1.

Die Verordnung (EU) 2016/679 (im Folgenden: DSGVO) ( 2 ) ist kein Rechtsakt im Kleinformat. Ihr weit gefasster Anwendungsbereich, das faktische Aushöhlen jeglicher Ausnahmeregelungen durch die Rechtsprechung ( 3 ) sowie der definitionsbasierte, abstrakte und daher eher radikale Auslegungsansatz ( 4 ) haben ihren Teil dazu beigetragen, dass die DSGVO eine nahezu grenzenlose Geltung hat. Heutzutage ist es insoweit mit Schwierigkeiten verbunden, einen Lebenssachverhalt zu nennen, in dem nicht irgendjemand zu irgendeinem Zeitpunkt personenbezogene Daten verarbeitet.

2.

Gestützt auf die Aufnahme des Schutzes personenbezogener Daten in die Charta der Grundrechte der Europäischen Union in Art. 8 und auf seinen darauf beruhenden Charakter als alles verdrängendes (Super‑)Grundrecht führt dieser Ansatz jedoch zu ausgeprägten zentripetalen Auswirkungen, die der Schutz personenbezogener Daten auf andere Rechtsgebiete und dortige Rechtsstreitigkeiten zu entfalten begonnen hat. Eine Reihe von Rechtssachen wird mit einem Male als Angelegenheiten des Schutzes personenbezogener Daten behandelt und unter dem Stichwort Auslegung der DSGVO vor (nicht nur) den Gerichtshof gebracht. Die in diesen Rechtsstreitigkeiten aufgeworfenen konkreten Rechtsfragen sind jedoch bisweilen nicht diejenigen, von denen erwartet wird, dass auf sie Rechtsvorschriften wie die DSGVO anwendbar sind – trotz deren eher weiten Anwendungsbereichs.

3.

In der Tat hätten wohl nur wenige vorausgesehen, dass die DSGVO oder ihr Vorgängerrechtsakt, die Richtlinie 95/46/EG ( 5 ), als auf das Auskunftsrecht von Trainee Accountants über ihre Prüfungsarbeiten, möglicherweise zusammen mit dem Recht auf Berichtigung dieser personenbezogenen Daten nach Ablegung der Prüfung ( 6 ), anwendbar betrachtet werden könnte oder als Grund für die Verhinderung der Identifizierung eines Verkehrsunfallbeteiligten durch die Polizei, so dass die geschädigte Partei nicht vor einem Zivilgericht auf Ersatz des an ihrem Fahrzeug entstandenen Schadens klagen kann ( 7 ), oder als Grundlage für die Beschränkung der Offenlegung von Informationen über durch ein insolventes Unternehmen bereits gezahlte Steuern gegenüber dem Insolvenzverwalter dieses Unternehmens, um die Gleichstellung zwischen privaten und öffentlich-rechtlichen Gläubigern im Zusammenhang mit Insolvenzanfechtungsansprüchen wiederherzustellen ( 8 ) – um nur einige der verblüffendsten Beispiele zu nennen.

4.

Der vorliegende Fall ist nun ein weiteres Beispiel dieser zentripetalen Auswirkungen der DSGVO. Die SIA „SS“ ist Anbieterin eines Internet‑Inseratediensts. Im Rahmen dieser wirtschaftlichen Tätigkeit erlangt sie personenbezogene Daten von Personen, die auf ihrer Website Inserate schalten. Die zuständige nationale Steuerbehörde forderte das Unternehmen auf, eine bestimmte Menge an die auf der Website veröffentlichten Inserate zu Gebrauchtwagen betreffender Daten an sie weiterzuleiten, um sicherzustellen, dass die auf den Verkauf von Fahrzeugen anfallenden Steuern ordnungsgemäß erhoben werden. Die Steuerbehörde führte detailliert aus, in welchem Format sie die Daten zu erhalten wünscht. Sie stellte auch klar, dass diese Datenübermittlungen auf Dauer angelegt seien und nicht zu einer finanziellen Entschädigung führten.

5.

Vor diesem Hintergrund betreffen die Fragen des vorlegenden Gerichts den zulässigen Umfang solcher Ersuchen um Datenübermittlung. Wie in früheren Fällen scheint die DSGVO auf den vorliegenden Fall Anwendung zu finden. Personenbezogene Daten werden irgendwo von irgendjemanden verarbeitet (werden), jedenfalls dann, wenn die Übermittlung vorgenommen wird. Die Rechte der betroffenen Personen sowie auch die relevanten personenbezogenen Daten sollten bei einer solchen Verarbeitung geschützt werden. Dies bedeutet jedoch nicht, dass die DSGVO konkrete Regelungen zu dem Verhältnis zwischen einem zukünftigen Verantwortlichen (einer Behörde) und einem derzeitigen Verantwortlichen (einem Unternehmen) enthält. Es stimmt, dass die DSGVO den Daten folgt und sie schützt, wohin auch immer sie fließen, und dadurch die Pflichten von aufeinanderfolgenden Verantwortlichen gegenüber den Daten und gegenüber den betroffenen Personen regelt. Im Gegensatz dazu regelt die DSGVO bis auf wenige ausdrückliche Ausnahmen keine konkreten Einzelheiten des Verhältnisses zwischen zwei aufeinanderfolgenden Verantwortlichen dieser Daten. Insbesondere sieht die DSGVO keine genauen Modalitäten für die Absprachen der Verantwortlichen – seien sie vertraglicher oder öffentlich-rechtlichen Ursprungs – über die Anforderung und die Erlangung von Daten untereinander vor.

6.

Der 31. Erwägungsgrund der DSGVO lautet:

„Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung – gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten – eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben, und sie sollten nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen. Die Verarbeitung personenbezogener Daten durch die genannten Behörden sollte für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen.“

7.

Der 45. Erwägungsgrund der DSGVO lautet:

„Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte.“

8.

Art. 2 („Sachlicher Anwendungsbereich“) der DSGVO bestimmt:

„(1)   Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2)   Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

…

…“

9.

Art. 4 enthält Begriffsbestimmungen im Sinne der DSGVO:

„1.   ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

2.   ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…

7.   ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.   ‚Auftragsverarbeiter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

9.   ‚Empfänger‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

…“

10.

In Art. 5 sind die Grundsätze für die Verarbeitung personenbezogener Daten verankert:

„(1)   Personenbezogene Daten müssen

(2)   Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

11.

Art. 6 der DSGVO lautet:

„(1)   Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

…

…

(2)   Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3)   Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“

12.

Kapitel III („Rechte der betroffenen Person“) regelt in den Art. 12 bis 22 die Rechte und zugehörigen Pflichten der Verantwortlichen. Art. 23 der DSGVO beendet das Kapitel. Unter der Überschrift „Beschränkungen“ regelt er:

„(1)   Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

…

…

(2)   Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf

13.

Nach Art. 15 Abs. 6 des Likums „Par nodokļiem un nodevām“ (Steuer- und Abgabengesetz) in der zum Zeitpunkt der für die vorliegende Rechtssache maßgebenden Ereignisse geltenden Fassung) sind die Anbieter von Internet‑Inseratediensten verpflichtet, auf Anfrage der Steuerverwaltung die ihnen vorliegenden Informationen über Steuerpflichtige, die unter Nutzung dieser Dienste Inserate aufgegeben haben, sowie über die von diesen Steuerpflichtigen aufgegebenen Inserate zur Verfügung zu stellen.

14.

Am 28. August 2018 übermittelte der Direktor der Nodokļu kontroles pārvalde (Steuerbehörde) der Valsts ieņēmumu dienests (lettische Steuerverwaltung, im Folgenden: Beklagte) der SIA „SS“ (im Folgenden: Klägerin) ein Auskunftsersuchen nach Art. 15 Abs. 6 des Steuer- und Abgabengesetzes.

15.

In diesem Ersuchen forderte die Beklagte die Klägerin auf, den Zugang der Beklagten zu Informationen bezüglich der Telefonnummern von Werbetreibenden sowie der Fahrgestellnummern der Fahrzeuge zu erneuern, die in Inseraten auf der Website der Klägerin (www.ss.com) veröffentlicht werden. Die Beklagte forderte die Klägerin weiterhin auf, bis zum 3. September 2018 Informationen zu den Inseraten vorzulegen, die im Zeitraum vom 14. Juli bis zum 31. August 2018 auf der Website in der Rubrik „Pkw“ veröffentlicht wurden. Die Klägerin wurde ersucht, die Informationen elektronisch in einem Format zu übermitteln, in dem es möglich ist, die Daten zu filtern und auszuwählen. Des Weiteren wurde sie darum gebeten, dass die Datei folgende Informationen enthält: Link zum Inserat, Text des Inserats, Marke des Fahrzeugs, Modell, Fahrgestellnummer, Preis, Telefonnummern des Verkäufers.

