ob ein solches Amtsblatt für diese Verarbeitungen allein verantwortlich ist, darauf hinzuweisen, dass Art. 4 Nr. 7 DSGVO, wie sich aus dem Wortlaut dieser Bestimmung ergibt, nicht nur vorsieht, dass mehrere Personen gemeinsam als Verantwortliche über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheiden können, sondern auch, dass das nationale Recht diese Zwecke und Mittel selbst vorgeben und den Verantwortlichen bzw. die bestimmten Kriterien seiner Benennung vorsehen kann.

45

Somit kann das nationale Recht bei einer Kette von Verarbeitungen, die von verschiedenen Personen oder Einrichtungen vorgenommen werden und dieselben personenbezogenen Daten betreffen, die Zwecke und Mittel sämtlicher Verarbeitungen vorgeben, die aufeinanderfolgend von den verschiedenen Personen oder Einrichtungen vorgenommen werden, um diese gemeinsam für die Verarbeitung verantwortlich zu machen.

46

Im Übrigen ist darauf hinzuweisen, dass Art. 26 Abs. 1 DSGVO eine gemeinsame Verantwortlichkeit vorsieht, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten festlegen. In dieser Bestimmung heißt es weiter, dass die gemeinsam Verantwortlichen in einer Vereinbarung in transparenter Form festlegen müssen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.

47

Aus Art. 26 Abs. 1 DSGVO geht somit hervor, dass die jeweiligen Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen nicht notwendigerweise vom Bestehen einer Vereinbarung zwischen den verschiedenen Verantwortlichen abhängen (vgl. in diesem Sinne Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 44 und 45), sondern sich auch aus dem nationalen Recht ergeben können.

48

Außerdem hat der Gerichtshof entschieden, dass es zum einen ausreicht, damit eine Person gemeinsam für die Verarbeitung verantwortlich gemacht werden kann, wenn diese Person zu ihren eigenen Zwecken auf die Verarbeitung personenbezogener Daten Einfluss nimmt und daher an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung beteiligt ist, und dass zum anderen die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nicht voraussetzt, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (vgl. in diesem Sinne Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 40 bis 43 und die dort angeführte Rechtsprechung).

49

Aus den Rn. 44 bis 48 des vorliegenden Urteils ergibt sich, dass nach Art. 26 Abs. 1 in Verbindung mit Art. 4 Nr. 7 DSGVO durch das nationale Recht eine gemeinsame Verantwortlichkeit mehrerer Akteure einer Kette von Verarbeitungen, die dieselben personenbezogenen Daten betreffen, begründet werden kann, sofern die verschiedenen Verarbeitungsvorgänge durch die im nationalen Recht vorgegebenen Zwecke und Mittel verbunden sind und das nationale Recht die jeweiligen Pflichten jedes gemeinsam Verantwortlichen festlegt.

50

Eine solche Vorgabe der Zwecke und Mittel, die die verschiedenen Verarbeitungen durch mehrere Akteure einer Kette verbinden, sowie der jeweiligen Pflichten dieser Akteure kann nicht nur unmittelbar, sondern auch mittelbar durch das nationale Recht erfolgen, sofern sich die mittelbare Vorgabe den Rechtsvorschriften, die für die betroffenen Personen oder Einrichtungen und für deren Verarbeitung personenbezogener Daten im Rahmen der nach dem nationalen Recht vorgeschriebenen Verarbeitungskette gelten, hinreichend deutlich entnehmen lässt.

51

Schließlich ist vorsorglich darauf hinzuweisen, dass, falls das vorlegende Gericht zu dem Schluss gelangen sollte, dass die für den Moniteur belge zuständige Einrichtung oder Stelle für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze in Bezug auf die in der im Ausgangsverfahren in Rede stehenden Passage enthaltenen Daten nicht allein, sondern gemeinsam mit anderen verantwortlich ist, eine solche Schlussfolgerung in keiner Weise der Frage vorgreift, ob insbesondere im Hinblick auf die in Art. 17 Abs. 3 Buchst. b und d DSGVO genannten Ausnahmen dem Löschungsantrag der in Rn. 13 des vorliegenden Urteils genannten natürlichen Person stattzugeben ist.

52

Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 2 in Verbindung mit Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO dahin auszulegen ist, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen.

Kosten

53

Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

 

Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:

 

1.

Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind.

 

2.

Art. 5 Abs. 2 in Verbindung mit Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen.

 

Unterschriften


( *1 ) Verfahrenssprache: Französisch.