Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 07.12.2023 - C-26/22
EuGH 07.12.2023 - C-26/22 - URTEIL DES GERICHTSHOFS (Erste Kammer) - 7. Dezember 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5 Abs. 1 Buchst. a – Grundsatz der ‚Rechtmäßigkeit‘ – Art. 6 Abs. 1 Unterabs. 1 Buchst. f – Erforderlichkeit der Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten – Art. 17 Abs. 1 Buchst. d – Recht auf Löschung im Fall der unrechtmäßigen Verarbeitung personenbezogener Daten – Art. 40 – Verhaltensregeln – Art. 78 Abs. 1 – Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde – Beschluss der Aufsichtsbehörde über eine Beschwerde – Umfang der gerichtlichen Überprüfung dieses Beschlusses – Wirtschaftsauskunfteien – Speicherung von Daten aus einem öffentlichen Register im Zusammenhang mit der Restschuldbefreiung zugunsten einer Person – Speicherdauer“
Leitsatz
In den verbundenen Rechtssachen C-26/22 und C-64/22
betreffend Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgericht Wiesbaden (Deutschland) mit Beschlüssen vom 23. Dezember 2021 und 31. Januar 2022, beim Gerichtshof eingegangen am 11. Januar 2022 und am 2. Februar 2022, in den Verfahren
UF (C-26/22),
AB (C-64/22)
gegen
Land Hessen,
Beteiligte:
SCHUFA Holding AG,
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev, der Richter T. von Danwitz, P. G. Xuereb und A. Kumin (Berichterstatter) sowie der Richterin I. Ziemele,
Generalanwalt: P. Pikamäe,
Kanzler: K. Hötzel, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 26. Januar 2023,
unter Berücksichtigung der Erklärungen
von UF und AB, vertreten durch Rechtsanwälte R. Rohrmoser und S. Tintemann,
des Landes Hessen, vertreten durch Rechtsanwälte M. Kottmann und G. Ziegenhorn,
der SCHUFA Holding AG, vertreten durch G. Thüsing und Rechtsanwalt U. Wuermeling,
der deutschen Regierung, vertreten durch J. Möller und P.-L. Krüger als Bevollmächtigte,
der portugiesischen Regierung, vertreten durch P. Barros da Costa, M. J. Ramos und C. Vieira Guerra als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher, H. Kranenborg und W. Wils als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 16. März 2023
folgendes
Entscheidungsgründe
Urteil
Die Vorabentscheidungsersuchen betreffen die Auslegung der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) sowie von Art. 6 Abs. 1 Unterabs. 1 Buchst. f, Art. 17 Abs. 1 Buchst. d, Art. 40, Art. 77 Abs. 1 und Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen UF (Rechtssache C-26/22) und AB (Rechtssache C-64/22) auf der einen Seite und dem Land Hessen (Deutschland) auf der anderen Seite über die Weigerung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), bei der SCHUFA Holding AG (im Folgenden: SCHUFA) auf Löschung von bei ihr gespeicherten Daten betreffend Restschuldbefreiungen zugunsten von UF und AB hinzuwirken.
Rechtlicher Rahmen
Unionsrecht
Richtlinie 2008/48/EG
In den Erwägungsgründen 26 und 28 der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. 2008, L 133, S. 66) heißt es:
… Insbesondere auf dem expandierenden Kreditmarkt ist es wichtig, dass Kreditgeber nicht verantwortungslos in der Kreditvergabe tätig werden oder Kredite ohne vorherige Beurteilung der Kreditwürdigkeit vergeben, und die Mitgliedstaaten sollten die erforderlichen Kontrollen durchführen, um derartige Verhaltensweisen zu unterbinden[,] und sie sollten die erforderlichen Sanktionsmittel für jene Kreditgeber bestimmen, die sich so verhalten. … Kreditgeber [sollten] dafür verantwortlich sein, in jedem Einzelfall die Bewertung der Kreditwürdigkeit des Verbrauchers zu prüfen. …
…
Zur Bewertung der Kreditsituation des Verbrauchers sollte der Kreditgeber auch die einschlägigen Datenbanken konsultieren; aufgrund der rechtlichen und sachlichen Umstände kann es erforderlich sein, dass sich derartige Konsultationen im Umfang unterscheiden. Damit der Wettbewerb zwischen Kreditgebern nicht verzerrt wird, sollte Kreditgebern aus anderen Mitgliedstaaten der Zugang zu privaten oder öffentlichen Datenbanken betreffend Verbraucher in einem Mitgliedstaat, in dem sie nicht niedergelassen sind, unter Bedingungen gewährt werden, die keine Diskriminierung gegenüber den Kreditgebern dieses Mitgliedstaats darstellen.“
Art. 8 („Verpflichtung zur Bewertung der Kreditwürdigkeit des Verbrauchers“) Abs. 1 der Richtlinie 2008/48 sieht vor:
„Die Mitgliedstaaten stellen sicher, dass vor Abschluss des Kreditvertrages der Kreditgeber die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen bewertet, die er gegebenenfalls beim Verbraucher einholt und erforderlichenfalls anhand von Auskünften aus der in Frage kommenden Datenbank. Diejenigen Mitgliedstaaten, die die Kreditgeber gesetzlich dazu verpflichten, die Kreditwürdigkeit aufgrund der Abfrage einer entsprechenden Datenbank zu beurteilen, können diese Anforderung beibehalten.“
Richtlinie 2014/17/EG
In den Erwägungsgründen 55 und 59 der Richtlinie 2014/17/EU des Europäischen Parlaments und des Rates vom 4. Februar 2014 über Wohnimmobilienkreditverträge für Verbraucher und zur Änderung der Richtlinien 2008/48/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 (ABl. 2014, L 60, S. 34) heißt es:
Vor Abschluss eines Kreditvertrags ist es unerlässlich, die Fähigkeit und Neigung des Verbrauchers zur Rückzahlung des Kredits zu bewerten und zu überprüfen. Bei dieser Kreditwürdigkeitsprüfung sollten sämtliche erforderlichen und relevanten Faktoren berücksichtigt werden, die die Fähigkeit eines Verbrauchers, über die Laufzeit des Kredits fällige Rückzahlungen zu leisten, beeinflussen könnten. …
…
Die Abfrage einer Kreditdatenbank ist ein nützliches Element bei der Kreditwürdigkeitsprüfung. …“
Art. 18 („Verpflichtung zur Prüfung der Kreditwürdigkeit des Verbrauchers“) Abs. 1 der Richtlinie 2014/17 sieht vor:
„Die Mitgliedstaaten stellen sicher, dass der Kreditgeber vor Abschluss eines Kreditvertrags eine eingehende Prüfung der Kreditwürdigkeit des Verbrauchers vornimmt. Bei der Kreditwürdigkeitsprüfung werden die Faktoren, die für die Prüfung der Aussichten relevant sind, dass der Verbraucher seinen Verpflichtungen aus dem Kreditvertrag nachkommt, in angemessener Form berücksichtigt.“
Art. 21 („Zugang zu Datenbanken“) Abs. 1 und 2 der Richtlinie 2014/17 bestimmt:
„(1) Jeder Mitgliedstaat stellt sicher, dass alle Kreditgeber aus allen Mitgliedstaaten Zugang zu den in seinem Hoheitsgebiet zur Bewertung der Kreditwürdigkeit des Verbrauchers verwendeten Datenbanken haben, mit deren Verwendung ausschließlich überwacht werden soll, inwieweit Verbraucher während der Laufzeit eines Kreditvertrags ihre Kreditverpflichtungen erfüllen. Der Zugang ist ohne Diskriminierung zu gewähren.