16.

Für den Fall der Unmöglichkeit der Erneuerung des Zugangs wurde die Klägerin ersucht, die Gründe dafür mitzuteilen und ferner, die genannten Informationen in Bezug auf die veröffentlichten Inserate regelmäßig spätestens am dritten Tag eines jeden Monats bereitzustellen.

17.

Die Klägerin reichte beim amtierenden Generaldirektor der Beklagten eine Verwaltungsbeschwerde gegen dieses Auskunftsersuchen ein. Der Umfang des Auskunftsersuchens sei durch das Gesetz nicht gerechtfertigt, weil es sich bei den angeforderten Informationen um personenbezogene Daten im Sinne von Art. 4 Abs. 1 der DSGVO handle. Das Auskunftsersuchen enthalte jedoch keine Angaben über eine bestimmte Gruppe von betroffenen Personen, den Zweck oder Umfang der beabsichtigten Verarbeitung oder die Dauer der Verpflichtung zur Bereitstellung der Informationen. Dementsprechend stünden die Handlungen der Beklagten in ihrer Rolle als für die Daten Verantwortliche nicht im Einklang mit den Grundsätzen der Verhältnismäßigkeit und der Minimierung der Verarbeitung personenbezogener Daten gemäß der DSGVO, die auf die Beklagte Anwendung finde.

18.

Mit Entscheidung vom 30. Oktober 2018 (im Folgenden: angefochtene Entscheidung) wies die Beklagte die Beschwerde zurück und bestätigte das Auskunftsersuchen.

19.

In der Begründung dieser Entscheidung führte die Beklagte im Wesentlichen an, dass die Steuerbehörde bei der Verarbeitung dieser Daten die ihr gesetzlich übertragenen Aufgaben und Befugnisse ausübe. Die Steuerverwaltung sei für die Erhebung und Kontrolle von Steuern und Abgaben zuständig. Sie sei rechtlich verpflichtet, die wirtschaftlichen und finanziellen Tätigkeiten natürlicher und juristischer Personen zu überwachen, um sicherzustellen, dass diese Zahlungen in die Staatskasse und in den Unionshaushalt flössen. Zur Erfüllung dieser Aufgaben räume das Gesetz der Beklagten die Befugnis ein, die Dokumente und Informationen zu sammeln, die für die Erfassung und Aufzeichnung steuerpflichtiger Sachverhalte oder für die Kontrolle von Steuern und Abgaben erforderlich seien. Insbesondere seien nach Art. 15 Abs. 6 des Steuer- und Abgabengesetzes die Anbieter von Internet‑Inseratediensten verpflichtet, auf Anfrage der Steuerbehörde die ihnen vorliegenden Informationen über Steuerpflichtige, die unter Nutzung dieser Dienste Inserate aufgegeben haben, sowie über die von diesen Steuerpflichtigen aufgegebenen Inserate zur Verfügung zu stellen. Vertrauliche Informationen seien im Besitz der Beklagten gesetzlich geschützt, insbesondere durch das den Bediensteten der Steuerbehörde auferlegte Verbreitungsverbot. Demnach sei das Auskunftsersuchen rechtmäßig.

20.

Die Klägerin erhob bei der Administratīvā rajona tiesa (Verwaltungsgericht, Lettland) eine Klage auf Aufhebung der angefochtenen Entscheidung und machte geltend, dass deren Begründung weder den konkreten Zweck der Datenverarbeitung noch die Kriterien für die Auswahl der angeforderten Informationen in Bezug auf eine bestimmte Gruppe identifizierbarer Personen erkennen ließen.

21.

Mit Urteil vom 21. Mai 2019 wies die Administratīvā rajona tiesa (Verwaltungsgericht) die Klage ab. Das Argument der Beklagten – dass der Umfang der Informationen, auf die die Steuerbehörde in Bezug auf irgendeine Person zugreifen könne, nicht beschränkt werden könne, es sei denn, die fraglichen Informationen seien nicht mit den Zielen der Steuerverwaltung vereinbar – treffe im Wesentlichen zu. Dem Urteil zufolge waren die angeforderten Informationen erforderlich, um nicht steuerlich erklärte wirtschaftliche Tätigkeiten zu ermitteln. Die Bestimmungen der DSGVO gälten nur für die Klägerin als Dienstleistungserbringerin, nicht aber für die Steuerbehörde.

22.

Die Klägerin legte gegen dieses Urteil Berufung bei der Administratīvā apgabaltiesa (Regionales Verwaltungsgericht, Lettland) ein. Nach Ansicht der Klägerin ist die DSGVO im vorliegenden Fall anwendbar. Hinsichtlich der personenbezogenen Daten, die durch das Auskunftsersuchen erhoben worden seien, sei die Beklagte als für die Verarbeitung Verantwortliche im Sinne dieser Verordnung anzusehen und habe daher die darin festgelegten Anforderungen zu erfüllen. Mit dem Auskunftsersuchen habe die Beklagte jedoch gegen den Grundsatz der Verhältnismäßigkeit verstoßen, da sie verlange, dass ihr monatlich eine beträchtliche Datenmenge zu einer unbestimmten Anzahl von Inseraten übermittelt werde, ohne dass sie bestimmte Steuerpflichtige benenne, gegen die eine Steuerprüfung eingeleitet worden sei. Aus dem Auskunftsersuchen gehe nicht hervor, wie lange die der Klägerin auferlegte Verpflichtung, der Beklagten die im Ersuchen genannten Informationen zur Verfügung zu stellen, andauern werde. Die Beklagte habe daher gegen die in Art. 5 der DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz) verstoßen. Weder im Auskunftsersuchen noch in der Begründung der Entscheidung sei der konkrete Rahmen (Zweck) der von der Beklagten vorgesehenen Verarbeitung der Informationen oder der erforderliche Umfang der Informationen (Datenminimierung) angegeben. Die Verwaltungsbehörde müsse in das Auskunftsersuchen klar definierte Kriterien aufnehmen, nach denen sie die gewünschten Informationen in Bezug auf eine bestimmte Gruppe identifizierbarer Personen auszuwählen habe.

23.

Das vorlegende Gericht ist der Ansicht, dass nicht eindeutig festgestellt werden könne, dass dieses Auskunftsersuchen als „hinreichend begründet“ und „gelegentlich“ angesehen werden könne und dass es sich nicht auf alle Informationen in der Rubrik „Pkw“ auf der Website der Klägerin beziehe, da die Steuerbehörde im Wesentlichen fortlaufende und umfassende Kontrollen durchzuführen wünsche. Es hat Zweifel, dass die von der Beklagten vorgesehene Verarbeitung personenbezogener Daten im Sinne des 31. Erwägungsgrundes der DSGVO den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entspricht. Es seien daher die Kriterien zu bestimmen, anhand deren zu beurteilen sei, ob das Auskunftsersuchen der Beklagten die Grundrechte und Grundfreiheiten achte und ob es in einer demokratischen Gesellschaft als notwendig und verhältnismäßig angesehen werden könne, um wichtige Ziele des öffentlichen Interesses der Union und Lettlands im Haushalts- und Steuerbereich sicherzustellen.

24.

Das in Rede stehende Auskunftsersuchen nehme nicht auf einen „einzelnen Untersuchungsauftrag“ Bezug, der von der Beklagten im Sinne der DSGVO durchgeführt worden sei. Auch werde im Auskunftsersuchen nicht um Informationen über konkrete Personen, sondern über alle betroffenen Personen gebeten, die Inserate in der Rubrik „Pkw“ der Website veröffentlicht hätten. Die Steuerbehörde verlange ferner, dass diese Informationen spätestens am dritten Tag eines jeden Monats zur Verfügung gestellt würden (d. h., dass die Klägerin der Beklagten alle Informationen über die im Vormonat veröffentlichten Inserate zur Verfügung stellen müsse). Nach alledem ist sich das vorlegende Gericht nicht sicher, ob diese Handlungsweise einer nationalen Behörde den Anforderungen der DSGVO genügt.

25.

Vor diesem tatsächlichen und rechtlichen Hintergrund hat die Administratīvā apgabaltiesa (Regionales Verwaltungsgericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:

26.

Schriftliche Erklärungen haben die belgische, di griechische, die spanische und die lettische Regierung sowie die Europäische Kommission eingereicht. Die Klägerin, die belgische, die spanische und die lettische Regierung sowie die Kommission haben schriftliche Fragen des Gerichtshofs gemäß Art. 61 Abs. 1 der Verfahrensordnung des Gerichtshofs beantwortet.

27.

Die vorliegenden Schlussanträge sind wie folgt gegliedert. Ich beginne mit der Frage, ob die DSGVO auf die Anfrage einer Behörde an einen Verantwortlichen nach Übermittlung einer bestimmten Menge personenbezogener Daten Anwendung findet. Angesichts der vom vorlegenden Gericht aufgeworfenen Fragen ist zunächst eine zweifache Klarstellung erforderlich: Wer ist wer im Ausgangsverfahren, und welche besonderen Regeln sieht die DSGVO in solchen Fällen vor (A). Danach wende ich mich den (eher nur grundlegenden) rechtlichen Rahmenbedingungen zu, die sich aus der DSGVO für an private Unternehmen gerichtete Ersuchen staatlicher Stellen um die Übermittlung von Daten ergeben (B). Dann werde ich mit einigen Anmerkungen dazu enden, was – jedenfalls nach meiner Auffassung – den eigentlich entscheidenden Punkt der Rechtssache bildet, auch wenn das vorlegende Gericht diesen nicht ausdrücklich benannt hat (C).

28.

Das vorlegende Gericht hat neun Fragen vorgelegt, von denen jede auf die eine oder andere Weise die Rechtmäßigkeit konkreter Anfragen einer Steuerbehörde bei Unternehmen mit der Bitte um Übermittlung bestimmter personenbezogener Daten zum Zwecke der Erhebung von Steuern und der Aufdeckung von Steuerhinterziehung betreffen. Die hier in Rede stehenden personenbezogenen Daten hat das Unternehmen von betroffenen Personen im Rahmen seiner gewöhnlichen Geschäftstätigkeit erlangt.

29.

Allerdings bleibt bei den neun vorgelegten Fragen offen, wer genau welche Verpflichtung aus welcher Vorschrift der DSGVO hat. Diese Mehrdeutigkeit ist recht bezeichnend für das erhebliche Maß an Unbestimmtheit bei der Darstellung der Rechtssache hinsichtlich mindestens zweier Punkte.

30.

Erstens, Wer ist wer in Bezug auf die von der DSGVO festgelegten Kategorien? Die Rechtssache betrifft die Übermittlung bestimmter Daten durch ein Unternehmen an eine Behörde aus einem größeren Datensatz, den das Unternehmen erhoben hat und verantwortet. Dieser konkrete Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 der DSGVO bildet die Grundlage der dem Gerichtshof vorgelegten Fragen.

31.

Ersichtlich ist aber auch, dass das vorlegende Gericht die Steuerbehörde (die Beklagte) bereits für diese Datenübermittlung als Verantwortliche einstuft ( 9 ). Diese für das gesamte Vorabentscheidungsersuchen grundlegende Annahme wird ausdrücklich in den Fragen 6 und 9 formuliert. Dies bedarf einer Klarstellung im Vorhinein: Wer genau muss in der vorliegenden Rechtssache die DSGVO beachten? Wer ist der für diesen konkreten Verarbeitungsvorgang Verantwortliche? (2)

32.

Zweitens wirft diese Unbestimmtheit eine zweite wichtige Frage auf: Welche Bestimmungen der DSGVO finden konkret auf das Ersuchen um Übermittlung von Daten Anwendung, und welche dieser Bestimmungen betreffen insbesondere die Frage, welche Art und Menge von Daten eine staatliche Stelle von einem privaten Unternehmen verlangen darf. Insoweit ist es recht bezeichnend, dass in drei der Fragen des vorlegenden Gerichts nur Art. 5 Abs. 1 DSGVO genannt wird – eine Generalklausel, die die Grundsätze für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen festlegt. Demgegenüber verweisen die anderen Fragen lediglich auf die „Anforderungen der DSGVO“ ohne die Vorschriften, die diese Anforderungen enthalten sollen, konkret zu benennen.

33.

Daher bedarf es einer weiteren Vorabklärung dahin, welche Vorschrift(en) der DSGVO Anwendung findet bzw. finden, insbesondere auf das Rechtsverhältnis zwischen dem klagenden Unternehmen und der beklagten Steuerbehörde. Wie regelt die DSGVO solche Ersuchen um Datenübermittlung und die gegenseitigen Rechte und Pflichten zwischen einem Unternehmen und einer Behörde? (3)

34.

Indes möchte ich vor der Erörterung dieser beiden Punkte darauf hinweisen, weshalb meiner Ansicht nach die Anwendung der DSGVO und ihre Einhaltung nicht abstrakt durch die Auslegung von Begriffsbestimmungen ohne Bezug auf einen konkreten Verarbeitungsvorgang betrachtet werden dürfen, sondern weshalb ein konkreter Verarbeitungsvorgang als Ausgangspunkt heranzuziehen ist. Nur wenn das geklärt ist, können die Handelnden und ihre jeweiligen Pflichten zutreffend beurteilt werden (1).

35.

In der vorliegenden Rechtssache sind sich alle Beteiligten, einschließlich der lettischen Regierung, einig, dass die Verordnung durchaus auf den dem Ausgangsverfahren zugrunde liegenden Fall anwendbar ist, sofern als Ausgangspunkt die rechtliche Prüfung auf die in Art. 4 der DSGVO niedergelegten Legaldefinitionen von „personenbezogenen Daten“ und „Verarbeitung“ gestützt wird.

36.

Erstens sind die vom Auskunftsersuchen umfassten Daten personenbezogene Daten im Sinne von Art. 4 Abs. 1 der DSGVO. Die angeforderten Informationen, wie die Telefonnummer der betroffenen Personen oder die Fahrgestellnummer der Fahrzeuge, sind „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Mit diesen Informationen können nämlich Fahrzeugverkäufer und damit potenzielle Steuerzahler identifiziert werden.

37.

Zweitens sind die Weitergabe von Daten ( 10 ) oder die Offenlegung personenbezogener Daten durch Übermittlung, wie die Speicherung oder eine andere Form der Bereitstellung, nach ständiger Rechtsprechung als Verarbeitung einzustufen ( 11 ). Schließlich erscheint die „Offenlegung durch Übermittlung“ in Art. 4 Abs. 2 DSGVO in der Beispielliste als eine Art von Verarbeitungsvorgang.

38.

Drittens erfolgt diese Verarbeitung personenbezogener Daten eindeutig mit Hilfe automatisierter Verfahren im Sinne von Art. 2 Abs. 1 DSGVO.

39.

Darüber hinaus findet keine der Ausnahmeregelungen, die stets eng auszulegen sind ( 12 ), auf den vorliegenden Fall Anwendung. Im Licht des Urteils Österreichischer Rundfunk u. a. ( 13 ), und insbesondere nach dem jüngst ergangenen Urteil B (Strafpunkte) ( 14 ), lässt sich nicht vertreten, dass die hier in Rede stehende Verarbeitung personenbezogener Daten im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,“ erfolgt ist.

40.

Ebenso wenig liegt ein Fall des in Art. 2 Abs. 2 Buchst. d DSGVO geregelten Ausnahmetatbestands vor. „Zuständige Behörden“ im Sinne dieser Vorschrift sind Stellen wie die Polizeibehörden oder die Staatsanwaltschaften ( 15 ). Steuerbehörden im Rahmen ihrer Tätigkeit der Steuererhebung fallen nicht darunter, ebenso wenig – und erst recht nicht – Anbieter von Inseratediensten im Internet. Auch wenn die Datenverarbeitung durch die zuständigen Steuerbehörden in einigen Fällen schließlich zur Aufdeckung von Straftaten wegen Steuerhinterziehung führen könnte, ist dies zu diesem Zeitpunkt nur eine hypothetische Möglichkeit ( 16 ).

41.