(2) Absatz 1 gilt sowohl für von privaten Kreditbüros und Kreditauskunfteien betriebene Datenbanken als auch für öffentliche Register.“
Verordnung (EU) 2015/848
Im 76. Erwägungsgrund der Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Insolvenzverfahren (ABl. 2015, L 141, S. 19) heißt es:
„Um eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten und die Eröffnung von Parallelverfahren zu verhindern, sollten die Mitgliedstaaten verpflichtet werden, relevante Informationen in grenzüberschreitenden Insolvenzfällen in einem öffentlich zugänglichen elektronischen Register bekanntzumachen. Um Gläubigern und Gerichten in anderen Mitgliedstaaten den Zugriff auf diese Informationen zu erleichtern, sollte diese Verordnung die Vernetzung solcher Insolvenzregister über das Europäische Justizportal vorsehen. … “
Art. 79 („Aufgaben der Mitgliedstaaten hinsichtlich der Verarbeitung personenbezogener Daten in nationalen Insolvenzregistern“) Abs. 4 und 5 der Verordnung 2015/848 sieht vor:
„(4) Es obliegt den Mitgliedstaaten gemäß der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31)], Daten zu erheben und in nationalen Datenbanken zu speichern und zu entscheiden, diese Daten im vernetzten Register, das über das Europäische Justizportal eingesehen werden kann, zugänglich zu machen.
(5) Als Teil der Information, die betroffene Personen erhalten, um ihre Rechte und insbesondere das Recht auf Löschung von Daten wahrnehmen zu können, teilen die Mitgliedstaaten betroffenen Personen mit, für welchen Zeitraum ihre in Insolvenzregistern gespeicherten personenbezogenen Daten zugänglich sind.“
DSGVO
In den Erwägungsgründen 10, 11, 47, 50, 98, 141 und 143 der DSGVO heißt es:
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
…
Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. …
…
Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. … Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
…
Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern, wobei den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist. Insbesondere könnten in diesen Verhaltensregeln – unter Berücksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen – die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.
…
Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. …
…
… [J]ede natürliche oder juristische Person [sollte] das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen. Verfahren gegen eine Aufsichtsbehörde sollten bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt.
Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder abgewiesen, kann der Beschwerdeführer Klage bei den Gerichten desselben Mitgliedstaats erheben. Im Zusammenhang mit gerichtlichen Rechtsbehelfen in Bezug auf die Anwendung dieser Verordnung können einzelstaatliche Gerichte, die eine Entscheidung über diese Frage für erforderlich halten, um ihr Urteil erlassen zu können, bzw. müssen einzelstaatliche Gerichte in den Fällen nach Artikel 267 AEUV den Gerichtshof um eine Vorabentscheidung zur Auslegung des Unionsrechts – das auch diese Verordnung einschließt – ersuchen. … “
In Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO heißt es:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
…
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO sieht vor:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
…
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
…
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘]“) Abs. 1 DSGVO sieht vor:
„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
…
Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
…“
Art. 21 („Widerspruchsrecht“) Abs. 1 und 2 DSGVO bestimmt:
„(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“
Art. 40 („Verhaltensregeln“) Abs. 1, 2 und 5 DSGVO bestimmt:
„(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die [Europäische] Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.
(2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:
faire und transparente Verarbeitung;
die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
Erhebung personenbezogener Daten;
…
(5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.“
Art. 51 („Aufsichtsbehörde“) Abs. 1 DSGVO sieht vor:
„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“
Art. 52 („Unabhängigkeit“) Abs. 1, 2 und 4 DSGVO bestimmt:
„(1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig.
(2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.
…
(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.“
Art. 57 („Aufgaben“) Abs. 1 DSGVO bestimmt:
„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
die Anwendung dieser Verordnung überwachen und durchsetzen;
…
sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
…“
Art. 58 („Befugnisse“) DSGVO führt in Abs. 1 die Untersuchungsbefugnisse auf, über die jede Aufsichtsbehörde verfügt, und in Abs. 2 die ihr zustehenden Abhilfebefugnisse.
Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) DSGVO lautet:
„(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“
Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) Abs. 1 und 2 DSGVO sieht vor:
„(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Recht[s]behelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.“
Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO bestimmt:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Deutsches Recht
§ 9 Abs. 1 der Insolvenzordnung vom 5. Oktober 1994 (BGBl. I S. 2866) in der auf den Sachverhalt des Ausgangsverfahrens anwendbaren Fassung lautet:
„Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.“
§ 3 Abs. 1 und 2 der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002 (BGBl. I S. 677, im Folgenden: InsoBekV) bestimmt:
„(1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.