Diesem Ansatz folgend muss daher die Schlussfolgerung gezogen werden, dass die DSGVO Anwendung findet: Es handelt sich um personenbezogene Daten, die mit Hilfe automatisierter Verfahren verarbeitet werden. Gleichwohl – wie bereits in der Einführung zu diesen Schlussanträgen angedeutet wurde – würde dieser Ansatz anhand der sehr weiten und von einem konkreten Verarbeitungsvorgang unabhängigen Auslegung der relevanten Begriffe aus Art. 4 der DSGVO, wie „Verarbeitung“ ( 17 ), „personenbezogenen Daten“ ( 18 ) oder „Verantwortlicher“ ( 19 ), dazu führen, dass jede Weitergabe jedweder Information der DSGVO unterläge.

42.

Um die Pflichten aller beteiligten Handelnden zutreffend feststellen zu können, sollte Ausgangspunkt einer Prüfung nach der DSGVO die eindeutige Bestimmung eines konkreten Verarbeitungsvorgangs sein. Nur so kann die Prüfung der Pflichten, die die DSGVO den an diesem konkreten Vorgang Beteiligten jeweils auferlegt, sachgerecht fortgeführt werden ( 20 ). Es ist das konkrete Verarbeitungsverfahren, die Arbeit an und mit den Daten, das geregelt wird. Die Regelungssystematik der DSGVO und ihr Schwerpunkt sind leistungsbezogen und prozessorientiert und daher notwendigerweise dynamisch.

43.

Um welchen konkreten Verarbeitungsvorgang geht es in der vorliegenden Rechtssache? Das Erfüllen von Auskunftsersuchen wie demjenigen im Ausgangsverfahren bedarf zweifelsohne der Verarbeitung personenbezogener Daten, auf die die DSGVO grundsätzlich anwendbar ist. Im vorliegenden Fall gibt es zwei verschiedene Stellen, die Verarbeitungen zu bestimmten Zeitpunkten durchführen. In seinen Vorlagefragen konzentriert sich das vorlegende Gericht auf die Verarbeitung durch die Beklagte, also die nationale Steuerbehörde. Aus dem Sachverhalt ergibt sich jedoch, dass eine Verarbeitung seitens der Klägerin, also des privaten Unternehmens, zuvor durchgeführt worden sein muss.

44.

Im Urteil ID ( 21 ) prüfte der Gerichtshof konkrete Vorgänge beim Verarbeiten von Daten, um den/die jeweiligen Verantwortlichen zu bestimmen. Er stellte fest, dass der Begriff des „Verantwortlichen“ nicht zwingend auf eine einzige Stelle verweise und mehrere an dieser Verarbeitung beteiligte Akteure betreffen könne, wobei dann jeder von ihnen den Datenschutzvorschriften unterliege ( 22 ). Jedoch könne eine natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als verantwortlich angesehen werden ( 23 ).

45.

Im vorliegenden Fall ist die Beklagte wohl die Verantwortliche, sobald sie die angeforderten Daten von der Klägerin erhalten hat und diese im Sinne von Art. 4 Nr. 2 der DSGVO zu verarbeiten beginnt ( 24 ). Zu diesem Zeitpunkt wird die Beklagte nicht nur mit der Datenverarbeitung beginnen, sondern wohl auch die Mittel und Zwecke ihrer eigenen Verarbeitung im Sinne von Art. 4 Nr. 7 der DSGVO festlegen. Wenn sie selbst künftig Datenverarbeitungsvorgänge durchführt, dann wird die Beklagte – sofern der Mitgliedstaat nicht insoweit eine der in Art. 23 der DSGVO enthaltenen Beschränkungen übernommen hat – die in Art. 5 der DSGVO verankerten Grundsätze hinsichtlich der Qualität der Daten einhalten müssen und dabei ihre Verarbeitungsvorgänge gemäß einem der in Art. 6 Abs. 1 der DSGVO enthaltenen Szenarien ausrichten ( 25 ).

46.

Aus der Vorlageentscheidung geht jedoch hervor, dass das vorliegende Verfahren diesen Punkt noch nicht erreicht hat. Die Steuerbehörde ist noch nicht im Besitz der angeforderten Daten. Daher kann sie noch keinen Verarbeitungsvorgang hinsichtlich dieser Daten begonnen haben. Zudem hat der Gerichtshof keine Angaben dazu erhalten, was die Behörde mit den Daten zu tun oder welche Art der Verarbeitung sie durchzuführen gedenkt.

47.

Bisher hat die Steuerbehörde lediglich ein privates Unternehmen aufgefordert, ihr einen bestimmten Datensatz zur Verfügung zu stellen. Dies ist für sich genommen keine Verarbeitung personenbezogener Daten, jedenfalls gewiss nicht der Daten, deren Erhalt noch aussteht. In einer solchen Fassgestaltung bleibt die Klägerin, also das private Unternehmen, Verantwortliche der Daten, soweit sie die Daten durch eigene Tätigkeit erhalten hat, also für selbst festgelegte Mittel und Zwecke. Auch während der Verarbeitung der in ihrem Besitz befindlichen Daten zum Zwecke der Weitergabe an die Beklagte gemäß den vorgegebenen Bedingungen bleibt die Klägerin die für diesen Verarbeitungsvorgang Verantwortliche. Die Klägerin ist diejenige, die diese Weiterverarbeitung durchführt ( 26 ).

48.

Dabei stellt die Klägerin nach Maßgabe von Art. 6 Abs. 1 Buchst. c der DSGVO sicher, dass sie eine für sie als Verantwortliche einschlägige Rechtspflicht einhält, nämlich die Pflicht aus Art. 15 Abs. 6 des Steuer- und Abgabengesetzes. In ihrer Eigenschaft als Verantwortliche muss die Klägerin außerdem bei der Verarbeitung personenbezogener Daten die DSGVO beachten so wie auch bei der Weiterleitung der Daten an die Beklagte. Die Fragen des vorlegenden Gerichts betreffen jedoch nicht den Umfang der Datenverarbeitung, die die Klägerin für die Erfüllung der hier in Rede stehenden Anfrage durchführen muss. In der Tat bezieht sich keine der Fragen auf mögliche Pflichten der Klägerin aus der DSGVO bei der Durchführung dieser Verarbeitung.

49.

Da die Beklagte als mutmaßliche Trägerin von Pflichten aus der DSGVO herausgestellt wird, beschäftigt das vorlegende Gericht ersichtlich die Frage nach der rechtlichen Grundlage für die Verarbeitung im Sinne von Art. 6 Abs. 3 der DSGVO, also Art. 15 Abs. 6 des Steuer- und Abgabengesetzes, der im Weiteren durch Auskunftsverlangen seitens der Beklagten angewandt wurde.

50.

Zusammenfassend zeigt sich, dass Kernthema aller neun Fragen des vorlegenden Gerichts der Umfang und die Bedingungen der Übermittlung personenbezogener Daten zwischen zwei aufeinanderfolgenden Verantwortlichen ist ( 27 ). Welche Vorschriften der DSGVO, wenn überhaupt, regeln die Beziehung zwischen zwei aufeinanderfolgenden Verantwortlichen? Enthält die DSGVO (sachliche oder zeitliche) Beschränkungen für den Umfang und die Art der Übermittlung personenbezogener Daten zwischen zwei Verantwortlichen, im vorliegenden Fall zwischen einem privaten Unternehmen und einer Behörde? All diese Punkte beziehen sich eigentlich auf die Rechtsgrundlage für die Erlangung personenbezogener Daten und betreffen nicht wirklich den Verarbeitungsvorgang.

51.

Die DSGVO ist vorrangig mit dem Schutz personenbezogener Daten von betroffenen Personen und dem Verhältnis dieser Personen zu den deren Daten verarbeitenden Einrichtungen befasst. Dafür legt die DSGVO die Rechte der betroffenen Personen und die Pflichten der jeweiligen Verantwortlichen im Zusammenhang mit der Verarbeitung personenbezogener Daten fest.

52.

Die Regelungen konzentrieren sich auf die Daten und die Einrichtungen, die zu den Daten Zugang haben und mit ihnen arbeiten. Nur wenige Vorschriften in der DSGVO regeln unmittelbar und ausdrücklich die Beziehung zwischen Einrichtungen, die Daten verarbeiten ( 28 ). Zutreffend ist, dass sich die DSGVO mittelbar auf diese Beziehungen erstreckt. Sie erlegt jeder nachfolgenden Einrichtung, die Daten erlangt, die Pflicht auf, diese Daten und die Rechte der betroffenen Person zu schützen. Auf diese Weise sind in der DSGVO durchaus bestimmte Bedingungen für die Offenlegung und die Übermittlung von Daten festgelegt. Dies bedeutet jedoch sicherlich nicht, dass die Beziehungen zwischen diesen Einrichtungen unmittelbar in der DSGVO geregelt sind.