(2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.“
Ausgangsverfahren und Vorlagefragen
Im Rahmen der sie betreffenden Insolvenzverfahren wurde UF und AB mit gerichtlichen Beschlüssen vom 17. Dezember 2020 bzw. 23. März 2021 eine vorzeitige Restschuldbefreiung erteilt. Gemäß § 9 Abs. 1 der Insolvenzordnung und § 3 Abs. 1 und 2 InsoBekV wurde die öffentliche Bekanntmachung dieser Beschlüsse im Internet nach Ablauf von sechs Monaten nach Ergehen dieser Beschlüsse gelöscht.
Die SCHUFA ist eine private Wirtschaftsauskunftei, die in ihren eigenen Datenbanken Informationen aus öffentlichen Registern erfasst und speichert, insbesondere solche über Restschuldbefreiungen. Sie löscht letztere Informationen nach Ablauf einer Frist von drei Jahren nach der Eintragung gemäß den Verhaltensregeln, die in Deutschland von dem Verband der Wirtschaftsauskunfteien ausgearbeitet und von der zuständigen Aufsichtsbehörde genehmigt wurden.
UF und AB wandten sich an die SCHUFA, um bei dieser die Löschung der Eintragungen in Bezug auf die sie betreffenden Beschlüsse über die Restschuldbefreiung zu erwirken. Die Gesellschaft lehnte ihre Anträge ab, nachdem sie erklärt hatte, dass ihre Tätigkeit unter Beachtung der DSGVO erfolge und die in § 3 Abs. 1 InsoBekV vorgesehene sechsmonatige Löschungsfrist auf sie nicht anwendbar sei.
UF und AB erhoben daraufhin jeweils Beschwerde beim HBDI als zuständiger Aufsichtsbehörde.
Mit Bescheiden vom 1. März 2021 bzw. 9. Juli 2021 vertrat der HBDI die Auffassung, dass die Datenverarbeitung durch die SCHUFA rechtmäßig sei.
UF und AB erhoben beim Verwaltungsgericht Wiesbaden (Deutschland), dem vorlegenden Gericht, jeweils Klage gegen den Bescheid des HBDI. Zur Stützung dieser Klagen machten sie geltend, dass der HBDI im Rahmen seiner Aufgaben und Befugnisse dazu verpflichtet sei, Maßnahmen zur Durchsetzung der Löschung der sie betreffenden Eintragungen gegenüber der SCHUFA zu ergreifen.
In seiner Klagebeantwortung beantragte der HBDI, die Klagen abzuweisen.
Zum einen vertrat der HBDI die Auffassung, dass das Recht auf Beschwerde gemäß Art. 77 Abs. 1 DSGVO nur als Petitionsrecht ausgestaltet sei. Daher beschränke sich die gerichtliche Überprüfung darauf, ob sich die Aufsichtsbehörde mit der Beschwerde befasst habe und den Beschwerdeführer über den Stand und das Ergebnis dieser Beschwerde unterrichtet habe. Dagegen dürfe das Gericht nicht überprüfen, ob die Beschwerdeentscheidung inhaltlich zutreffend sei.
Zum anderen betonte der HBDI, dass die Daten, zu denen Wirtschaftsauskunfteien Zugang hätten, so lange gespeichert werden dürften, wie dies für die Zwecke, für die sie gespeichert worden seien, erforderlich sei. Mangels einer Regelung durch den nationalen Gesetzgeber seien von den Aufsichtsbehörden Verhaltensregeln erlassen worden und die vom Verband der Wirtschaftsauskunfteien ausgearbeiteten Verhaltensregeln sähen eine Löschung taggenau drei Jahre nach der Eintragung in der Datei vor.
Insoweit hält es das vorlegende Gericht als Erstes für erforderlich, die Rechtsnatur des Beschlusses zu klären, den die Aufsichtsbehörde auf eine Beschwerde nach Art. 77 Abs. 1 DSGVO erlässt.
Das vorlegende Gericht hegt insbesondere Zweifel am Vorbringen des HBDI, da es darauf hinausliefe, die Wirksamkeit des gerichtlichen Rechtsbehelfs im Sinne von Art. 78 Abs. 1 DSGVO zu beeinträchtigen. Zudem dürften die Art. 77 und 78 DSGVO im Hinblick auf ihr Ziel, im Rahmen der Umsetzung der Art. 7 und 8 der Charta einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, nicht eng ausgelegt werden.
Das vorlegende Gericht befürwortet eine Auslegung, wonach die von der Aufsichtsbehörde in der Sache getroffene Entscheidung einer vollständigen gerichtlichen Kontrolle unterliegen muss. Dieser Behörde stehe jedoch sowohl ein Beurteilungs- als auch ein Ermessensspielraum zu und sie könne nur dann zum Tätigwerden verpflichtet werden, wenn rechtmäßige Alternativen nicht erkennbar seien.
Als Zweites fragt sich das vorlegende Gericht in zweifacher Hinsicht, ob es rechtmäßig sei, dass Wirtschaftsauskunfteien Daten über die Zahlungsfähigkeit einer Person aus öffentlichen Registern wie dem Insolvenzregister speichern.
Erstens bestünden Zweifel daran, dass die Speicherung von Daten aus öffentlichen Registern durch eine private Gesellschaft wie die SCHUFA in ihren eigenen Datenbanken rechtmäßig sei.
Zunächst würde diese Speicherung nämlich nicht aus einem konkreten Anlass erfolgen, sondern für den Fall, dass ihre Vertragspartner solche Auskünfte anfragten, und würde letztlich zu einer Vorratsdatenhaltung führen, vor allem dann, wenn die betreffenden Daten im öffentlichen Register schon wegen Ablaufs der Speicherfrist gelöscht worden seien.
Außerdem sei eine Verarbeitung und damit eine Speicherung der Daten nur zulässig, wenn eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt sei. Vorliegend komme nur Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO in Betracht. Es sei aber zweifelhaft, ob eine Wirtschaftsauskunftei wie die SCHUFA ein berechtigtes Interesse im Sinne dieser Bestimmung wahrnehme.
Schließlich sei die SCHUFA nur eine von mehreren Auskunfteien, und damit würden die Daten vielfach in Deutschland auf diesem Wege vorgehalten, was einen massiven Eingriff in das Grundrecht aus Art. 7 der Charta bedeute.
Zweitens stelle sich selbst unter der Annahme, dass die Speicherung von aus öffentlichen Registern stammenden Daten durch private Unternehmen als solche rechtmäßig sei, die Frage nach der möglichen Dauer einer solchen Speicherung.
Insoweit ist das vorlegende Gericht der Ansicht, dass von diesen privaten Unternehmen zu verlangen sei, dass sie die in § 3 InsoBekV vorgesehene Sechsmonatsfrist für die Speicherung der Beschlüsse über die Restschuldbefreiung im Insolvenzregister einhielten. Daher müssten Daten, die im öffentlichen Register zu löschen seien, auch bei allen privaten Wirtschaftsauskunfteien, die diese Daten gespeichert hätten, zeitgleich gelöscht werden.
Im Übrigen stelle sich die Frage, ob gemäß Art. 40 DSGVO genehmigte Verhaltensregeln, die eine Frist von drei Jahren für die Löschung der Eintragung hinsichtlich der Restschuldbefreiung vorsähen, bei der Abwägung zu berücksichtigen seien, die im Rahmen der Beurteilung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmen ist.
Unter diesen Umständen hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist Art. 77 Abs. 1 in Verbindung mit Art. 78 Abs. 1 DSGVO dahin gehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,
den Charakter der Bescheidung einer Petition hat? Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DSGVO sich grundsätzlich darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat,
oder
als eine behördliche Sachentscheidung zu verstehen ist, dies mit der Folge, dass eine aufsichtsbehördliche Beschwerdeentscheidung voll inhaltlich von dem Gericht nach Art. 78 Abs. 1 DSGVO zu überprüfen ist, wobei im Einzelfall – z. B. bei einer Ermessensreduzierung auf null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme im Sinne des Art. 58 DSGVO verpflichtet werden kann?
Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ im Sinne des Art. 79 Abs. 4 und 5 der Verordnung 2015/848, ohne konkreten Anlass gespeichert werden, um im Fall einer Anfrage eine Auskunft erteilen zu können, mit den Art. 7 und 8 der Charta vereinbar?
-
Sind private Paralleldatenbanken (insbesondere Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der Verordnung 2015/848 in Verbindung mit dem nationalen Recht geregelt, grundsätzlich zulässig?
Falls Frage 3 a) zu bejahen ist, ergibt sich aus dem Recht auf Vergessenwerden nach Art. 17 Abs. 1 Buchst. d DSGVO, dass diese Daten zu löschen sind, wenn die für das öffentliche Register vorgesehene Verarbeitungsdauer abgelaufen ist?
Soweit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?
Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DSGVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorgegebene Abwägung suspendieren?
Durch Entscheidung des Präsidenten des Gerichtshofs vom 11. Februar 2022 sind die Rechtssachen C-26/22 und C-64/22 zu gemeinsamem schriftlichen und mündlichen Verfahren sowie zu gemeinsamem Urteil verbunden worden.
Zu den Vorlagefragen
Zu Frage 1
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 78 Abs. 1 DSGVO dahin auszulegen ist, dass sich die gerichtliche Überprüfung eines von einer Aufsichtsbehörde über eine Beschwerde erlassenen Beschlusses auf die Frage beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung in Kenntnis gesetzt hat, oder ob dieser Beschluss einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt und das angerufene Gericht dabei befugt ist, die Aufsichtsbehörde zu einer konkreten Maßnahme zu verpflichten.
Zur Beantwortung dieser Frage ist vorab darauf hinzuweisen, dass nach ständiger Rechtsprechung bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 22. Juni 2023, Pankki S, C-579/21, EU:C:2023:501, Rn. 38 und die dort angeführte Rechtsprechung).
Was den Wortlaut von Art. 78 Abs. 1 DSGVO betrifft, so sieht diese Bestimmung vor, dass jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde hat.
Insoweit ist zunächst darauf hinzuweisen, dass im vorliegenden Fall die vom HBDI erlassenen Bescheide rechtsverbindliche Beschlüsse im Sinne dieses Art. 78 Abs. 1 darstellen. Diese Behörde hat nämlich nach Prüfung der Begründetheit der Beschwerden, mit denen sie befasst wurde, festgestellt, dass die von den Klägern in den Ausgangsverfahren angefochtene Verarbeitung personenbezogener Daten nach der DSGVO rechtmäßig sei. Die rechtliche Verbindlichkeit dieser Beschlüsse wird im Übrigen durch den 143. Erwägungsgrund dieser Verordnung bestätigt, wonach die Ablehnung oder Zurückweisung einer Beschwerde durch eine Aufsichtsbehörde einen Beschluss darstellt, der Rechtswirkungen gegenüber dem Beschwerdeführer entfaltet.
Außerdem geht aus Art. 78 Abs. 1 DSGVO im Licht des 141. Erwägungsgrundes dieser Verordnung ausdrücklich hervor, dass jede betroffene Person das Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf gemäß Art. 47 der Charta hat.
So hat der Gerichtshof bereits entschieden, dass sich aus Art. 78 Abs. 1 DSGVO im Licht des 143. Erwägungsgrundes dieser Verordnung ergibt, dass die Gerichte, die mit einer Klage gegen einen Beschluss einer Aufsichtsbehörde befasst sind, eine uneingeschränkte Zuständigkeit besitzen sollten, was die Zuständigkeit einschließt, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen (Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 41).
Daher kann Art. 78 Abs. 1 DSGVO nicht dahin ausgelegt werden, dass die gerichtliche Überprüfung einer aufsichtsbehördlichen Beschwerdeentscheidung darauf beschränkt sei, ob die Behörde sich mit der Beschwerde befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung in Kenntnis gesetzt hat. Vielmehr muss eine solche Entscheidung, damit ein gerichtlicher Rechtsbehelf „wirksam“ ist, wie es diese Bestimmung verlangt, einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegen.
Diese Auslegung wird durch den Zusammenhang, in dem Art. 78 Abs. 1 DSGVO steht, sowie durch die Ziele und den Zweck dieser Verordnung bestätigt.