53.

Betrachtete man die Daten als Waren, entspräche die Regelungslogik der DSGVO anderen öffentlich-rechtlichen Regelungssystemen für bestimmte Arten (wertvoller, künstlerischer, historischer) Waren. Solche Regelungen legen bestimmte Beschränkungen für diese Waren fest: wie sie hergestellt werden können, wie sie zu verwenden sind, unter welchen Bedingungen sie verändert, gelagert, weiterverkauft und zerstört werden können. Diese konkrete Regelung schützt die Waren und hat dadurch mittelbare Bindungswirkung für nachfolgende Eigentümer oder Besitzer der Waren. Die konkrete Regelung an sich knüpft jedoch weiterhin an die Waren an. Sie regelt weder private Absprachen über den Verkauf der Waren zwischen zwei privatrechtlichen Parteien noch die Bedingungen, zu denen dieselben Waren von einer privatrechtlichen Einrichtung an eine öffentlich-rechtliche Einrichtung weitergegeben werden können oder müssen. Regelungen über die Waren aufzustellen ist nicht dasselbe wie Regelungen zu den zugrunde liegenden Rechten an den Waren oder zum Handel mit diesen Waren aufzustellen.

54.

Nur durch Klarstellung dieser Regelungslogik der DSGVO sowie durch Konzentration auf den konkreten Verarbeitungsvorgang als Ausgangspunkt für die sich aus der DSGVO potenziell ergebenden Pflichten kann die DSGVO zielführend ausgelegt werden. Andernfalls wäre die DSGVO stets anwendbar, während – ganz gleich wie kreativ sie verstanden wird – schlichtweg keine Vorschrift existiert, die die vorgelegte konkrete Frage regelt. Folge dieser Fälle wäre zwangsläufig, dass die DSGVO nationalen Rechtsvorschriften oder Praktiken nicht entgegenstünde. Dieses „Nichtentgegenstehen“ ist jedoch nicht zwingend darauf zurückzuführen, dass die nationalen Regelungen allgemein rechtmäßig sind, sondern eher auf den Umstand, dass die konkrete Frage schlichtweg nicht in der DSGVO geregelt ist, auch wenn sie auf die eine oder andere Weise personenbezogene Daten betrifft.

55.

Die Rechtsprechung des Gerichtshofs kennt diese „falschen Positivergebnisse“ im Zusammenhang mit unterschiedlichen im nationalen Recht niedergelegten Pflichten zur Offenlegung von Daten aus verschiedenen Gründen. Nochmals: Die meisten dieser Fälle behandeln keinen laufenden Verarbeitungsvorgang als solchen, sondern vielmehr die vorgelagerte Frage nach der Rechtsgrundlage für einen solchen künftigen Vorgang. Sie reichen von der Anstrengung eines Zivilverfahrens zur Durchsetzung eines Urheberrechts ( 29 ), über die ordnungsgemäße Verwaltung öffentlicher Mittel ( 30 ) bis hin zur Wahrung der nationalen Sicherheit ( 31 ). Als Beispiele zu diesem Punkt mögen auch Rechtssachen wie die Urteile Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ), und J & S Service ( 35 ) dienen.

56.

Sicherlich war die DSGVO in all diesen Fällen im Hinblick auf die Rechte der betroffenen Personen gegenüber dem/den Verantwortlichen im Rahmen konkreter Verarbeitungsvorgänge, die gerade stattgefunden hatten oder bevorstanden, anwendbar. Gleichwohl – und noch einmal: Die Regelungslogik und der eigentliche Anwendungsbereich der DSGVO müssen dem Datenfluss folgen und den Schutz personenbezogener Daten bei Verarbeitungsvorgängen sicherstellen. Es ist nicht Sinn der DSGVO, jede erdenkliche vorgelagerte Beziehung zwischen verschiedenen Einrichtungen, die im Besitz von Daten sein könnten, zu regeln, einschließlich der Gründe für den Besitz der Daten und der Art der Besitzerlangung. Mit anderen Worten garantiert die DSGVO keinerlei „Rechte“ eines Verantwortlichen gegenüber einem anderen Verantwortlichen.

57.

Das heißt nicht, dass diese Punkte nicht gesetzlich geregelt sind. Sie sind gesetzlich geregelt, jedoch in anderen Rechtsakten, die vorrangig die Rechtsdurchsetzung betreffen. Just in diesen Rechtsakten findet sich die Rechtsgrundlage für die Verarbeitung, die schon allein nach Art. 6 Abs. 3 der DSGVO notwendig ist. Rechtlich zwingende Übermittlungen personenbezogener Daten sind nämlich meist – und logischerweise – in „Rechtsakten betreffend die Rechtsdurchsetzung“ geregelt, sei es im Unionsrecht ( 36 ), sei es im nationalen Recht. Die Rechtsgrundlage für die freiwillige Übermittlung personenbezogener Daten – soweit nach dem öffentlich-rechtlichen Regelungsregime, das die DSGVO ist, möglich und zulässig – wird nationales Wirtschafts- oder Vertragsrecht sein, je nach Art der Absprache zwischen den jeweils aufeinanderfolgenden Verantwortlichen.

58.

Vor dem Hintergrund dieser Erläuterungen geht es in der vorliegenden Rechtssache (noch) nicht um einen Verarbeitungsvorgang. Es geht um die Rechtsgrundlage für die Verarbeitung, auf die die DSGVO lediglich Bezug nimmt, aber selbst nicht unmittelbar regelt. Allerdings, und um das vorlegende Gericht umfänglich zu unterstützen, folgt im nächsten Abschnitt dieser Schlussanträge eine Übersicht über den grundlegenden Rahmen, der sich aus der DSGVO ergibt und auf den Verarbeitungsvorgang anwendbar sein wird, sobald der Verantwortliche, das private Unternehmen, einen solchen durchführen wird (B). Der Zweck der DSGVO ist der Schutz der betroffenen Person, nicht der Schutz eines privaten Unternehmens vor einem staatlichen Eingriff in seine unternehmerische Freiheit oder in sein Eigentumsrecht in Gestalt einer Datenauswertung. Dies soll nicht andeuten, dass diese keine berechtigten Bedenken entstehen lassen kann, sondern vielmehr, dass sie kaum durch die DSGVO geregelt werden kann (C).

59.

Es folgt eine eher allgemeine Erörterung der Rechtsgrundlage für die Datenverarbeitung, die die Klägerin durchführen müsste, um das Auskunftsersuchen der Beklagten zu erfüllen. Die einschlägige Vorschrift dafür wäre wohl Art. 6 der DSGVO, insbesondere Abs. 1 und 3, in Verbindung mit dem 45. Erwägungsgrund.

60.

Zunächst sollte festgehalten werden, dass dem Gerichtshof keine konkreten Informationen über weitere nationale Regelungen zum Datenschutz, die unter den im Ausgangsverfahren gegebenen Umständen einschlägig wären, vorliegen. Der Gerichtshof hat auch keine Informationen darüber erhalten, ob es neben Art. 15 Abs. 6 des Steuer- und Abgabengesetzes weitere nationale Rechtsakte allgemeiner Geltung (z. B. eine Verordnung oder Durchführungsrichtlinien) gibt, die die Pflicht von (Internet‑Inserate‑)Dienstleistungsanbietern zur Weitergabe von bestimmten Daten an Steuerbehörden im Einzelnen regeln. Auch zum allgemeinen innerstaatlichen Rechtsrahmen zur Umsetzung der DSGVO gibt es kaum Hinweise.

61.

Darüber hinaus ist nicht klargestellt worden, ob Art. 23 Abs. 1 Buchst. e der DSGVO in irgendeiner Weise in nationales Recht umgesetzt wurde. Ob eine Umsetzung dieser unionsrechtlichen Bestimmung erfolgt ist oder nicht, ist für die Rechtmäßigkeit der Anfrage nach Übermittlung der Informationen nicht maßgeblich. Es wäre jedoch relevant für die Bestimmung des Umfangs und der Art der Pflichten eines nachfolgenden Verantwortlichen (eine Behörde) gegenüber der betroffenen Person sowie für die Feststellung der Pflichten des ursprünglich Verantwortlichen und die Informationen, die dieser der betroffenen Person zur Verfügung stellen muss.

62.

Daher kann die folgende Erörterung lediglich abstrakt erfolgen. Ich werde die in Art. 6 der DSGVO verankerten Grundsätze ansprechen, die für eine künftige Verarbeitung durch ein privates Unternehmen zum Zwecke der Erfüllung einer Datenanforderung einer Behörde gelten, zunächst hinsichtlich des Zwecks der Datenübermittlung (1) und deren Umfang und Dauer (2). Danach werde ich mich der Rechtsgrundlage für solche Übermittlungen zuwenden, da die Anforderungen an diese Grundlage deutlicher werden, sobald die vorstehenden Unterpunkte abgehandelt sind (3).

63.

Grundsätzlich ist der Zweck, zu dem die Behörde im Ausgangsverfahren die Offenlegung der personenbezogenen Daten anfordert, zweifelsfrei rechtmäßig. Die Sicherstellung einer ordnungsgemäßen Steuererhebung und die Aufdeckung potenzieller Verstöße gegen die Verpflichtung zur Entrichtung der Steuern gehört gewiss zu den legitimen Zielen und Zwecken der Datenverarbeitung gemäß Art. 6 Abs. 1 und 3 der DSGVO ( 37 ).

64.

Der entscheidende Punkt für die in der vorliegenden Rechtssache aufgeworfenen Fragen ist der Grad an Abstraktion, mit dem das Ziel formuliert werden sollte. Hierbei liegt ersichtlich ein gewisses Maß an Vermengung zweier Arten von spezifischen Zielen vor: (i) die Suche nach Informationen bestimmter Art (zur Aufdeckung von Gesetzesverstößen) im Gegensatz zur (ii) Überprüfung dessen, ob bestimmte Verstöße stattgefunden haben (und der Wunsch nach Offenlegung konkreter Daten, um diese Annahme zu bestätigen).

65.

Diese beiden Arten der Datenübermittlung müssen sich ihrer Natur (und dementsprechend dem Umfang) nach unterscheiden. Bei der Suche und Aufdeckung erfolgen die Überlegungen aus einer Ex-ante-Sicht heraus, sind weit gefasst und in Bezug auf die konkrete betroffene Person weitgehend unbestimmt. Ist das Ziel die Aufdeckung von möglichen Verstößen, muss das metaphorische Netz hinreichend weit ausgeworfen werden. Im Gegensatz dazu können die Überlegungen bei der Überprüfung möglicher Verstöße durch die Offenlegung einschlägiger Daten viel differenzierter und zielgerichteter sein. Hier erfolgen die Überlegungen wesentlich stärker aus einer Ex-post-Sicht, konzentriert auf die Überprüfung bestimmter Verdachtsmomente, typischerweise gegen eine bereits bestimmbare betroffene Person.

66.

Meiner Ansicht nach lässt Art. 6 der DSGVO beide Fallgestaltungen zu. Allerdings muss für beide Fälle der Datenübermittlung gemäß Art. 6 Abs. 3 der DSGVO eine klare Rechtsgrundlage vorhanden sein.

67.

Angesichts des Wortlauts von Art. 15 Abs. 6 des Steuer- und Abgabengesetzes verstehe ich jedoch das Zögern des vorlegenden Gerichts in der vorliegenden Rechtssache. Der Wortlaut der Fassung, die offenbar bei Vorlage des Vorabentscheidungsersuchens durch das vorlegende Gericht in Kraft war, besagte, dass die Anbieter von Internet‑Inseratediensten verpflichtet sein könnten, auf Anfrage der staatlichen Steuerverwaltung Informationen über (bestimmte) Steuerpflichtige zur Verfügung zu stellen.

68.

In der vorliegenden Rechtssache ähnelt der in der einschlägigen Rechtsgrundlage genannte Zweck der Offenlegung daher offenbar der zweiten oben genannten Fallgestaltung: Überprüfung bestimmter Informationen in Bezug auf konkrete Steuerpflichtige. Die nationale Steuerbehörde scheint sich auf diese Rechtsgrundlage jedoch für das ersichtliche Anfordern (unbegrenzter) Übermittlungen von Daten bzw. gar einer klar massenhaften Datenübermittlung zu stützen, um ein allgemeines Such- und Aufdeckungsverfahren durchzuführen, was in die erste oben genannte Fallgestaltung fällt. In diesem Punkt liegt die in der Rechtssache auf nationaler Ebene erkennbar gegebene logische Unstimmigkeit, die zu Verwirrung hinsichtlich sowohl der Verhältnismäßigkeit einer solchen Maßnahme (2) als auch deren korrekter Rechtsgrundlage (3) führt.

69.

In Bezug auf die Verhältnismäßigkeit, wie auch insoweit in Bezug auf die „Minimierung“, erfolgt eine Prüfung des Verhältnisses zwischen den (erklärten) Zielen und den (gewählten) Mitteln. Im vorliegenden Fall stellt sich das Problem, dass die Verhältnismäßigkeitsprüfung, je nachdem, welches der Ziele aus den beiden soeben dargestellten (Ideal ( 38 )‑)Fallgestaltungen gewählt wird, wahrscheinlich unterschiedlich ausfallen wird.

70.

Im Rahmen des Zwecks einer „Suche und Aufdeckung“ werden die Behörden ihr Netz so weit wie möglich auswerfen, um sicherzustellen, dass relevante Informationen aufzufinden sind. Dies kann bedeuten, dass eine große Datenmenge zu verarbeiten ist. Die Notwendigkeit, große Datensätze zu erhalten und zu verarbeiten, ist einer solch allgemeinen und unbestimmten Informationssuche inhärent. Bei dieser Fallgestaltung können die Verhältnismäßigkeit und die Minimierung der Datenverarbeitung nur die Art der angeforderten Daten, in denen die notwendigen Informationen möglicherweise gefunden werden können, betreffen ( 39 ).

71.

Im Rahmen des Zwecks einer „Überprüfung“, bei dem die Behörden Nachweise in Bezug auf den Inhalt einer spezifischen Transaktion oder Transaktionsreihe aufspüren müssen, können an die Verhältnismäßigkeitsprüfung naturgemäß strengere Maßstäbe angelegt werden. Die Steuerbehörde kann dann nur nach konkreten Transaktionen innerhalb einer bestimmten Zeitspanne typischerweise in Bezug auf bestimmte Steuerpflichtige fragen, um ex post Überprüfungen vorzunehmen. Auskunftsersuchen dürften daher meist auf diejenigen konkreten Daten zugeschnitten werden, die derartige Informationen enthalten.

72.

Der Grundgedanke des 31. Erwägungsgrundes der DSGVO – soweit ich überhaupt einen ausmachen kann – betrifft nur die letztgenannte Fallgestaltung. Satz 2 dieses Erwägungsgrundes, der von den Beteiligten, insbesondere der Kommission, angeführt und ausgiebig erörtert wurde, besagt, dass Anträge auf Datenübermittlung, die von Behörden ausgehen, immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben sollten, und sie sollten nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen.

73.

Nach meiner Auffassung ist es jedoch nicht zulässig, einen (Textteil in einem) Erwägungsgrund einer Verordnung aus dem Zusammenhang zu nehmen und als selbständige und verbindliche Bestimmung zu behandeln, ohne dass sein Inhalt an irgendeiner Stelle im verbindlichen Teil des Rechtsakts widerhallt ( 40 ), und auf dieser Grundlage zu verkünden, dass Übermittlungen personenbezogener Daten an Behörden nur unter diesen Voraussetzungen erfolgen dürfen. Ich kann mich schlicht nicht mit der Annahme arrangieren, dass ein Teil des 31. Erwägungsgrundes für sich genommen sämtliche größeren Datenübermittlungen an Behörden, sogar solche, die eine angemessene Rechtsgrundlage (im nationalen und/oder Unionsrecht) haben und alle verbindlichen Bestimmungen der DSGVO erfüllen, verbietet.

74.