Zum Zusammenhang, in dem diese Bestimmung steht, ist darauf hinzuweisen, dass gemäß Art. 8 Abs. 3 der Charta sowie Art. 51 Abs. 1 und Art. 57 Abs. 1 Buchst. a DSGVO die nationalen Aufsichtsbehörden die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben (Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 107).
Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten (Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 109).
Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 111).
Daraus folgt, wie der Generalanwalt in Nr. 42 seiner Schlussanträge ausgeführt hat, dass das Beschwerdeverfahren, das kein petitionsähnliches Verfahren ist, als ein Mechanismus konzipiert wurde, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren.
In Anbetracht der weitreichenden Befugnisse, mit denen die Aufsichtsbehörde nach der DSGVO ausgestattet ist, wäre das Erfordernis eines wirksamen gerichtlichen Rechtsschutzes nicht erfüllt, wenn die Beschlüsse über die Ausübung von Untersuchungs- oder Abhilfebefugnissen durch eine solche Aufsichtsbehörde nur einer eingeschränkten gerichtlichen Überprüfung unterlägen.
Das Gleiche gilt für Beschlüsse über die Abweisung einer Beschwerde, da Art. 78 Abs. 1 DSGVO nicht nach der Art des von der Aufsichtsbehörde erlassenen Beschlusses unterscheidet.
Was die mit der DSGVO verfolgten Ziele betrifft, geht insbesondere aus dem zehnten Erwägungsgrund der Verordnung hervor, dass diese darauf abzielt, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten. Im elften Erwägungsgrund dieser Verordnung heißt es außerdem, dass ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen erfordert.
Wäre Art. 78 Abs. 1 DSGVO dahin auszulegen, dass sich die dort vorgesehene gerichtliche Kontrolle auf die Prüfung beschränkt, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung in Kenntnis gesetzt hat, würden dadurch zwangsläufig die Verwirklichung der Ziele und die Verfolgung des Zwecks dieser Verordnung gefährdet.
Im Übrigen stellt die Auslegung dieser Bestimmung, wonach ein von einer Aufsichtsbehörde über eine Beschwerde erlassener Beschluss einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt, weder die Garantien der Unabhängigkeit der Aufsichtsbehörden noch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen Verantwortlichen oder einen Auftragsverarbeiter in Frage.
Erstens wird zwar nach Art. 8 Abs. 3 der Charta die Einhaltung der Vorschriften über den Schutz personenbezogener Daten von einer unabhängigen Stelle überwacht. In diesem Zusammenhang stellt Art. 52 DSGVO u. a. klar, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig handelt (Abs. 1), dass das Mitglied oder die Mitglieder jeder Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse keiner Beeinflussung von außen unterliegen (Abs. 2) und dass jeder Mitgliedstaat sicherstellt, dass jede Aufsichtsbehörde mit den Ressourcen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können (Abs. 4).
Diese Garantien der Unabhängigkeit werden jedoch in keiner Weise dadurch beeinträchtigt, dass rechtsverbindliche Beschlüsse einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegen.
Was zweitens das in Art. 79 Abs. 1 DSGVO vorgesehene Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter betrifft, ist darauf hinzuweisen, dass nach der Rechtsprechung des Gerichtshofs der Rechtsbehelf nach Art. 78 Abs. 1 DSGVO und der in Art. 79 Abs. 1 DSGVO vorgesehene Rechtsbehelf nebeneinander und unabhängig voneinander eingelegt werden können (Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 35 und Tenor). In diesem Zusammenhang hat der Gerichtshof insbesondere festgestellt, dass die Bereitstellung mehrerer Rechtsbehelfe das im 141. Erwägungsgrund dieser Verordnung genannte Ziel stärkt, jeder betroffenen Person, die sich in ihren Rechten gemäß dieser Verordnung verletzt sieht, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gemäß Art. 47 der Charta zu garantieren (Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 44).
Daher – und obwohl es nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten Sache der einzelnen Mitgliedstaaten ist, die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln (Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 45 und Tenor) – hat die Existenz des in Art. 79 Abs. 1 DSGVO vorgesehenen Rechts auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter keine Auswirkung auf den Umfang der gerichtlichen Überprüfung, der ein Beschluss einer Aufsichtsbehörde über eine Beschwerde im Rahmen eines Rechtsbehelfs gemäß Art. 78 Abs. 1 DSGVO unterliegt.
Hinzuzufügen ist jedoch, dass sich die Aufsichtsbehörde zwar, wie in Rn. 56 des vorliegenden Urteils ausgeführt, mit aller gebotenen Sorgfalt mit einer Beschwerde befassen muss, dass sie aber hinsichtlich der in Art. 58 Abs. 2 DSGVO aufgezählten Abhilfebefugnisse über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel verfügt (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 112).
Auch wenn das mit einem Rechtsbehelf nach Art. 78 Abs. 1 DSGVO befasste nationale Gericht, wie in Rn. 52 des vorliegenden Urteils festgestellt, über eine umfassende Befugnis zur Prüfung aller Sach- und Rechtsfragen im Zusammenhang mit dem betreffenden Rechtsstreit verfügen muss, erfordert die Gewährleistung eines wirksamen gerichtlichen Rechtsschutzes nicht, dass es befugt wäre, seine Beurteilung der Wahl der geeigneten und erforderlichen Abhilfebefugnisse an die Stelle der Beurteilung dieser Behörde zu setzen, sondern verlangt, dass dieses Gericht prüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.
Nach alledem ist auf die erste Vorlagefrage zu antworten, dass Art. 78 Abs. 1 DSGVO dahin auszulegen ist, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.
Zu den Fragen 2 bis 5
Mit seinen Fragen 2 bis 5, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen,
ob Art. 5 Abs. 1 Buchst. a in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dahin auszulegen ist, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zu speichern und diese Informationen nach Ablauf von drei Jahren gemäß Verhaltensregeln im Sinne von Art. 40 DSGVO zu löschen, während die Speicherdauer dieser Informationen im öffentlichen Register sechs Monate beträgt, und
ob Art. 17 Abs. 1 Buchst. c und d DSGVO dahin auszulegen ist, dass eine private Wirtschaftsauskunftei, die Informationen über die Erteilung einer Restschuldbefreiung aus einem öffentlichen Register übernommen hat, verpflichtet ist, diese Informationen zu löschen.
Zu Art. 5 Abs. 1 Buchst. a DSGVO
Nach Art. 5 Abs. 1 Buchst. a DSGVO sind personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten.
In diesem Zusammenhang enthält Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 90 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall steht fest, dass die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, um die es in den Ausgangsverfahren geht, allein im Licht von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zu beurteilen ist. Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Somit ist die Verarbeitung personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 106 und die dort angeführte Rechtsprechung).
Was erstens die Voraussetzung der Wahrung eines „berechtigten Interesses“ betrifft, ist in Ermangelung einer Definition dieses Begriffs durch die DSGVO hervorzuheben, wie der Generalanwalt in Nr. 61 seiner Schlussanträge ausgeführt hat, dass ein breites Spektrum von Interessen grundsätzlich als berechtigt gelten kann.
Was zweitens die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des wahrgenommenen berechtigten Interesses angeht, so verlangt diese vom vorlegenden Gericht, zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der Charta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 108 und die dort angeführte Rechtsprechung).
In diesem Zusammenhang ist auch darauf hinzuweisen, dass die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem sogenannten Grundsatz der „Datenminimierung“ zu prüfen ist, der in Art. 5 Abs. 1 Buchst. c DSGVO verankert ist und verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 109 und die dort angeführte Rechtsprechung).
Was drittens die Voraussetzung betrifft, dass die Interessen oder Grundfreiheiten und Grundrechte der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen, so hat der Gerichtshof bereits entschieden, dass diese Voraussetzung eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen gebietet, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt, und dass es daher Sache des vorlegenden Gerichts ist, diese Abwägung unter Berücksichtigung dieser spezifischen Umstände vorzunehmen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 110 und die dort angeführte Rechtsprechung).
Außerdem können, wie sich aus dem 47. Erwägungsgrund der DSGVO ergibt, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 112).
Letztlich ist es damit Sache des vorlegenden Gerichts, zu beurteilen, ob im Hinblick auf die Verarbeitung personenbezogener Daten, um die es in den Ausgangsverfahren geht, die drei in Rn. 75 des vorliegenden Urteils genannten Voraussetzungen erfüllt sind; der Gerichtshof kann dem nationalen Gericht auf dessen Vorabentscheidungsersuchen hin jedoch sachdienliche Hinweise für diese Prüfung geben (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi, C-77/21, EU:C:2022:805, Rn. 39 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall macht die SCHUFA hinsichtlich der Verfolgung eines berechtigten Interesses geltend, dass die Kreditauskunfteien Daten verarbeiteten, die zur Beurteilung der Bonität von Personen oder Unternehmen erforderlich seien, um diese Informationen ihren Vertragspartnern zur Verfügung stellen zu können. Diese Tätigkeit schütze nicht nur die wirtschaftlichen Interessen der Unternehmen, die kreditrelevante Verträge eingehen wollten, die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilde zudem ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft. Die Tätigkeit von Kreditauskunfteien helfe auch, Geschäftswünsche der Interessenten an kreditrelevanten Geschäften zu realisieren, da die Auskünfte eine schnelle und unbürokratische Prüfung dieser Geschäfte ermöglichten.
Insoweit dient die Verarbeitung personenbezogener Daten wie die in den Ausgangsverfahren in Rede stehende zwar den wirtschaftlichen Interessen der SCHUFA, doch dient diese Verarbeitung auch der Wahrung des berechtigten Interesses der Vertragspartner der SCHUFA, die kreditrelevante Verträge mit Personen abschließen wollen, an der Bewertung der Kreditwürdigkeit dieser Personen und damit den sozioökonomischen Interessen des Kreditsektors.
In Bezug auf Verbraucherkreditverträge geht nämlich aus Art. 8 der Richtlinie 2008/48 im Licht ihres 28. Erwägungsgrundes hervor, dass der Kreditgeber vor Abschluss des Kreditvertrags verpflichtet ist, die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen, erforderlichenfalls auch anhand von Auskünften aus öffentlichen und privaten Datenbanken, zu bewerten.
Außerdem ist in Bezug auf Wohnimmobilienkreditverträge für Verbraucher Art. 18 Abs. 1 und Art. 21 Abs. 1 der Richtlinie 2014/17 in Verbindung mit Erwägungsgründen 55 und 59 dieser Richtlinie zu entnehmen, dass der Kreditgeber eine eingehende Prüfung der Kreditwürdigkeit des Verbrauchers vornehmen muss und Zugang zu Kreditdatenbanken hat, wobei die Abfrage solcher Datenbanken ein nützliches Element bei dieser Prüfung ist.
Hinzuzufügen ist, dass die Verpflichtung zur Bewertung der Kreditwürdigkeit der Verbraucher, wie sie in den Richtlinien 2008/48 und 2014/17 vorgesehen ist, nicht nur den Kreditantragsteller schützen soll, sondern auch, wie im 26. Erwägungsgrund der Richtlinie 2008/48 hervorgehoben wird, das reibungslose Funktionieren des gesamten Kreditsystems gewährleisten soll.
Jedoch muss die Datenverarbeitung aber auch zur Verwirklichung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dürfen gegenüber diesem Interesse nicht überwiegen. Bei der entsprechenden Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen, d. h. derjenigen des Verantwortlichen und der beteiligten Dritten einerseits und der betroffenen Person andererseits, sind, wie in Rn. 80 des vorliegenden Urteils dargelegt, insbesondere die vernünftigen Erwartungen der betroffenen Person sowie der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf diese Person zu berücksichtigen (vgl. Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 116).
Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. f der DSGVO hat der Gerichtshof entschieden, dass diese Bestimmung dahin auszulegen ist, dass eine Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten der von der Verarbeitung betroffenen Personen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (vgl. in diesem Sinne Urteile vom 4. Mai 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, Rn. 30, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 126).
In diesem Zusammenhang verweist das vorlegende Gericht auf zwei Aspekte der in den Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten. Erstens impliziere diese Verarbeitung eine vielfältige Speicherung der Daten, d. h. nicht nur in einem öffentlichen Register, sondern auch in den Datenbanken der Wirtschaftsauskunfteien, wobei diese Unternehmen diese Speicherung nicht aus konkretem Anlass vornähmen, sondern für den Fall, dass ihre Vertragspartner bei ihnen Auskünfte anfragten. Zweitens speicherten diese Unternehmen diese Daten drei Jahre lang auf der Grundlage von Verhaltensregeln im Sinne von Art. 40 DSGVO, während die nationalen Rechtsvorschriften für das öffentliche Register eine Speicherdauer von nur sechs Monaten vorsähen.
Zum ersten Aspekt macht die SCHUFA geltend, dass es unmöglich sei, rechtzeitig Auskünfte zu erteilen, wenn eine Wirtschaftsauskunftei verpflichtet wäre, eine konkrete Auskunftsanfrage abzuwarten, bevor sie mit der Datenerhebung beginnen könne.
Insoweit ist es Sache des vorlegenden Gerichts, zu prüfen, ob die Vorratsspeicherung der in Rede stehenden Daten durch die SCHUFA in ihren eigenen Datenbanken auf das zur Verwirklichung des berechtigten Interesses unbedingt Erforderliche beschränkt ist, obwohl die fraglichen Daten im öffentlichen Register abgerufen werden können und ohne dass ein Wirtschaftsunternehmen in einem konkreten Fall um Auskunft ersucht hat. Andernfalls könnte die Vorratsspeicherung dieser Daten durch die SCHUFA während des Zeitraums der öffentlichen Zugänglichmachung dieser Daten nicht als erforderlich angesehen werden.
Hinsichtlich der Dauer der Datenspeicherung ist davon auszugehen, dass sich die Prüfung der zweiten und der dritten in Rn. 75 des vorliegenden Urteils genannten Voraussetzung insofern überschneidet, als die Beurteilung der Frage, ob im vorliegenden Fall die berechtigten Interessen, die mit der in den Ausgangsverfahren fraglichen Verarbeitung personenbezogener Daten wahrgenommen werden, vernünftigerweise nicht durch eine kürzere Dauer der Speicherung der Daten erreicht werden können, eine Abwägung der einander gegenüberstehenden Rechte und Interessen erfordert.
Zur Abwägung der verfolgten berechtigten Interessen ist festzustellen, dass die Analyse einer Wirtschaftsauskunftei insoweit, als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potenziellen Kunden der Vertragspartner der Wirtschaftsauskunftei ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern kann.
Was hingegen die Rechte und die Interessen der betroffenen Person betrifft, stellt die Verarbeitung von Daten über die Erteilung einer Restschuldbefreiung, wie etwa die Speicherung, Analyse und Weitergabe dieser Daten an einen Dritten, durch eine Wirtschaftsauskunftei einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar. Solche Daten dienen nämlich als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person und stellen daher sensible Informationen über ihr Privatleben dar (vgl. in diesem Sinne Urteil vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 98). Ihre Verarbeitung kann den Interessen der betroffenen Person beträchtlich schaden, da diese Weitergabe geeignet ist, die Ausübung ihrer Freiheiten erheblich zu erschweren, insbesondere wenn es darum geht, Grundbedürfnisse zu decken.
Zudem sind, wie die Kommission ausgeführt hat, die Folgen für die Interessen und das Privatleben der betroffenen Person umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die fraglichen Daten durch Wirtschaftsauskunfteien gespeichert werden.
Außerdem ist darauf hinzuweisen, dass das Ziel eines öffentlichen Insolvenzregisters, wie sich aus dem 76. Erwägungsgrund der Verordnung 2015/848 ergibt, darin besteht, eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten. In diesem Zusammenhang sieht Art. 79 Abs. 5 dieser Verordnung lediglich vor, dass die Mitgliedstaaten den betroffenen Personen mitteilen, für welchen Zeitraum ihre in Insolvenzregistern gespeicherten personenbezogenen Daten zugänglich sind, ohne eine Speicherfrist für diese Daten festzulegen. Dagegen ergibt sich aus Art. 79 Abs. 4 dieser Verordnung, dass es den Mitgliedstaaten gemäß diesem Artikel obliegt, Daten zu erheben und in nationalen Datenbanken zu speichern. Die Frist für die Speicherung dieser Daten muss daher unter Beachtung dieser Verordnung festgelegt werden.
Im vorliegenden Fall sieht der deutsche Gesetzgeber vor, dass die Information über die Erteilung einer Restschuldbefreiung im Insolvenzregister nur sechs Monate lang gespeichert wird. Er geht daher davon aus, dass nach Ablauf einer Frist von sechs Monaten die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.
Außerdem soll, wie der Generalanwalt in Nr. 75 seiner Schlussanträge ausgeführt hat, die erteilte Restschuldbefreiung dem Begünstigten ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für diese Person im Allgemeinen existenzielle Bedeutung. Die Verwirklichung dieses Ziels wäre jedoch gefährdet, wenn Wirtschaftsauskunfteien zur Beurteilung der wirtschaftlichen Situation einer Person Daten über eine Restschuldbefreiung speichern und solche Daten verwenden könnten, nachdem sie aus dem öffentlichen Insolvenzregister gelöscht worden sind, da diese Daten bei der Bewertung der Kreditwürdigkeit einer solchen Person stets als negativer Faktor verwendet werden.
Unter diesen Umständen können die Interessen des Kreditsektors, über Informationen hinsichtlich einer Restschuldbefreiung zu verfügen, keine Verarbeitung personenbezogener Daten wie der in den Rechtsstreitigkeiten der Ausgangsverfahren fraglichen nach Ablauf der Frist für die Speicherung der Daten im öffentlichen Insolvenzregister rechtfertigen, so dass die Speicherung dieser Daten durch eine Wirtschaftsauskunftei in Bezug auf den Zeitraum nach der Löschung dieser Daten aus einem öffentlichen Insolvenzregister nicht auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gestützt werden kann.
Was den Zeitraum von sechs Monaten betrifft, in dem die fraglichen Daten auch in diesem öffentlichen Register verfügbar sind, ist festzustellen, dass die Auswirkungen einer parallel zu diesem Zeitraum erfolgenden Speicherung dieser Daten in den Datenbanken solcher Auskunfteien zwar als weniger schwerwiegend angesehen werden können als nach Ablauf der sechs Monate, dass diese Speicherung aber dennoch einen Eingriff in die in den Art. 7 und 8 der Charta verankerten Rechte darstellt. Insoweit hat der Gerichtshof bereits entschieden, dass das Vorliegen derselben personenbezogenen Daten in mehreren Quellen den Eingriff in das Recht der Person auf Achtung des Privatlebens verstärkt (vgl. Urteil vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 86 und 87). Es ist Sache des vorlegenden Gerichts, die in Rede stehenden Interessen und die Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien als auf das unbedingt Notwendige beschränkt angesehen werden kann, wie es die in Rn. 88 des vorliegenden Urteils angeführte Rechtsprechung des Gerichtshofs verlangt.
Was schließlich die Frage des Vorliegens – wie hier – von Verhaltensregeln betrifft, die vorsehen, dass eine Wirtschaftsauskunftei die Daten über eine Restschuldbefreiung nach Ablauf einer Frist von drei Jahren löschen muss, ist darauf hinzuweisen, dass die Verhaltensregeln gemäß Art. 40 Abs. 1 und 2 DSGVO nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse der Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. So können Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird: faire und transparente Verarbeitung; die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen und die Erhebung personenbezogener Daten.
Darüber hinaus wird nach Art. 40 Abs. 5 DSGVO ein Entwurf der Verhaltensregeln der zuständigen Aufsichtsbehörde vorgelegt, die ihn genehmigt, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
Im vorliegenden Fall wurden die Verhaltensregeln, um die es in den Ausgangsverfahren geht, von dem Verband der Wirtschaftsauskunfteien ausgearbeitet und von der zuständigen Aufsichtsbehörde genehmigt.
Obwohl Verhaltensregeln zwar nach Art. 40 Abs. 1 und 2 DSGVO zur ordnungsgemäßen Anwendung dieser Verordnung beitragen und ihre Anwendung präzisieren sollen, können jedoch, wie der Generalanwalt in den Nrn. 103 und 104 seiner Schlussanträge ausgeführt hat, die in solchen Verhaltensregeln festgelegten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nicht von den in Art. 6 Abs. 1 DSGVO festgelegten Bedingungen abweichen.
Daher können Verhaltensregeln, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ergibt, bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden.
Zu Art. 17 DSGVO
Schließlich fragt sich das vorlegende Gericht im Wesentlichen, welche Verpflichtungen eine Wirtschaftsauskunftei nach Art. 17 DSGVO treffen.
Insoweit ist darauf hinzuweisen, dass die betroffene Person nach Art. 17 Abs. 1 Buchst. d DSGVO, auf den sich das vorlegende Gericht bezieht, das Recht hat, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und dass der Verantwortliche verpflichtet ist, personenbezogene Daten unverzüglich zu löschen, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
Sollte das vorlegende Gericht nach seiner Beurteilung der Rechtmäßigkeit der in den Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten zu dem Ergebnis gelangen, dass diese Verarbeitung nicht rechtmäßig ist, wäre daher nach dem klaren Wortlaut dieser Bestimmung der Verantwortliche, im vorliegenden Fall die SCHUFA, verpflichtet, die betreffenden Daten unverzüglich zu löschen. Dies wäre, wie in Rn. 99 des vorliegenden Urteils festgestellt, bei einer Verarbeitung der in Rede stehenden personenbezogenen Daten, die nach Ablauf der Frist von sechs Monaten für die Speicherung der Daten im öffentlichen Insolvenzregister erfolgt, der Fall.
Sollte das vorlegende Gericht in Bezug auf die Verarbeitung, die während des Zeitraums von sechs Monaten, in dem die Daten im öffentlichen Insolvenzregister verfügbar sind, erfolgt, zu dem Ergebnis gelangen, dass die Verarbeitung im Einklang mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO steht, käme Art. 17 Abs. 1 Buchst. c DSGVO zur Anwendung.
Diese Bestimmung sieht das Recht auf Löschung personenbezogener Daten vor, wenn die betroffene Person gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt und keine „vorrangigen berechtigten Gründe für die Verarbeitung“ vorliegen. Nach letzterer Bestimmung hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Unterabs. 1 Buchst. e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Aus einer Zusammenschau dieser Bestimmungen ergibt sich, wie der Generalanwalt in Nr. 93 seiner Schlussanträge ausgeführt hat, dass die betroffene Person über ein Recht verfügt, Widerspruch gegen die Verarbeitung einzulegen, und über ein Recht auf Löschung verfügt, es sei denn, es liegen zwingende schutzwürdige Gründe vor, die im Sinne von Art. 21 Abs. 1 DSGVO die Interessen, Rechte und Freiheiten dieser Person überwiegen, was der Verantwortliche nachweisen muss.
Wenn es dem Verantwortlichen nicht gelingt, einen solchen Nachweis zu erbringen, ist die betroffene Person somit berechtigt, die Löschung dieser Daten auf der Grundlage von Art. 17 Abs. 1 Buchst. c DSGVO zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob ausnahmsweise zwingende schutzwürdige Gründe für die Verarbeitung vorliegen.
Nach alledem sind die Fragen 2 bis 5 wie folgt zu beantworten:
Art. 5 Abs. 1 Buchst. a DSGVO in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht;
Art. 17 Abs. 1 Buchst. c DSGVO ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen;
Art. 17 Abs. 1 Buchst. d DSGVO ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.
Kosten
Für die Beteiligten der Ausgangsverfahren ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.
Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung
ist dahin auszulegen, dass
er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.
Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679
ist dahin auszulegen, dass
die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.
Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679
ist dahin auszulegen, dass
der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.
Arabadjiev
von Danwitz
Xuereb
Kumin
Ziemele
Verkündet in öffentlicher Sitzung in Luxemburg am 7. Dezember 2023.
Der Kanzler
A. Calot Escobar
Der Kammerpräsident
A. Arabadjiev
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Rheinland-Pfalz/Saarland
Persönlicher Ansprechpartner