Im Rahmen der vorliegenden Rechtssache hat die lettische Regierung vorgebracht, dass die Menge der angeforderten Informationen als angemessen eingestuft werden könne, da das Auskunftsersuchen nur Inserate umfasse, die in der Rubrik „Pkw“ veröffentlicht worden seien – nur einer der 112 Rubriken der in Frage stehenden Website der Klägerin. Die belgische und die spanische Regierung haben ergänzend angemerkt, dass nicht die Datenmenge, sondern vielmehr die Art der angeforderten Daten problematisch sei.

75.

Ich stimme diesen Erwägungen zu.

76.

Die Prüfung der Verhältnismäßigkeit bei einer Vorfeldsuche und Aufdeckung bedeutet eine „Qualitätskontrolle“ bezüglich der Art der angeforderten Daten. Nur bei der Ex-post-Überprüfung bestimmter Tatsachen kann die „Mengenkontrolle“ vollumfänglich angewendet werden. Wäre dem nicht so, wären die meisten Instrumente der Datenkontrolle oder ‑überwachung faktisch unzulässig.

77.

Sofern eine angemessene Rechtsgrundlage im Unions- oder nationalen Recht existiert, darf eine nationale Behörde grundsätzlich sämtliche notwendigen Daten anfordern, die sie für ihre gebotenen Ermittlungen benötigt, ohne dass eine zeitliche Befristung besteht. Die einzige sich aus der DSGVO ergebende Beschränkung ist die Verhältnismäßigkeit hinsichtlich der Art der angeforderten Daten. Wie die griechische Regierung zutreffend betont, sollten Auskunftsersuchen auf die Art von Daten begrenzt sein, die die wirtschaftliche Tätigkeit des Steuerzahlers im Gegensatz zu ihrem Privatleben betreffen.

78.

Als Beispiel: Wenn das erklärte Ziel die Aufdeckung von nicht erklärtem Einkommen aus dem Verkauf von Gebrauchtwagen ist, hat die Steuerbehörde nicht das Recht, Informationen darüber zu verlangen, ob der Verkäufer rothaarig ist, bestimmte Essgewohnheiten hat oder einen Swimmingpool besitzt. Die Art der angeforderten Informationen muss sich also eindeutig auf die offengelegten Zwecke der Ermittlungen beziehen.

79.

Davon abgesehen hat das nationale Gericht die Verhältnismäßigkeitsprüfung in beiden oben dargestellten Fallgestaltungen im Licht der tatsächlichen und rechtlichen Umstände des Einzelfalls vorzunehmen ( 41 ). Einfach gesagt lautet die in der vorliegenden Rechtssache zu stellende Frage, ob die Art der angeforderten Daten geeignet ist, dass die Beklagte die für ihr erklärtes Ziel notwendigen Informationen erlangt.

80.

Schließlich kann erst an dieser Stelle – in Anbetracht der soeben erfolgten Erläuterungen – die Schlüsselfrage nach der Rechtsgrundlage geprüft werden. Naturgemäß bedürfen beide der in den vorstehenden Abschnitten dieser Schlussanträge genannten Fallgestaltungen („Suche und Aufdeckung“ und „Überprüfung“) gemäß Art. 6 Abs. 3 der DSGVO einer Rechtsgrundlage, damit die Klägerin eine Verarbeitung durchführen darf. Diese Bestimmung lässt eine spezifische Anpassung der Anwendung der allgemeinen Regeln der DSGVO zu, sei es durch Unionsrecht, sei es durch das Recht der Mitgliedstaaten.

81.

In jedem Fall muss die Rechtsgrundlage jedoch denknotwendig den konkreten Zweck und die konkrete Form der Verarbeitung für diesen Zweck abdecken. Wie dies genau geschieht, ist eine Frage der spezifischen Anpassungsbestimmungen des Mitgliedstaats oder der Union nach Art. 6 Abs. 3 der DSGVO. Im Allgemeinen gilt: Je allgemeiner, größer und dauerhafter die Datenübermittlungen sind, desto solider, ausdifferenzierter und ausdrücklicher muss die gesetzliche Grundlage sein, da solche Datenübermittlungen einen größeren Eingriff in den Datenschutz darstellen. Demgegenüber kann, je geringfügiger und begrenzter die Anträge auf Offenlegung sind – üblicherweise in Bezug auf eine betroffene Person oder einige wenige oder auch auf eine begrenzte Datenmenge –, diesen Anfragen umso eher auf Einzelfallebene als behördliche Anfragen auf einer eher weiten und allgemeinen Ermächtigungsgrundlage stattgegeben werden.

82.

Mit anderen Worten wirken die beiden Regelungsebenen – die gesetzliche und die behördliche – zusammen und bilden die letztendlich einschlägige Rechtsgrundlage für die Datenverarbeitung. Mindestens eine von ihnen muss hinreichend bestimmt und auf die Art oder Menge der angeforderten personenbezogenen Daten zugeschnitten sein. Je mehr Einzelheiten auf der gesetzlichen, dogmatischen Ebene für solche Datenübermittlungen vorgesehen sind, desto weniger muss die einzelne behördliche Anfrage ausgestaltet sein. Die gesetzliche Ebene kann sogar so detailliert und umfangreich sein, dass sie vollständig in sich geschlossen und unmittelbar anwendbar ist. Je allgemeiner und vager demgegenüber die Regelung auf gesetzlicher Ebene ist, desto mehr Einzelheiten, einschließlich einer klaren Angabe des Zwecks, wodurch der Umfang eingegrenzt wird, wird die einzelne behördliche Anfrage enthalten müssen.

83.

Dieser Punkt beantwortet indirekt die vom vorlegenden Gericht unter der Bezeichnung Verhältnismäßigkeit gestellte Frage, die tatsächlich am besten an dieser Stelle angesprochen werden kann, wenn festzustellen sein wird, ob Steuerbehörden Daten für einen unbegrenzten Zeitraum anfordern dürfen. Meiner Auffassung nach ist dies nach der DSGVO zulässig. Die entscheidendere Frage ist jedoch, ob für diese im Grunde auf Dauer erfolgende Datenübermittlung eine angemessene Rechtsgrundlage im nationalen Recht existiert. Solange solche Datenübermittlungen auf eine klare Grundlage und Dauer im nationalen Recht gestützt werden können, steht Art. 6 Abs. 3 dem DSGVO nicht entgegen. Erneut sei angemerkt, dass der 31. Erwägungsgrund der DSGVO hieran wenig ändert ( 42 ). Ich kann wenig praktischen Sinn darin erkennen, den Erwägungsgrund dahin zu verstehen, dass Behörden immer wieder (täglich, monatlich oder jährlich) identische Einzelanfragen stellen müssen, um etwas zu erhalten, was sie auf der Grundlage nationaler Gesetze bereits erhalten haben könnten.

84.

In der vorliegenden Rechtssache wird die Rechtsgrundlage für die Verarbeitung offenbar sowohl durch Art. 15 Abs. 6 des Steuer- und Abgabengesetzes als auch die konkreten Anträge der Steuerbehörde auf Datenoffenlegung gebildet. Demnach besteht die Rechtsgrundlage aus zwei Teilen, der allgemeinen gesetzlichen Ermächtigungsgrundlage und der konkreten, zielgerichteten Anwendung dieser Vorschrift durch die Behörde.

85.

Insgesamt gesehen ist eine solche duale Rechtsgrundlage offenbar hinreichend, um die Verarbeitung personenbezogener Daten durch die Klägerin für die Zwecke ihrer Übermittlung an eine Behörde nach Art. 6 Abs. 1 Buchst. c und Abs. 3 der DSGVO zu rechtfertigen. Auch wenn die nationalen Rechtsvorschriften, die die Steuerbehörden zur Anforderung von Informationen ermächtigen, eher allgemein gehalten sind, zielen die konkreten Datenanfragen trotz der potenziell großen Datenmenge ersichtlich weitestgehend auf eine bestimmte Art von Daten ab.

86.

Letztlich ist es jedoch Sache des nationalen Gerichts – in voller Kenntnis des nationalen Rechts, gegebenenfalls weiterer, im vorliegenden Verfahren nicht erwähnter nationaler Durchführungsvorschriften – zu überprüfen, ob die erbetene Verarbeitung durch die Klägerin im Ausgangsverfahren die in diesem Abschnitt dieser Schlussanträge dargelegten Anforderungen erfüllt.

87.

Kern dieser Prüfung, der besonderer Aufmerksamkeit bedarf, ist, ob Art. 15 Abs. 6 des Steuer- und Abgabengesetzes zusammen mit den konkreten Auskunftsverlangen bei der Prüfung der Rechtsgrundlage dem Erfordernis der Vorhersehbarkeit ( 43 ) entspricht. Rechtsvorschriften, die Datenübermittlungen zulassen, müssen klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken ermöglichen ( 44 ).

88.

Daher ist die Rechtsgrundlage als Ganzes (gesetzliche und behördliche zusammen) für alle Betroffenen hinreichend präzise zu formulieren: für die Behörden in Bezug auf das, was sie verlangen können, für die Unternehmen in Bezug auf das, was sie bereitstellen können, und vor allem für die betroffenen Personen, damit sie wissen, wer Zugang zu ihren Daten haben könnte und zu welchen Zwecken. Es sollte in Erinnerung gerufen werden, dass Informationen über die Datenverarbeitung eine der Kernanforderungen der DSGVO darstellen. Die betroffene Person muss sich des Vorliegens einer Verarbeitung bewusst sein – diese Information ist eine Voraussetzung für die Ausübung der weiteren Rechte auf Auskunft, Löschung und Berichtigung ( 45 ).

89.

Sofern Art. 23 der DSGVO nicht in irgendeiner Weise in nationales Recht umgesetzt worden ist, um die in Kapitel III der DSGVO festgelegten Rechte der betroffenen Personen zu beschränken, hat der für die Verarbeitung Verantwortliche gemäß den Art. 13 und 14 der DSGVO eine Informationspflicht gegenüber der betroffenen Person. Im Rahmen mehrerer aufeinanderfolgender Datenübermittlungen kann es schwierig sein, zu bestimmen, wen die Informationspflicht trifft ( 46 ). In Ermangelung gemäß Art. 23 Abs. 1 der DSGVO erlassener Beschränkungen, die im nationalen Recht die Anforderungen von Art. 23 Abs. 2 der DSGVO erfüllen müssen, kann die Behörde, die die Daten erhalten hat, darüber hinaus die Pflicht haben, die geeigneten Informationen gemäß Art. 14 der DSGVO allen betroffenen Personen zur Verfügung zu stellen. Existiert keine klare und vorhersehbare Rechtsgrundlage, die solch eine Datenübermittlung letztlich gestattet, kann von dem Verantwortlichen, der die Daten erhoben hat, kaum verlangt werden, die betroffene Person entsprechend gemäß Art. 13 der DSGVO zu informieren.

90.

Im Ergebnis steht nach meiner Auffassung Art. 6 Abs. 1 Buchst. c und Abs. 3 der DSGVO nationalen Regeln nicht entgegen, die eine zeitlich unbefristete Pflicht für Internet‑Inserateanbieter festlegen, bestimmte personenbezogene Daten an eine Steuerbehörde weiterzugeben, solange für derartige Datenübermittlungen eine klare Rechtsgrundlage im nationalen Recht existiert und die angeforderten Daten geeignet und erforderlich sind, damit die Steuerbehörde ihre amtlichen Aufgaben erfüllen kann.

91.

Es ist kaum meine Aufgabe, über die wahren Beweggründe der Parteien vor dem nationalen Gericht Mutmaßungen anzustellen. Daher halte ich an meinem Glauben an die Existenz barmherziger Samariter fest, die selbstlos zur Verteidigung anderer auftreten. Weshalb kann ein privates Unternehmen nicht einfach die Rechte der betroffenen Personen verteidigen, deren personenbezogene Daten es erhoben hat?

92.

Auch wenn man bei dem Gedanken an wirtschaftliche Unternehmen, die sich der Sache des Datenschutzes annehmen, nur jubeln kann, gehe ich davon aus, dass einige andere Unternehmen auch andere Gründe haben werden, weshalb sie sich der staatlichen Anordnung auf Übermittlung der von ihnen erhobenen Daten widersetzen möchten. Ein Grund kann in den Kosten für derartige Mühen liegen. Sollte es zulässig sein, dass Behörden einen Teil der öffentlichen Verwaltung faktisch auslagern und dabei die privaten Unternehmen zwingen, die Kosten für ein Tätigwerden zu tragen, das im Grunde Sache der öffentlichen Verwaltung ist? Diese Frage wird in Fällen dauerhafter, groß angelegter Datenübermittlungen relevant, die die privaten Unternehmen im Namen des Gemeinwohls ohne jegliche Entschädigung durchführen sollen ( 47 ). Andere Gründe sind wohl eher geschäftsorientiert. Nehmen wir für einen flüchtigen Augenblick an – natürlich nur rein hypothetisch –, dass Menschen im Allgemeinen nicht gern Steuern zahlen, dann ist die Vermutung nicht weit hergeholt, dass einige dieser Menschen andere Wege für die Inserierung ihres Gebrauchtwagens wählen werden als eine Website, die die Informationen später dem Finanzamt weitergibt.

93.

Zwischen all den in einer solchen Situation beteiligten Interessen einen Ausgleich zu finden, ist keineswegs unkompliziert. Einerseits kann der Umstand, dass eine staatliche Befugnis, Auskünfte über Daten von privaten Unternehmen nach von der Behörde vorgegebenen Anforderungen zu verlangen, einer erzwungenen Auslagerung der Wahrnehmung öffentlicher Verwaltungsaufgaben gefährlich nahekommen. Dies ist insbesondere der Fall bei Daten, die anderweitig frei verfügbar sind und die die öffentlichen Stellen mit ein wenig technischem Aufwand hätten selbst erheben können. Andererseits – wie die belgische Regierung treffend betont hat, als sie die weitreichende Bedeutung des Sachverhalts des Ausgangsverfahrens herausgestellt hat – kann bei verschiedenen Formen von gemeinsamen wirtschaftlich ausgerichteten Plattformen eine etwas differenziertere Antwort angebracht sein, oder in anderen Fallgestaltungen, bei denen die Behörden Zugang zu Daten verlangen, die für einen legitimen öffentlichen Zweck wichtig, jedoch nicht frei verfügbar sind und daher nicht von den Behörden selbst erhoben werden können. Auch unter diesen Umständen bleibt jedoch die Frage nach der Entschädigung offen.

94.

Solche Fragen sehe ich im Hintergrund des Ausgangsverfahrens lauern. Ein angemessener Ausgleich für solche Fälle sollte jedoch auf nationaler oder Unionsebene gefunden werden, wenn die jeweiligen Rechtsakte, die die Rechtsgrundlage für solche Datenübermittlungen bilden, erlassen werden. Dies sollte nicht Sache der Gerichte sein, schon gar nicht in einem Fall, in dem das vorlegende Gericht solche Fragen in keiner Weise ausdrücklich gestellt hat. Darüber hinaus gibt es mindestens zwei weitere Gründe, weshalb sich die vorliegende Rechtssache nicht für derartige Erörterungen eignet.

95.

Erstens sind, wie in einer Reihe von anderen Fragestellungen, die den Fluss personenbezogener Daten, aber nicht wirklich den Schutz der Rechte der betroffenen Person betreffen, diese Fragestellungen schlichtweg nicht konkret in der DSGVO geregelt. Die Frage des Rechtsschutzes der Verantwortlichen – privater Unternehmen gegen den möglicherweise unrechtmäßigen oder unverhältnismäßigen Eingriff in ihre unternehmerische Freiheit, möglicherweise in ihr Eigentumsrecht ( 48 ) oder sogar in ihren potenziellen Anspruch auf eine angemessene Entschädigung für die übertragenen Daten – ist nicht von der DSGVO geregelt.

96.

Zweitens kann die Frage nach einer Entschädigung für erzwungene Datenübermittlungen nicht Sache des Unionsrechts sein, solange das Unionsrecht ( 49 ) keine Rechtsgrundlage für diese Datenübermittlungen bietet. Damit möchte ich nicht sagen, dass solche Fragen nicht auftauchen können, sogar als Gegenstand des Grundrechteschutzes (der betroffenen Verantwortlichen). Diese Fragen müssten dann jedoch eigentlich von den Gerichten derjenigen Mitgliedstaaten bearbeitet werden, in denen solche Datenübermittlungen vorgeschrieben sind. Solche Fälle sollten daher vor nationale (Verfassungs‑)Gerichte gebracht werden.

97.

Ich schlage dem Gerichtshof vor, die Vorlagefragen der Administratīvā apgabaltiesa (Regionales Verwaltungsgericht, Lettland) wie folgt zu beantworten: