Open Legal Data
Schlussantrag des Generalanwalts vom Europäischer Gerichtshof - C-312/26
SCHLUSSANTRÄGE DES GENERALANWALTS
RIMVYDAS NORKUS
vom 16. April 2026(1)
Rechtssache C‑205/25
Joachim Lindenberg
gegen
Bayerisches Landesamt für Datenschutzaufsicht
(Vorabentscheidungsersuchen des Bayerischen Verwaltungsgerichts Ansbach [Deutschland])
„ Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 15 – Antrag der betroffenen Person auf Auskunft über ihre personenbezogenen Daten – Art. 77 – Daten in der Akte einer Aufsichtsbehörde, die im Rahmen eines Beschwerdeverfahrens tätig wird – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Art. 23 – Beschränkungen des Auskunftsrechts – Nationale Regelung, die jeglichen Zugang zu den Akten ausschließt “
I. Einleitung
1. Das vorliegende Vorabentscheidungsersuchen des Bayerischen Verwaltungsgerichts Ansbach (Deutschland) nach Art. 267 AEUV hat die Auslegung von Art. 4 Nrn. 7 und 21 sowie der Art. 15, 23 und 77 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2) (im Folgenden: DSGVO) zum Gegenstand.
2. Dieses Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen Herrn Joachim Lindenberg, einem auf Datenschutz spezialisierten Journalisten, und dem Bayerischen Landesamt für Datenschutzaufsicht (Deutschland) (im Folgenden: Landesamt) über die Weigerung dieser Behörde, ihm auf der Grundlage von Art. 15 DSGVO im Rahmen eines Verfahrens, das infolge einer von ihm gegen einen Dritten eingereichten Beschwerde eingeleitet worden war, uneingeschränkten Zugang zu seiner Akte zu gewähren. Das Landesamt begründete die Weigerung mit einer bayerischen Vorschrift, die den Zugang der Öffentlichkeit zu den Akten der Aufsichtsbehörden ausschließt. Auf eine von Herrn Lindenberg erhobene Klage hin gewährte die Behörde schließlich elektronischen Zugang zur Akte, ohne jedoch einen Rechtsfehler einzuräumen, während der Kläger weiterhin die Feststellung der Rechtswidrigkeit der ursprünglichen Ablehnung begehrt. Da die Entscheidung des Rechtsstreits nach Ansicht des vorlegenden Gerichts eine Auslegung der einschlägigen Bestimmungen der DSGVO und eine Prüfung der Vereinbarkeit der bayerischen Rechtsvorschriften mit dem Unionsrecht voraussetzt, hat dieses Gericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof zwei Fragen zur Vorabentscheidung vorzulegen.
3. Der Gerichtshof hat sich zu der Frage zu äußern, ob eine Datenschutzaufsichtsbehörde im Rahmen eines gemäß Art. 77 DSGVO eingeleiteten Beschwerdeverfahrens als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann und inwieweit sie den in Art. 15 DSGVO vorgesehenen Auskunftspflichten unterliegt. Insbesondere wird er aufgefordert zu prüfen, ob das Unionsrecht einer nationalen Regelung entgegensteht, die für betroffene Personen jeglichen Anspruch auf Zugang zur Akte ausschließt. Eine solche Beurteilung wird im Licht von Art. 23 DSGVO, der es aus bestimmten Gründen des Allgemeininteresses gestattet, die in dieser Verordnung vorgesehenen Auskunftspflichten einzuschränken, sowie von Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta), der jeder Person das Recht auf Auskunft über die sie betreffenden erhobenen Daten garantiert, vorgenommen werden müssen. Der Gerichtshof wird insoweit das Erfordernis der Transparenz der Verwaltungstätigkeit einerseits und die Notwendigkeit, die Wirksamkeit von Datenschutzuntersuchungen zu gewährleisten, andererseits gegeneinander abzuwägen haben.
II. Rechtlicher Rahmen
A. Unionsrecht
4. Im Rahmen der vorliegenden Rechtssache sind die Art. 8 und 52 der Charta, Art. 16 AEUV sowie Art. 4 Nrn. 1, 2, 7 und 9 und die Art. 5, 15, 23, 51, 57, 58 und 77 DSGVO relevant.
B. Deutsches Recht
5. Gemäß Art. 18 des Bayerischen Datenschutzgesetzes (im Folgenden: BayDSG) ist das Landesamt Aufsichtsbehörde für nicht öffentliche Stellen.
6. Art. 20 BayDSG sieht vor:
„(1) Jeder kann sich an die Aufsichtsbehörden mit dem Vorbringen wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Durch die Anrufung der Aufsichtsbehörden dürfen der betroffenen Person keine Nachteile entstehen.
(2) Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden bestehen nicht.“
7. In der Gesetzesbegründung zu Art. 20 Abs. 2 BayDSG heißt es, dass diese Vorschrift immer dann zur Anwendung kommt und ein Auskunftsrecht nach Art. 15 DSGVO ausschließt, wenn ein solches Recht gegenüber dem Landesamt in Bezug auf seine Akten und Dateien geltend gemacht wird.
III. Sachverhalt des Ausgangsrechtsstreits, Ausgangsverfahren und Vorlagefragen
8. Herr Lindenberg ist Journalist und betreibt einen Blog, der sich u. a. mit dem Datenschutz beschäftigt. Seit 2021 hat er mehrere Beschwerdeverfahren beim Landesamt eingeleitet.
9. Nachdem Herr Lindenberg am 13. Mai 2022 eine Datenschutzbeschwerde beim Landesamt eingereicht hatte, leitete dieses ein aufsichtliches Beschwerdeverfahren gegen einen Dritten ein. Das Landesamt informierte Herrn Lindenberg mit E‑Mail vom 11. Oktober 2022, dass es in diesem Zusammenhang Datenschutzverstöße des Beschwerdegegners festgestellt habe. Nach Ablauf der Umsetzungsfrist hierfür werde bei erneuten Verstößen des Beschwerdegegners eine kostenpflichtige Verwarnung ausgesprochen. Mit E‑Mail vom selben Tag begehrte Herr Lindenberg die Mitteilung weiterer Details hinsichtlich der vom Landesamt ergriffenen Maßnahmen. Nachdem das Landesamt diesem Begehren nicht nachkam, beantragte Herr Lindenberg mit E‑Mail vom 11. Oktober 2022 eine vollständige Auskunft nach Art. 15 Abs. 1 und 3 DSGVO.
10. Mit E‑Mail und Bescheid vom 20. Oktober 2022 entschied das Landesamt, dass der Antrag auf Auskunft gemäß Art. 15 Abs. 1 und 3 DSGVO abgelehnt werde. Die Ablehnung begründete das Landesamt damit, dass gemäß ausdrücklicher Regelung in Art. 20 Abs. 2 BayDSG Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nicht bestünden.
11. Dagegen erhob Herr Lindenberg beim Bayerischen Verwaltungsgericht Ansbach Klage und beantragte, das Landesamt zu verpflichten, ihm eine Kopie aller Daten in der Akte des am 13. Mai 2022 eingeleiteten Beschwerdeverfahrens zur Verfügung zu stellen.
12. Am 23. Februar 2024 gewährte das Landesamt – allerdings ohne Anerkennung einer entsprechenden Rechtspflicht – elektronisch Einsicht in die Akte des von Herrn Lindenberg angestoßenen Beschwerdeverfahrens.
13. Nunmehr beantragt Herr Lindenberg ausschließlich die Feststellung, dass der Bescheid vom 20. Oktober 2022, mit dem das Landesamt sein Auskunftsersuchen ablehnte, rechtswidrig war.
14. Das vorlegende Gericht bemerkt, dass, wenn ein Beschwerdeführer – wie Herr Lindenberg – nach Art. 77 DSGVO ein Beschwerdeverfahren bei einer Datenschutzaufsichtsbehörde – wie dem Landesamt – einleite, diese Behörde dem Beschwerdeführer als Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 DSGVO gegenübertrete. Teilweise – auch vom Landesamt – werde angenommen, dass es dadurch ausgeschlossen sei, dass die Datenschutzaufsichtsbehörde im Verhältnis zum Beschwerdeführer „Verantwortlicher“ im Sinne von Art. 15 in Verbindung mit Art. 4 Nr. 7 DSGVO sei, und dass dies folglich einem Auskunftsrecht des Beschwerdeführers gegen die Datenschutzaufsichtsbehörde, das sich auf personenbezogene Daten aus dem Beschwerdeverfahren beziehe, von vornherein entgegenstehe.
15. Das vorlegende Gericht geht dagegen davon aus, dass eine Datenschutzaufsichtsbehörde gleichzeitig Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 DSGVO und Verantwortlicher und Anspruchsgegner im Sinne von Art. 15 in Verbindung mit Art. 4 Nr. 7 DSGVO sein könne.
16. Nach Ansicht des vorlegenden Gerichts stellt sich, wenn dies tatsächlich der Fall ist, die Frage, ob ein derart pauschaler Ausschluss des Rechts auf Auskunft über Akten und Dateien der Aufsichtsbehörde, wie ihn Art. 20 Abs. 2 BayDSG vorsieht, den Voraussetzungen genügt, unter denen die in Art. 23 Abs. 1 DSGVO vorgesehene Befugnis zur Regelung von Beschränkungen ausgeübt werden kann.
17. Unter diesen Umständen hat das Bayerische Verwaltungsgericht Ansbach beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist Art. 15 in Verbindung mit Art. 4 Nr. 7 DSGVO dahin gehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 DSGVO, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 DSGVO tätig wird, gleichzeitig im Sinne von Art. 15 DSGVO in Verbindung mit Art. 4 Nr. 7 DSGVO „Verantwortlicher“ und damit auf Grundlage von Art. 15 DSGVO gegenüber der betroffenen Person zur Auskunft verpflichtet ist?
2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird: Ist das Unionsrecht, insbesondere Art. 23 DSGVO, dahin gehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 DSGVO pauschal nicht bestehen?
IV. Verfahren vor dem Gerichtshof
18. Der Vorlagebeschluss vom 19. Februar 2025 ist am 17. März 2025 bei der Kanzlei des Gerichtshofs eingegangen.
19. Das Landesamt, die bulgarische und die lettische Regierung sowie die Europäische Kommission haben innerhalb der in Art. 23 der Satzung des Gerichtshofs der Europäischen Union vorgesehenen Frist schriftliche Erklärungen eingereicht.
20. In der mündlichen Verhandlung vom 22. Januar 2026 haben die Prozessbevollmächtigten von Herrn Lindenberg, des Landesamtes, der bulgarischen Regierung und der Kommission Stellung genommen.
V. Rechtliche Würdigung
A. Einleitende Bemerkungen
21. Die vorliegende Rechtssache wirft eine Grundsatzfrage im Zusammenhang mit dem rechtlichen Status der Aufsichtsbehörden im Hinblick auf die durch die DSGVO zuerkannten Rechte und insbesondere das durch ihren Art. 15 garantierte Auskunftsrecht auf. Es geht darum, zu ermitteln, ob eine Aufsichtsbehörde, wenn sie eine gemäß Art. 77 DSGVO eingereichte Beschwerde untersucht, als „Verantwortlicher“ für die dabei verarbeiteten Daten im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann. Diese Einstufung ist entscheidend, da sie die Anwendbarkeit der Auskunftspflichten, die dem Verantwortlichen entgegengehalten werden können, bedingt und in einem weiteren Sinne die Frage nach dem Gleichgewicht zwischen dem Schutz individueller Rechte und den Besonderheiten der Wahrnehmung von Aufsichtsaufgaben aufwirft, die auf Entscheidungsunabhängigkeit, Vertraulichkeit der Ermittlungen und Wirksamkeit der Untersuchungsbefugnisse beruhen.
22. Sollte der Gerichtshof zu dem Schluss kommen, dass eine Aufsichtsbehörde grundsätzlich zur Einhaltung von Art. 15 DSGVO verpflichtet sein kann, würde sich sodann eine zweite Frage normativer Art im Zusammenhang mit der Vereinbarkeit eines allgemeinen und absoluten Ausschlusses des Anspruchs auf Zugang zu Verwaltungsakten mit dem Rechtsrahmen der Union stellen. Eine solche nationale Regelung ist anhand der Anforderungen von Art. 23 DSGVO zu prüfen, der mögliche Beschränkungen der durch die DSGVO garantierten Rechte streng regelt und sie von der Erfüllung kumulativer Voraussetzungen in Bezug auf die Rechtsgrundlage, die Notwendigkeit, die Verhältnismäßigkeit und die Wahrung der von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen abhängig macht. In diese Prüfung müssen auch die Garantien des Primärrechts – insbesondere diejenigen, die mit der Achtung der Grundrechte und der Wirksamkeit von Rechtsbehelfen zusammenhängen – einbezogen werden.
23. Die rechtliche Würdigung wird sich somit in zwei aufeinanderfolgende Schritte gliedern. Zum einen wird festgestellt werden müssen, ob und inwieweit eine Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens einem „Verantwortlichen“ gleichgestellt werden kann, so dass sie den in der DSGVO festgelegten Auskunftspflichten unterliegt(3). Zum anderen – und nur im Fall einer bejahenden Antwort – wird zu prüfen sein, ob ein allgemeiner, undifferenzierter und präventiver Ausschluss des Rechts auf Auskunft über die Akten der Aufsichtsbehörden im Hinblick auf die Erfordernisse der Verwaltungstransparenz, des Datenschutzes, der institutionellen Unabhängigkeit und der Wirksamkeit der Kontrollmechanismen, die gegeneinander abgewogen werden müssen, ohne dass eines dieser Erfordernisse seines Inhalts beraubt wird, mit der harmonisierten Regelung der DSGVO vereinbar ist(4).
B. Zur ersten Frage
1. Zur Einstufung einer Aufsichtsbehörde als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO
24. Was die etwaige Einstufung einer Aufsichtsbehörde als „Verantwortlicher“ betrifft, die Gegenstand der ersten Vorlagefrage ist, ist einleitend auf die Legaldefinition dieses Begriffs, wie sie in Art. 4 Nr. 7 DSGVO festgelegt ist, hinzuweisen. Nach dieser Vorschrift gilt als „Verantwortlicher“ jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es sei insoweit daran erinnert, dass dieser Begriff nach ständiger Rechtsprechung des Gerichtshofs weit ausgelegt wird(5).
25. Als Erstes ist festzustellen, dass diese Legaldefinition ausdrücklich auf „Behörden“ abstellt. Bereits der Wortlaut von Art. 4 Nr. 7 DSGVO schließt es daher keineswegs aus, dass eine Aufsichtsbehörde als „Verantwortlicher“ eingestuft werden kann. Der Unionsgesetzgeber hat bewusst darauf verzichtet, zwischen privaten und öffentlichen Stellen zu unterscheiden, wovon mehrere Erwägungsgründe zeugen, in denen ausdrücklich auf die Verarbeitung personenbezogener Daten durch Behörden Bezug genommen wird. Darüber hinaus kann die Tatsache, dass eine Aufsichtsbehörde in Art. 4 Nr. 21 DSGVO als eine von einem Mitgliedstaat gemäß Art. 51 eingerichtete unabhängige staatliche Stelle definiert wird, in Anbetracht der weiten und funktionalen Bedeutung, die dem Begriff „Verantwortlicher“ durch die Verordnung beigemessen wird(6), nicht so ausgelegt werden, dass sie einer etwaigen Einstufung dieser Behörde als Verantwortlicher per se entgegensteht.
26. Als Zweites ist anzumerken, dass eine solche Aufsichtsbehörde, wenn sie die ihr gemäß Art. 77 DSGVO übertragenen Aufgaben – u. a. die Untersuchung von Beschwerden über etwaige Verstöße gegen Datenschutzvorschriften – wahrnimmt, selbst personenbezogene Daten zu verarbeiten hat. Die Behörde nimmt diese Daten nicht lediglich entgegen; sie strukturiert, analysiert, speichert und verwendet sie im Rahmen der autonomen Ausübung der ihr durch die DSGVO zuerkannten Untersuchungs- und Sanktionsbefugnisse. Solche Vorgänge fallen meines Erachtens in den Anwendungsbereich von Art. 4 Nr. 2 DSGVO, der den Begriff „Verarbeitung“ in einem weiten Sinne und losgelöst von jedem besonderen Kontext begreift und sämtliche in Bezug auf Daten vorgenommene Vorgänge erfasst.
27. Zur Untermauerung der vorstehenden Analyse werde ich in den folgenden Ausführungen zum einen die wesentlichen Merkmale des in Art. 77 DSGVO vorgesehenen Beschwerdeverfahrens und zum anderen die Kategorien personenbezogener Daten darlegen, die die Aufsichtsbehörden in diesem Rahmen regelmäßig und konkret zu verarbeiten haben. Diese Darstellung wird ein besseres Verständnis der Art und des Umfangs der Aufgaben ermöglichen, die von den Aufsichtsbehörden bei der Durchführung eines solchen Verfahrens wahrgenommen werden.
a) Wesentliche Merkmale des in Art. 77 DSGVO vorgesehenen „Beschwerdeverfahrens“
28. Das durch Art. 77 DSGVO eingerichtete Beschwerdeverfahren(7) stellt einen zentralen Mechanismus des Unionssystems zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten dar. Es trägt zur operativen Umsetzung des in Art. 8 Abs. 3 der Charta verankerten Grundsatzes bei, wonach die Einhaltung der Datenschutzvorschriften von einer unabhängigen Stelle überwacht werden muss. Der Gerichtshof hat wiederholt hervorgehoben, dass dieser Kontrollmechanismus nicht rein formaler Natur ist, sondern den wirksamen und tatsächlichen Schutz der Grundrechte gewährleisten soll(8).
29. Art. 77 Abs. 1 DSGVO gewährt jeder betroffenen Person ohne besonderes Formerfordernis und ohne Kostenrisiko das Recht auf Beschwerde u. a. bei der Aufsichtsbehörde des Mitgliedstaats ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Da dieses Recht ein wesentlicher Bestandteil des durch die Verordnung geschaffenen Schutzsystems ist, darf es nicht auf eine Weise ausgelegt oder angewandt werden, die seine Ausübung praktisch unmöglich macht oder übermäßig erschwert(9).
30. Hervorzuheben ist, dass die Einreichung einer Beschwerde der Aufsichtsbehörde nicht bloß eine allgemeine Prüfungsbefugnis einräumt, sondern ihr die konkrete Verpflichtung auferlegt, die Angelegenheit umfassend, sorgfältig und unparteiisch zu untersuchen. Aus der Rechtsprechung des Gerichtshofs geht nämlich hervor, dass jede Aufsichtsbehörde gemäß Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet ist, sich mit den in ihrem Hoheitsgebiet eingereichten Beschwerden zu befassen, die Art der Beschwerden in angemessenem Umfang zu untersuchen und sie mit aller gebotenen Sorgfalt zu bearbeiten(10).
31. Daraus folgt, dass eine Aufsichtsbehörde nicht allein aus Gründen der Verwaltungsökonomie oder aus Opportunitätserwägungen von der Bearbeitung einer Beschwerde absehen darf. Ebenso ist es ihr untersagt, ihre Tätigkeit auf eine informelle Schlichtung oder eine reine Vermittlerrolle zu beschränken. Vielmehr ist sie verpflichtet, den behaupteten Verstoß in tatsächlicher und rechtlicher Hinsicht zu prüfen und die ihr durch das Unionsrecht verliehenen Abhilfebefugnisse gegebenenfalls wirksam auszuüben(11).
32. Die in Art. 58 DSGVO aufgeführten Befugnisse sind nach der Rechtsprechung im Licht ihres Zwecks, nämlich der Gewährleistung der uneingeschränkten Wirksamkeit der DSGVO, auszulegen. Der Gerichtshof hat nachdrücklich auf die Verpflichtung der Aufsichtsbehörden hingewiesen, bei einem festgestellten Verstoß „geeignete und erforderliche“ Abhilfemaßnahmen zu ergreifen und sämtliche ihnen zur Verfügung stehende Instrumente zu nutzen. Dieses Erfordernis umfasst auch repressive Maßnahmen, da Untätigkeit die praktische Wirksamkeit der Verordnung beeinträchtigen könnte(12).
33. Art. 77 Abs. 2 DSGVO schreibt außerdem die Unterrichtung des Beschwerdeführers über den Stand und die Ergebnisse des Verfahrens vor. Diese Verpflichtung ist nur dann erfüllt, wenn sich anhand der Antwort feststellen lässt, dass die Beschwerde effektiv in tatsächlicher und rechtlicher Hinsicht geprüft worden ist, und sie die für eine wirksame gerichtliche Kontrolle erforderlichen Angaben enthält. Das Verfahren darf sich daher nicht auf eine rein formale Entscheidung beschränken, sondern muss zu einer ausführlichen, ordnungsgemäß begründeten und von dem gemäß Art. 78 Abs. 1 DSGVO angerufenen Gericht überprüfbaren Beurteilung führen. Jeder Beschluss einer Aufsichtsbehörde über eine Beschwerde unterliegt nämlich einer vollständigen inhaltlichen Überprüfung durch ein Gericht(13).
34. Insgesamt betrachtet handelt es sich bei dem in Art. 77 DSGVO vorgesehenen Verfahren nicht um einen einfachen Verwaltungsakt, sondern um einen eigenständigen Rechtsweg, der durch das Unionsrecht eingerichtet worden ist und sowohl zum Schutz der individuellen Rechte als auch zur objektiven Wahrung der Rechtsordnung im Bereich des Datenschutzes beiträgt. Der Gerichtshof erkennt den Aufsichtsbehörden den Status institutioneller Garanten eines Systems zum strukturellen Schutz der Grundrechte zu, deren Aufgabe sich nicht auf die passive Entgegennahme von Beschwerden beschränkt, sondern die aktive Anwendung der Datenschutzvorschriften beinhaltet.
b) „Verarbeitung“ personenbezogener Daten durch eine Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens
35. Nachdem die wesentlichen Merkmale des Beschwerdeverfahrens in Erinnerung gerufen worden sind, ist zu prüfen, inwieweit die Tätigkeit einer Aufsichtsbehörde eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Dieser Begriff bezeichnet entsprechend seiner Definition „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
36. In diesem Zusammenhang ist hervorzuheben, dass eine Aufsichtsbehörde im Rahmen eines Verfahrens nach Art. 77 DSGVO nicht lediglich Daten entgegennimmt. Vielmehr führt sie zwecks Erfüllung ihrer gesetzlichen Aufgabe der Prüfung, Untersuchung und Kontrolle eine Reihe eigenständiger und strukturierter Vorgänge aus. Die Verarbeitung beginnt nämlich bereits mit der Einreichung der Beschwerde, die Daten über den Beschwerdeführer und gegebenenfalls den betroffenen Verantwortlichen oder identifizierbare Dritte enthält. Diese Informationen – die unter den Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO fallen – werden erfasst, in eine Akte aufgenommen und in den internen Systemen der Aufsichtsbehörde gespeichert, was bereits materielle und organisatorische Vorgänge beinhaltet, die eine „Verarbeitung“ darstellen(14).
37. Derartige Vorgänge fallen unter die den Aufsichtsbehörden gemäß Art. 57 Abs. 1 DSGVO übertragenen Aufgaben, wie sie in den vorliegenden Schlussanträgen dargelegt worden sind. Zu diesen Aufgaben gehören u. a. die Prüfung von Beschwerden (Buchst. f) sowie die Ausübung von Untersuchungs- und Entscheidungsbefugnissen (Buchst. h). Bei der Erfüllung dieser Aufgaben handeln die Behörden in einem durch das Unionsrecht garantierten Rahmen funktions‑ und entscheidungsbezogener Autonomie, die konkret in der Art und Weise zum Ausdruck kommt, in der Beschwerden geprüft und die sich daraus ergebenden Aufsichtsbefugnisse ausgeübt werden.
38. Im Laufe des Verfahrens führt die Aufsichtsbehörde eine sachliche und rechtliche Prüfung der ihr vorgelegten Informationen durch. Sie erhebt, organisiert, analysiert und bewertet die Daten im Hinblick auf den anwendbaren Rechtsrahmen. Weitere Verarbeitungsvorgänge finden darüber hinaus statt, wenn sie beim Verantwortlichen – gegen den sich eine Beschwerde richtet und der von einer Untersuchung betroffen ist – zusätzliche Informationen anfordert oder wenn sie zusätzliche Dokumente einsieht, die selbst personenbezogene Daten enthalten könnten. Diese Informationen werden dann von der Aufsichtsbehörde entgegengenommen, erfasst, analysiert und gespeichert. Auch eine Verknüpfung solcher Informationen mit etwaigen bereits vorhandenen Akten oder Informationen könnte als „Verarbeitung“ angesehen werden.
39. Die so verarbeiteten Daten werden zum Zweck der selbständigen Ausübung der Untersuchungs- und Entscheidungsbefugnisse der Aufsichtsbehörde verwendet(15). Sie dienen der Feststellung des Sachverhalts, seiner rechtlichen Einordnung, der Bewertung der in Betracht kommenden Abhilfemaßnahmen und gegebenenfalls dem Erlass verbindlicher Entscheidungen oder Anordnungen. Darüber hinaus werden sie im Rahmen der Verfahrensmitteilungen an die Parteien – insbesondere bei der Unterrichtung des Beschwerdeführers oder des Verantwortlichen über den Ausgang des Verfahrens – herangezogen.
40. Nach alledem ist die Aufsichtsbehörde nicht als bloßer „Empfänger“ von Daten im Sinne von Art. 4 Nr. 9 DSGVO anzusehen. Da sie eigenständig über die Modalitäten des Erfassens, der Analyse, der Organisation und der Verwendung der betreffenden Daten zwecks Erfüllung der ihr gesetzlich übertragenen Aufgaben entscheidet, wird sie als Betreiber tätig, der eine „Verarbeitung“ gerade im Sinne von Art. 4 Nr. 2 DSGVO durchführt. Dieser Aspekt soll im folgenden Abschnitt einer eingehenderen Prüfung unterzogen werden.
2. Zur Befugnis der Aufsichtsbehörde, „über die Zwecke und Mittel der Verarbeitung [zu entscheiden]“
41. Damit eine Aufsichtsbehörde als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann, müsste sie ferner mit der Befugnis ausgestattet sein, über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu entscheiden.
42. Wie zuvor ausgeführt, ist die Rolle der Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens gemäß Art. 77 DSGVO nicht auf die rein passive Entgegennahme von Informationen beschränkt. Sie entscheidet in Wirklichkeit über den Zweck der Verarbeitung, indem sie beschließt, dass die Daten für die Prüfung eines etwaigen Verstoßes gegen die Datenschutzvorschriften, die Feststellung des Sachverhalts sowie gegebenenfalls die Vorbereitung und Verabschiedung von Kontrollmaßnahmen verwendet werden. Diese Entscheidung über den Zweck ist nicht nur durch das Gesetz vorgegeben, sondern erfordert auch eine eigenständige Konkretisierung durch die Behörde im Einzelfall, insbesondere hinsichtlich des Umfangs der Kontrolle, des genauen Untersuchungsgegenstands und der rechtlichen Einordnung der erhobenen Rügen(16).
43. Die Aufsichtsbehörde entscheidet darüber hinaus in wesentlichen Punkten eigenständig über die Mittel der Verarbeitung. Sie legt fest, welche personenbezogenen Daten erhoben werden, in welcher Form sie erfasst, geordnet und gespeichert werden, nach welchen Kriterien die Akten angelegt, die digitalen Archive organisiert oder die Beweismittel katalogisiert werden, und welche technischen oder organisatorischen Verfahren für die Analyse, die Weiterverarbeitung oder die interne Bereitstellung der Daten eingesetzt werden. Auch entscheidet sie darüber, ob Auskunftsersuchen an denjenigen zu richten sind, gegen den sich die Beschwerde richtet, welche zusätzlichen Informationen angefordert werden müssen und nach welchen Methoden diese miteinander verknüpft und wie lange sie gespeichert werden sollen. Eine solche Auswahl- und Organisationsbefugnis geht offensichtlich über die bloße Ausführung einer Hilfs- oder untergeordneten Aufgabe hinaus.
44. Die tatsächlich durchgeführten Verarbeitungsvorgänge bestätigen diese Entscheidungsautonomie. Die Behörde erfasst die Beschwerde, legt eigene Akten an, speichert und organisiert die erhaltenen sowie die von ihr erhobenen Daten, nimmt deren tatsächliche und rechtliche Bewertung vor, fordert zusätzliche Unterlagen an, protokolliert die Untersuchungshandlungen und trifft auf der Grundlage ihrer eigenen Analyse verfahrensrechtliche und materielle Entscheidungen. Die Verarbeitung dient somit nicht nur der technischen Führung einer Verwaltungsakte, sondern bildet auch die Grundlage für eine eigenständige Ermittlungs‑, Beurteilungs- und Entscheidungstätigkeit, die das Unionsrecht ausschließlich der Aufsichtsbehörde überträgt.
45. Der Umstand, dass diese Tätigkeit zur Wahrnehmung einer gesetzlichen Aufgabe gehört, lässt die Eigenschaft als „Verantwortlicher“ nicht entfallen. Der Gerichtshof hat mehrfach darauf hingewiesen, dass Behörden als „Verantwortliche“ eingestuft werden können, wenn sie über einen Entscheidungsspielraum hinsichtlich der konkreten Modalitäten der Verarbeitung verfügen(17). Insoweit ist zu bemerken, dass das Landesamt, wie es in der mündlichen Verhandlung selbst anerkannt hat, bei der Festlegung seiner Aufgaben – auch im Rahmen der Bearbeitung von Beschwerden(18) – über einen Beurteilungsspielraum verfügt, wobei dieser Spielraum Ausdruck seiner Autonomie ist.
46. Auch eine Einstufung als „Auftragsverarbeiter“ ist in Ermangelung einer Unterordnung hinsichtlich der Entscheidung über die Zwecke und Mittel auszuschließen, da die Behörde nicht auf Weisung eines Dritten, sondern in Ausübung ihrer eigenen Befugnisse tätig wird. Insbesondere handelt die Aufsichtsbehörde keineswegs im Namen des von der Beschwerde betroffenen Verantwortlichen, sondern übt eine hoheitliche Gewalt aus, die ihr verliehen worden ist, um die Einhaltung des Unionsrechts sicherzustellen.
47. Auch wenn die betreffende Verarbeitung in der Regel auf Art. 6 Abs. 1 Buchst. e in Verbindung mit Art. 57 Abs. 1 Buchst. f und h DSGVO beruht, gewährleistet das Vorliegen einer Rechtsgrundlage lediglich die Rechtmäßigkeit der Verarbeitung, ohne die Eigenschaft als „Verantwortlicher“ auszuschließen. Im Gegenteil: Die Tatsache, dass das Gesetz der Behörde die Ausführung von Aufsichtsaufgaben überträgt, bestätigt, dass diese die Daten in Erfüllung eigener gesetzlicher Verpflichtungen und nach von ihr selbst festgelegten Modalitäten verarbeitet. Als „Verantwortlicher“ unterliegt sie somit grundsätzlich weiterhin den allgemeinen Pflichten nach der DSGVO, insbesondere den in Art. 5 genannten Grundsätzen und den in Kapitel III DSGVO aufgeführten Rechten von Personen, sofern diese nicht im Einklang mit Art. 23 DSGVO durch eine hinreichend klare und verhältnismäßige Rechtsvorschrift wirksam beschränkt worden sind.
48. Die in Art. 52 DSGVO verankerte und im 117. Erwägungsgrund bekräftigte Unabhängigkeit der Aufsichtsbehörden erfordert deren Einstufung als „Verantwortliche“ für Vorgänge im Zusammenhang mit personenbezogenen Daten, die sie in Ausübung ihrer gesetzlichen Aufgaben durchführen. Nur eine autonome Entscheidung über die Zwecke und Mittel der betreffenden Verarbeitungen, die mit einer sich daraus ergebenden Verantwortung einhergeht, ermöglicht es ihnen, ihre Aufsichts- und Durchsetzungsbefugnisse in völliger Unabhängigkeit gegenüber den von ihnen beaufsichtigten Stellen auszuüben. Würden sie im Rahmen der Bearbeitung von Beschwerden als bloße Ausführende von durch Dritte festgelegten Zwecken betrachtet, würde dies ihre institutionelle Autonomie beeinträchtigen, sie in ein Verhältnis der Abhängigkeit gegenüber den überprüften Verantwortlichen bringen und das im Unionsrecht vorgesehene Verantwortungserfordernis seines Inhalts entleeren. Die Aufsichtsbehörde muss somit selbst die Verantwortung für die im Beschwerdeverfahren durchgeführten Verarbeitungen personenbezogener Daten übernehmen, wobei die in der DSGVO vorgesehenen Rechte der betroffenen Personen ihr gegenüber uneingeschränkt gelten(19).
49. Schließlich wäre, würde die Aufsichtsbehörde im Rahmen der Bearbeitung von Beschwerden nicht als „Verantwortlicher“ eingestuft, die Person, deren Daten verarbeitet werden, in Bezug auf einen zentralen Gesichtspunkt dieser Verarbeitung weitgehend schutzlos. Die in den Art. 12 bis 22 DSGVO vorgesehenen Rechte der betroffenen Personen, insbesondere das in Art. 15 genannte Auskunftsrecht, können nämlich nur gegenüber dem Verantwortlichen ausgeübt werden. Ohne eine solche Einstufung könnte die betroffene Person weder in Erfahrung bringen, welche Daten die Behörde im Rahmen des Beschwerdeverfahrens erhebt und verarbeitet, noch eine Berichtigung, Löschung oder Beschränkung dieser Daten verlangen. Von der Behörde vorgenommene Datenverarbeitungen wären so jeglichem Transparenz- und Verantwortungserfordernis entzogen, obwohl die Behörde gerade dafür zuständig ist, den Schutz der Rechte der betroffenen Personen zu gewährleisten. Eine Nichteinstufung als „Verantwortlicher“ würde daher eine strukturelle Schutzlücke schaffen und der betroffenen Person in ihrem Verhältnis zur Aufsichtsbehörde die in der DSGVO vorgesehenen grundlegenden Garantien vorenthalten(20).
50. Daraus folgt, dass eine Aufsichtsbehörde im Rahmen der Bearbeitung von gemäß Art. 77 DSGVO eingereichten Beschwerden über die Zwecke und Mittel der Verarbeitung entscheidet und nicht lediglich von einem Dritten festgelegte Daten entgegennimmt oder verwaltet. Sie handelt als eigenständiger Akteur, der personenbezogene Daten als Grundlage für hoheitliche Entscheidungen erhebt, organisiert, analysiert und verwendet. Sie ist daher als „Verantwortlicher“ im Sinne der weit gefassten Definition in Art. 4 Nr. 7 DSGVO einzustufen(21).
51. Der Vollständigkeit halber ist zu bemerken, dass die Tatsache, dass der Unionsgesetzgeber den Fall, dass eine Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens gleichzeitig als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO tätig wird, nicht ausdrücklich vorgesehen hat, kein stichhaltiges Argument darstellt, das einer solchen Einstufung entgegenstehen könnte. Entscheidend ist vielmehr die Frage, ob die Behörde die materiellen Voraussetzungen dieser Vorschrift erfüllt. Wie aus der vorstehenden Würdigung hervorgeht, ist dies vorliegend offensichtlich der Fall.
52. In diesem Zusammenhang kann auch das Argument des Landesamtes, wonach einige Bestimmungen der DSGVO notwendigerweise eine strikte Unterscheidung zwischen Aufsichtsbehörde einerseits und „Verantwortlichem“ andererseits voraussetzten, keinen Erfolg haben. Diese Bestimmungen beziehen sich ausschließlich auf den vom Unionsgesetzgeber ins Auge gefassten grundsätzlichen Fall, dass beide Rollen nicht miteinander verschmelzen. Sie schließen es jedoch nicht aus, dass eine Aufsichtsbehörde unter bestimmten Umständen – wie den im Ausgangsverfahren in Rede stehenden – gleichzeitig die Voraussetzungen für eine Einstufung als „Verantwortlicher“ erfüllen kann.
53. Soweit einige Bestimmungen der DSGVO eine „Zusammenarbeit“ bzw. „Konsultation“ zwischen dem „Verantwortlichen“ und der Aufsichtsbehörde vorsehen – u. a. in den Art. 31 und 36 –, lässt sich ein etwaiger Konflikt, der sich aus einer Überschneidung dieser Rollen ergeben könnte, durch eine teleologische Auslegung der Verordnung lösen. Eine solche Auslegung setzt voraus, dass die internen Verfahren der Aufsichtsbehörde so organisiert und koordiniert werden, dass die tatsächliche Verwirklichung der mit den betreffenden Bestimmungen verfolgten Ziele gewährleistet ist.
3. Zum Bestehen eines Auskunftsrechts des Beschwerdeführers gemäß Art. 15 DSGVO
54. Wie in den vorliegenden Schlussanträgen ausgeführt worden ist, bringt die Einstufung der Aufsichtsbehörde als „Verantwortlicher“ deren Verpflichtung mit sich, die Achtung der den betroffenen Personen durch Kapitel III der DSGVO zuerkannten Rechte sicherzustellen. Zu diesen Rechten gehört insbesondere das in Art. 15 der Verordnung verankerte Auskunftsrecht.
55. Im Rahmen eines gemäß Art. 77 DSGVO eingeleiteten Verfahrens gilt der Beschwerdeführer grundsätzlich auch als „betroffene Person“ im Sinne der Verordnung. In dieser Eigenschaft kann er von der Aufsichtsbehörde eine Bestätigung verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Bei einer positiven Antwort umfasst das Auskunftsrecht darüber hinaus sämtliche in Art. 15 Abs. 1 Buchst. a bis h DSGVO erschöpfend aufgeführten Informationen, darunter u. a. die Verarbeitungszwecke, die Kategorien von Daten, die verarbeitet werden, die Empfänger oder Kategorien von Empfängern, die Dauer der Speicherung sowie Informationen über die Rechte der betroffenen Person.
a) Recht auf Erhalt einer „Kopie“ gemäß Art. 15 Abs. 3 DSGVO
56. Das Auskunftsrecht beinhaltet u. a. das Recht der betroffenen Person, gemäß Art. 15 Abs. 3 DSGVO eine Kopie der Daten zu erhalten. Diese Vorschrift verpflichtet den Verantwortlichen, dem Betroffenen eine Kopie seiner personenbezogenen Daten in verständlicher Form zur Verfügung zu stellen, damit er den Umfang und die Modalitäten ihrer Verarbeitung genau nachvollziehen kann. Der Zweck dieses Rechts besteht darin, die betroffene Person in die Lage zu versetzen, zu überprüfen, welche sie betreffenden Daten verarbeitet werden, deren Quelle zu identifizieren, die Verarbeitungszwecke zu verstehen und die etwaigen Empfänger der Daten zu kennen(22).
57. Der Gerichtshof hat entschieden, dass die Kopie unter Bedingungen bereitgestellt werden muss, die eine wirksame Kontrolle der Rechtmäßigkeit der Verarbeitung und die sinnvolle Ausübung der übrigen in der DSGVO verankerten Rechte ermöglichen(23). Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die darin enthaltenen personenbezogenen Daten; worauf es ankommt, ist, dass diese Daten vollständig, klar und in einer Weise übermittelt werden, die ihre Bedeutung wiedergibt. Um die Wirksamkeit des Rechts auf Erhalt einer Kopie zu gewährleisten, kann sich die Reproduktion von Auszügen aus Dokumenten – oder gar von ganzen Dokumenten – oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen(24).
58. Der Umfang dieses Rechts bleibt jedoch streng durch dessen Funktion begrenzt. Es erstreckt sich nur auf die „personenbezogenen Daten“ der betroffenen Person und umfasst alle Informationen, die sich im Sinne von Art. 4 Nr. 1 DSGVO auf sie beziehen oder ihre Identifizierung ermöglichen. Ist der Kontext, in dem diese Daten erscheinen, für ihr umfassendes Verständnis notwendig, kann die Auskunftspflicht die Übermittlung eines geeigneten Auszugs oder einer kontextbezogenen Darstellung umfassen, soweit das zur Erfüllung der Transparenzanforderungen erforderlich ist. Das Recht auf Erhalt einer Kopie ist daher ein zentraler Bestandteil des durch die DSGVO eingeführten Mechanismus der informationellen Selbstbestimmung, da es der betroffenen Person eine substanzielle Kontrolle über die Verarbeitung ihrer Daten garantiert und es ihr ermöglicht, ihre Konformität mit den Anforderungen des Unionsrechts zu überprüfen.
b) Art. 15 DSGVO sieht kein „allgemeines Recht auf Zugang zur Verwaltungsakte“ vor
59. Dieses in Art. 15 DSGVO vorgesehene Auskunftsrecht, das der Regelung für den Schutz personenbezogener Daten eigen ist, kann jedoch weder mit einem allgemeinen Recht auf Zugang zur Verwaltungsakte noch mit einem Erfordernis administrativer Transparenz von allgemeiner Tragweite gleichgesetzt werden. Die besagte Vorschrift zielt ausschließlich darauf ab, die Transparenz von Verarbeitungen zu gewährleisten, damit die betroffene Person deren Rechtmäßigkeit kontrollieren und die sich daraus ergebenden Rechte – u. a. die Rechte auf Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung oder Widerspruch – wirksam ausüben kann(25). Sie verankert hingegen weder ein allgemeines Recht auf Zugang zu Informationen, die sich im Besitz der Verwaltung befinden, noch ein Recht auf Einsichtnahme in interne Dokumente und schon gar kein Recht auf Offenlegung von Elementen, die Teil des internen Beratungs- oder Entscheidungsprozesses der Behörde sind. Dies wird deutlich, wenn man das in Art. 15 DSGVO vorgesehene Auskunftsrecht mit den übrigen Zugangsrechten vergleicht, die im Unionsrecht und in den nationalen Rechtsvorschriften verankert sind.
60. Erstens dienen Art. 15 und Art. 77 Abs. 2 DSGVO unterschiedlichen Zwecken und müssen daher streng auseinandergehalten werden. Art. 77 Abs. 2 begründet ein Verfahrensrecht auf Unterrichtung über den Stand und die Ergebnisse der Beschwerdebearbeitung, verleiht aber kein Recht auf Zugang zu Daten oder Unterlagen auf der Grundlage der Vorschriften über den Datenschutz. Während Art. 15 DSGVO darauf abzielt, die Kontrolle des Einzelnen über seine eigenen personenbezogenen Daten zu gewährleisten, bezieht sich Art. 77 Abs. 2 somit auf das Erfordernis einer Verfahrenstransparenz bei der behördlichen Bearbeitung von Beschwerden. Diese Vorschriften, die in ihrem Gegenstand und ihrer Tragweite autonom sind, dürfen nicht miteinander verwechselt oder gegeneinander ausgetauscht werden. Es handelt sich um unabhängige rechtliche Regelungen, die unterschiedlichen normativen Logiken folgen, eigenen Ausübungsbedingungen unterliegen und sich nicht überschneiden oder gegenseitig ersetzen sollen.
61. Zweitens wird mit Art. 15 DSGVO ausschließlich ein Recht auf Auskunft über personenbezogene Daten eingeführt und weder ein Recht auf Zugang zur Verwaltungsakte noch ein Recht auf Einsichtnahme in Dokumente verankert, die sich im Besitz der Behörde befinden(26). Sein sachlicher Anwendungsbereich beschränkt sich auf die Weitergabe personenbezogener Daten, die Gegenstand einer Verarbeitung sind, und bezieht sich weder auf die administrative Transparenz noch auf den Zugang zu internen Entscheidungsprozessen. Das Recht auf Akteneinsicht verbleibt daher – vorbehaltlich sektorspezifischer Bestimmungen des Unionsrechts – in der normativen Zuständigkeit der Mitgliedstaaten, wo es im Allgemeinen Rechtsvorschriften über das allgemeine Verwaltungsverfahren, besonderen Verfahrensregelungen, Gesetzen über die Informationsfreiheit und Transparenz oder besonderen berufs- oder sektorspezifischen Vorschriften unterliegt(27).
62. Folglich begründet Art. 15 DSGVO kein Recht auf Übermittlung der Verwaltungsakte oder Einsichtnahme in diese Akte als solche. Insbesondere erstreckt sich der Anwendungsbereich des Auskunftsrechts nicht auf interne Rechtsanalysen, Stellungnahmen, Anmerkungen, Dienstvermerke, vorbereitende Dokumente oder ganz allgemein auf Elemente, die Teil des internen Verfahrens zur Ausarbeitung oder Begründung der Verwaltungsentscheidung sind. Enthält ein Dokument, das sich im Besitz der Behörde befindet, personenbezogene Daten über den Beschwerdeführer, beschränkt sich die Auskunftspflicht auf die Übermittlung dieser Daten als solcher und umfasst nicht die vollständige Herausgabe oder Vervielfältigung der sie enthaltenden Dokumentation. Schließlich fallen Informationen, die in keinem direkten oder indirekten, eine Identifizierung erlaubenden Zusammenhang mit der betroffenen Person stehen, naturgemäß nicht in den sachlichen Anwendungsbereich von Art. 15 DSGVO.
63. Ferner ist darauf hinzuweisen, dass das in Art. 15 DSGVO vorgesehene Auskunftsrecht gemäß Art. 23 Abs. 1 DSGVO bestimmten Beschränkungen unterliegen kann, sofern die darin genannten Voraussetzungen erfüllt sind. Dieser Aspekt ist Gegenstand der zweiten Vorlagefrage, auf die ich im folgenden Abschnitt eingehen werde.
4. Zwischenergebnis
64. In Anbetracht der vorstehenden Erwägungen ist meiner Ansicht nach auf die erste Frage zu antworten, dass Art. 15 in Verbindung mit Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass eine Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 DSGVO, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß Art. 77 DSGVO tätig wird, auch die Eigenschaft eines „Verantwortlichen“ im Sinne der DSGVO aufweist und somit verpflichtet ist, der betroffenen Person das in Art. 15 DSGVO vorgesehene Auskunftsrecht zu garantieren.
C. Zur zweiten Frage
1. Beschränkungen des Rechts auf Auskunft über personenbezogene Daten im Sinne von Art. 23 DSGVO
65. Mit seiner zweiten Frage ersucht das vorlegende Gericht um Klärung des Verhältnisses zwischen Art. 23 DSGVO und einer nationalen Vorschrift, die – wie Art. 20 Abs. 2 BayDSG – allgemein jegliches Recht auf Auskunft oder Einsichtnahme bei der Datenschutzaufsichtsbehörde ausschließt. Die Beantwortung dieser Frage erfordert eine eingehende Analyse der Systematik der Verordnung, wie sie sich aus deren Wortlaut, Zweck und einschlägigen Erwägungsgründen ergibt, sowie die Anwendung der vom Gerichtshof entwickelten Grundsätze für mögliche Beschränkungen der Rechte der betroffenen Personen.
66. Art. 23 DSGVO sieht vor, dass durch Gesetzgebungsmaßnahmen der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, u. a. das in Art. 15 garantierte Auskunftsrecht eingeschränkt werden kann, sofern eine solche Einschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, um die Verwirklichung eines der unter den Buchst. a bis j dieser Vorschrift aufgeführten legitimen Ziele zu gewährleisten. Art. 23 Abs. 1 DSGVO darf jedoch nicht so ausgelegt werden, dass er den nationalen Gesetzgeber ermächtigen würde, die Art. 12 bis 22 DSGVO nach Belieben durch eigene Regelungen zu ersetzen. Mit der erstgenannten Vorschrift wird vielmehr ein abschließender Katalog von Öffnungsklauseln festgelegt, die es dem nationalen Gesetzgeber aus den genau aufgeführten Gründen gestatten, Einschränkungen der Rechte der betroffenen Personen und der dem Verantwortlichen nach den genannten Artikeln obliegenden Pflichten vorzusehen(28).
67. Mit Art. 23 DSGVO wird daher eine Ausnahmeregelung für die darin genannten Bereiche betreffend im Wesentlichen die Wahrnehmung öffentlicher Aufgaben und die Verfolgung von zwingenden Zielen des Allgemeininteresses eingeführt, die eine Lockerung der Rechte der betroffenen Personen im Vergleich zu anderen Tätigkeitsbereichen rechtfertigen können. In diesem Zusammenhang ist der vierte Erwägungsgrund Sätze 1 und 2 DSGVO zu berücksichtigen, der vorschreibt, eine Abwägung der in Rede stehenden Grundrechte vorzunehmen und sicherzustellen, dass die geplanten Beschränkungen gerechtfertigt, notwendig und im Hinblick auf die konkurrierenden Rechte und Interessen verhältnismäßig sind.
68. Aus dem Vorlagebeschluss geht hervor, dass die Begründung des bayerischen Gesetzes, obwohl sie Art. 23 DSGVO ausdrücklich als Rechtsgrundlage für Art. 20 Abs. 2 BayDSG erwähnt, auf keines der in der erstgenannten Vorschrift aufgeführten Ziele Bezug nimmt. In ihr wird lediglich darauf hingewiesen, dass die letztgenannte Vorschrift dem besonderen Zweckbindungsgebot für Informationen Rechnung trage, die im Rahmen von Aufsichtstätigkeiten auf dem Gebiet des Datenschutzes erhoben würden. Das vorlegende Gericht stellt jedoch fest, dass die Vorschrift den Anmerkungen des Landesamtes im Rahmen des Ausgangsverfahrens zufolge in Wirklichkeit zwei Hauptziele verfolge: zum einen die Wahrung der Vertraulichkeit der personenbezogenen Daten Dritter und zum anderen die Gewährleistung des reibungslosen Funktionierens und der Unabhängigkeit der Aufsichtsbehörde.
69. Im Einklang mit den Grundsätzen für den durch Art. 267 AEUV eingerichteten Mechanismus der Zusammenarbeit zwischen den Unionsgerichten und den nationalen Gerichten – wonach die Auslegung des innerstaatlichen Rechts ausschließlich in die Zuständigkeit der vorlegenden Gerichte fällt(29) und der Gerichtshof verpflichtet ist, sich auf deren Angaben zum Inhalt und zur Tragweite dieses Rechts zu stützen(30) – werde ich meiner Würdigung die vorstehend genannten Gesichtspunkte zugrunde legen.
2. Vereinbarkeit eines allgemeinen Ausschlusses des in Art. 15 DSGVO vorgesehenen Auskunftsrechts mit Art. 23 DSGVO
70. Im weiteren Verlauf der vorliegenden Schlussanträge werde ich klären, ob ein allgemeiner Ausschluss des in Art. 15 DSGVO vorgesehenen Auskunftsrechts im Licht der vorstehend erwähnten gesetzgeberischen Ziele gerechtfertigt sein kann. Ich werde ferner prüfen, ob eine solche Regelung den zusätzlichen Anforderungen genügt, die Art. 23 DSGVO an eine Beschränkung dieses Rechts stellt.
a) Vorliegen eines legitimen Zwecks
1) Schutz der Vertraulichkeit der personenbezogenen Daten Dritter
71. Der Schutz der Vertraulichkeit der personenbezogenen Daten Dritter stellt einen legitimen Zweck im Sinne der DSGVO dar, der grundsätzlich geeignet ist, Beschränkungen der den betroffenen Personen verliehenen Rechte zu rechtfertigen. Im 63. Erwägungsgrund der DSGVO heißt es in Bezug auf das in ihrem Art. 15 vorgesehene Auskunftsrecht insoweit: „Dieses Recht sollte die Rechte und Freiheiten anderer Personen … nicht beeinträchtigen.“ Es wird somit berücksichtigt, dass, wie aus dem vierten Erwägungsgrund der DSGVO hervorgeht, das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, da es im Hinblick auf seine gesellschaftliche Funktion beurteilt und gegen andere Grundrechte abgewogen werden muss(31).
72. Art. 23 Abs. 1 Buchst. i DSGVO verweist ausdrücklich auf den Schutz der „Rechte und Freiheiten anderer Personen“, wie im 73. Erwägungsgrund der DSGVO bestätigt wird. Wenn es um personenbezogene Daten von Verwaltungsbeamten oder Privatpersonen geht, kann sich der nationale Gesetzgeber demnach zu Recht auf die Tatsache stützen, dass ihre Offenlegung Persönlichkeitsrechte verletzen würde und ein Schutzbedürfnis besteht, das gegen das Auskunftsrecht des Beschwerdeführers abgewogen werden muss.
2) Gewährleistung des reibungslosen Funktionierens und der Unabhängigkeit der Aufsichtsbehörden
73. Die Gewährleistung des reibungslosen Funktionierens und der Entscheidungsunabhängigkeit der Aufsichtsbehörden stellt ebenfalls einen legitimen Zweck im Sinne von Art. 23 Abs. 1 DSGVO dar. Der Unionsgesetzgeber weist diesen nämlich eine zentrale Rolle innerhalb des europäischen Datenschutzsystems zu, wovon zum einen Art. 52 DSGVO, der ihre uneingeschränkte Unabhängigkeit garantiert, und zum anderen der Umfang der in den Art. 57 und 58 DSGVO vorgesehenen Untersuchungs- und Abhilfebefugnisse zeugen(32). Der Gerichtshof hat in seiner Rechtsprechung insoweit hervorgehoben, dass das reibungslose Funktionieren dieser Behörden gewährleistet sein muss, indem u. a. sichergestellt wird, dass es nicht durch offenkundig unbegründete oder exzessive Beschwerden im Sinne von Art. 57 Abs. 4 DSGVO behindert wird(33).
74. Daher kann eine Beschränkung des Auskunftsrechts im Hinblick auf Art. 23 Abs. 1 Buchst. h DSGVO, der Einschränkungen zulässt, wenn diese für die Wahrnehmung von „Kontroll- [und] Überwachungs[funktionen]“ im Zusammenhang mit der Ausübung öffentlicher Gewalt notwendig sind, grundsätzlich gerechtfertigt sein. Angesichts der bestehenden Parallelen ist zudem das in Art. 23 Abs. 1 Buchst. f DSGVO genannte Ziel zu berücksichtigen, das im 73. Erwägungsgrund der DSGVO näher erläutert und mit dem darauf abgestellt wird, die Unabhängigkeit der Justiz und den Schutz des Ablaufs von Gerichtsverfahren zu gewährleisten. Zwar gehören die Aufsichtsbehörden nicht zur Justiz; gleichwohl spielen sie – ebenso wie die staatlichen Strafverfolgungsbehörden – eine wesentliche Rolle bei der Aufdeckung und Ahndung von Verstößen gegen das Datenschutzrecht. Daraus folgt, dass eine analoge Anwendung dieser Vorschrift jedenfalls in Betracht gezogen werden kann.
3) Schutz der öffentlichen Sicherheit
75. Der Vollständigkeit halber sei darauf hingewiesen, dass im Vorlagebeschluss auch der Schutz der öffentlichen Sicherheit im Sinne von Art. 23 Abs. 1 Buchst. c DSGVO als möglicher Rechtfertigungsgrund angeführt wird, ohne dass jedoch genauere Angaben dazu gemacht werden. Allerdings ist der Auffassung des vorlegenden Gerichts und der Kommission zuzustimmen, wonach eine solche Bezugnahme unbegründet erscheint. In Anbetracht der Darstellung des Sachverhalts der Ausgangsrechtssache durch das vorlegende Gericht scheint eine solche Einschränkung nämlich offensichtlich irrelevant zu sein. Dieser Rechtfertigungsgrund soll bei der folgenden Würdigung dementsprechend außer Betracht gelassen werden.
b) Durch den Rechtsrahmen der DSGVO vorgegebene Anforderungen
76. Zum einen ist festzustellen, dass dem Interesse im Zusammenhang mit der Vertraulichkeit der personenbezogenen Daten Dritter durch eine nationale Regelung wie Art. 20 Abs. 2 BayDSG gebührend Rechnung getragen wird, da diese die Weitergabe solcher Daten kategorisch untersagt. Außerdem lässt sich nicht ausschließen, dass die fehlende Zusammenarbeit der Aufsichtsbehörden im Rahmen der Bearbeitung von Auskunftsersuchen zu einer Umverteilung personeller und materieller Ressourcen auf andere Tätigkeitsbereiche führen kann, was dort gegebenenfalls gewisse Effizienzgewinne mit sich bringen könnte.
77. Zum anderen lassen solche Umstände Zweifel an ihrer Vereinbarkeit mit dem vom Unionsgesetzgeber bei der Verabschiedung der DSGVO geschaffenen Rechtsrahmen aufkommen, insbesondere mit der allgemeinen Systematik dieser Verordnung, die auf einem Gleichgewicht zwischen mehreren Interessen beruht: der Transparenz der Datenverarbeitung, der Wahrung der Vertraulichkeit, falls erforderlich, und des wirksamen Schutzes dieser Interessen durch die Aufsichtsbehörden. Eine nationale Regelung, die eine solche Interessenabwägung nicht angemessen widerspiegelt, kann den Anforderungen von Art. 23 Abs. 1 DSGVO daher nicht genügen. Gleiches gilt, wenn sich herausstellt, dass Maßnahmen, die die Grundrechte weniger beeinträchtigen, zur Erreichung der verfolgten Ziele aber ebenso wirksam sind, in Betracht kommen(34).
78. Insoweit sei darauf hingewiesen, dass in der DSGVO das in ihrem Art. 15 vorgesehene Auskunftsrecht als wesentlicher Bestandteil des Grundsatzes der Transparenz konzipiert worden ist. Diese Einstufung geht eindeutig aus dem 63. Erwägungsgrund der DSGVO hervor, wonach sich die betroffene Person „der Verarbeitung bewusst“ sein können muss, um die Wirksamkeit der ihr durch die DSGVO verliehenen Rechte zu gewährleisten. Der Gerichtshof hat eine solche Auffassung mehrfach bestätigt und festgestellt, dass das Auskunftsrecht einen zentralen Platz im Gesamtgefüge der durch die DSGVO eingeführten Regelung einnimmt. Eine nationale Vorschrift, die der betroffenen Person dieses Recht pauschal und unterschiedslos vorenthält, beeinträchtigt das vom Unionsgesetzgeber geschaffene Schutzsystem daher in seinem Kern.
79. Auch wenn es zutrifft, dass die DSGVO in ihrem Art. 23 Beschränkungen der Rechte der betroffenen Personen, einschließlich des Auskunftsrechts, aus Gründen des öffentlichen Interesses gestattet, verlangt sie zugleich, dass solche Beschränkungen auf einer Rechtsgrundlage beruhen, die hinreichend präzise ist. Eine derartige Rechtsgrundlage muss Art, Umfang und Grenzen der Einschränkung sowie die erforderlichen Garantien zur Verhinderung von Missbrauchsrisiken klar definieren. In diesem Sinne heißt es im 41. Erwägungsgrund der DSGVO, dass jede Beschränkung eines durch die DSGVO garantierten Rechts für die betroffene Person „klar und präzise“ sowie „vorhersehbar“ sein muss; die betroffene Person muss dabei in der Lage sein, den Umfang möglicher Beschränkungen ihrer Rechte zu erkennen(35). Eine nationale Vorschrift, die einen absoluten Ausschluss des Auskunftsrechts vorsieht, ohne dessen sachlichen oder persönlichen Anwendungsbereich festzulegen oder Schutzmaßnahmen vorzusehen, kann diesen Anforderungen nicht genügen.
80. Außerdem wird im 60. Erwägungsgrund der DSGVO daran erinnert, dass Transparenz ein Grundprinzip der Verarbeitung personenbezogener Daten darstellt, das auch für behördliches Handeln gilt. Zwar können bestimmte Informationen im Rahmen eines Beschwerdeverfahrens vorübergehend von der Offenlegung ausgenommen werden – u. a. um die Verhütung, Aufdeckung oder Untersuchung von Straftaten nicht zu gefährden(36) –; ein solcher Vorbehalt muss aber strikt notwendig und verhältnismäßig bleiben und darf nicht zur vollständigen Neutralisierung der Transparenz gegenüber der betroffenen Person führen. Eine nationale Vorschrift, die jede Form des Zugangs ausschließt, ohne zwischen personenbezogenen Daten und internen Dokumenten zu unterscheiden, verstößt daher gegen die Systematik der DSGVO.
81. Der Gerichtshof hat darüber hinaus im Hinblick auf Art. 52 Abs. 1 der Charta entschieden, dass Einschränkungen eines Grundrechts nicht nur den Grundsätzen der Gesetzmäßigkeit und der Verhältnismäßigkeit entsprechen müssen, sondern auch dem Grundsatz, wonach der „Wesensgehalt“ des betreffenden Rechts zu achten ist(37). Im vierten Erwägungsgrund der DSGVO wird bekräftigt, dass der Schutz personenbezogener Daten ein Grundrecht darstellt, das in Art. 8 der Charta verankert ist und nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit eingeschränkt werden darf. Ein vollständiger Ausschluss des Auskunftsrechts führt jedoch dazu, dass der betroffenen Person der Wesensgehalt dieses Rechts vorenthalten wird, indem sie daran gehindert wird, Verarbeitungen, von denen sie betroffen ist, auch nur ansatzweise zu kontrollieren.
82. Im 75. Erwägungsgrund wird ergänzend hervorgehoben, dass fehlende oder mangelnde Transparenz als solche ein Risiko darstellt, das geeignet ist, die Rechte und Freiheiten der betroffenen Personen erheblich zu beeinträchtigen. Eine Regelung, die der betroffenen Person jegliche Möglichkeit nimmt, sich über in Bezug auf sie durchgeführte Verarbeitungen zu informieren, schafft genau jene Risikosituation, die der Gesetzgeber verhindern wollte.
83. Hinzuzufügen ist, dass die Aufsichtsbehörden im 129. Erwägungsgrund der DSGVO als unabhängige Stellen definiert werden, die für die Überwachung und Durchsetzung der Verordnung sowie den Schutz der Rechte der betroffenen Personen zuständig sind. Diese Aufgabe und ihre Stellung innerhalb des mit der DSGVO eingerichteten Aufsichtsmechanismus bedeuten jedoch nicht, dass sie von sämtlichen Verpflichtungen aus der DSGVO befreit sind. Die DSGVO schafft vielmehr einen kohärenten Rechtsrahmen, in dem die Aufsichtsbehörden bei der Ausübung ihrer Befugnisse weiterhin uneingeschränkt den darin festgelegten Vorschriften unterliegen – insbesondere denjenigen im Zusammenhang mit den Rechten der betroffenen Personen. Eine nationale Vorschrift, die jegliche Übermittlung von Daten über die betroffene Person gänzlich ausschließt, gefährdet dieses Gleichgewicht und verstößt gegen das den Aufsichtsbehörden obliegende Verantwortungserfordernis.
84. Ein vollständiger Ausschluss des Auskunftsrechts erscheint außerdem unvereinbar mit dem mit der DSGVO verfolgten Ziel, ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten, auf das im zehnten Erwägungsgrund der DSGVO hingewiesen wird(38). Dieses Schutzniveau beruht im Wesentlichen auf Transparenz und der Möglichkeit für die betroffene Person, sie betreffende Verarbeitungsvorgänge zu kontrollieren. Das in Art. 15 vorgesehene Auskunftsrecht ist insoweit unerlässlich, da es die Grundlage für die wirksame Ausübung aller anderen Rechte der betroffenen Personen bildet(39). Ein genereller Ausschluss dieses Rechts liefe darauf hinaus, bestimmte Verarbeitungen jeglicher individuellen Kontrolle zu entziehen, und würde daher die Wirksamkeit des vom Unionsgesetzgeber angestrebten hohen Schutzniveaus beeinträchtigen.
85. Was das zur Rechtfertigung einer Beschränkung des Auskunftsrechts angeführte Ziel des Schutzes der Rechte und Freiheiten Dritter betrifft, so ist daran zu erinnern, dass, wie der Gerichtshof entschieden hat, die Behörden im Fall eines Konflikts zwischen dem Auskunftsrecht und den Rechten oder Freiheiten anderer Personen eine Abwägung der widerstreitenden Interessen vornehmen müssen. Aus dem 63. Erwägungsgrund der DSGVO geht ausdrücklich hervor, dass diese Abwägung keinesfalls eine vollständige Zugangsverweigerung rechtfertigen kann(40). Durch geeignete Maßnahmen wie beispielsweise die teilweise Übermittlung, die Schwärzung oder Anonymisierung von Daten, den Schutz der Identität der Hinweisgeber, eine differenzierte Behandlung je nach Dokumentenkategorie oder die Übermittlung strukturierter, nicht individualisierter Informationen lassen sich die fraglichen Interessen in Einklang bringen, ohne das Auskunftsrecht vollständig aufzuheben.
86. Was die geltend gemachte Notwendigkeit angeht, die unabhängige und wirksame Wahrnehmung der Aufgaben der Aufsichtsbehörden zu gewährleisten, so ist nicht ersichtlich, inwiefern die Ausübung des in Art. 15 DSGVO vorgesehenen Auskunftsrechts dieses Ziel beeinträchtigen könnte. Der Beurteilung des vorlegenden Gerichts, wonach die Unabhängigkeit der Aufsichtsbehörden keineswegs voraussetze, dass die Rechtmäßigkeit der von ihnen durchgeführten Verarbeitungen personenbezogener Daten einer Überprüfung durch die betroffene Person entzogen sein müsse, ist zuzustimmen. Die vom Landesamt vorgebrachte Gefahr einer etwaigen „Einflussnahme“, die durch einen Informationszugang begünstigt werden könnte, ist daher auszuschließen.
87. Darüber hinaus ist in Art. 15 DSGVO, wie in den vorliegenden Schlussanträgen dargelegt worden ist, kein allgemeines Recht auf Akteneinsicht verankert(41), so dass der sich daraus ergebende Verwaltungsaufwand begrenzt bleiben dürfte. Unabhängig davon ist anzumerken, dass die DSGVO den Aufsichtsbehörden in ihrem Art. 12 Abs. 5 ein geeignetes Instrument an die Hand gibt, um missbräuchlichen oder exzessiven Anträgen zu begegnen(42). Sie sind darüber hinaus ermächtigt, verschiedene Verwaltungsmaßnahmen zu ergreifen, wie beispielsweise Informationen während eines laufenden Verfahrens vorübergehend zurückzuhalten, bestimmte interne Dokumente von der Offenlegung auszunehmen, zwischen verschiedenen Verfahrensarten zu unterscheiden, lediglich Informationen über bereits abgeschlossene Phasen zu übermitteln oder organisatorische Mechanismen einzurichten, die gewährleisten, dass interne Prozesse nicht durch Auskunftsersuchen gestört werden. Mit solchen Maßnahmen lässt sich das reibungslose Funktionieren der Aufsichtsbehörden sicherstellen, ohne jedoch das in Art. 15 DSGVO vorgesehene Auskunftsrecht vollständig auszuschließen.
88. Es sei ferner daran erinnert, dass die Effizienz der Aufsichtsbehörden entscheidend davon abhängt, ob ihnen die notwendigen Mittel, d. h. die personellen, technischen und finanziellen Ressourcen sowie Räumlichkeiten und Infrastrukturen, die für eine effektive Wahrnehmung ihrer Aufgaben und Befugnisse unerlässlich sind, zur Verfügung gestellt werden(43). Art. 52 Abs. 4 DSGVO verpflichtet die Mitgliedstaaten ausdrücklich dazu, eine solche Ausstattung zu gewährleisten. Unter diesem Gesichtspunkt darf die Frage der Funktionsfähigkeit der Aufsichtsbehörden nicht allein auf die Anzahl der Auskunftsersuchen nach Art. 15 DSGVO reduziert werden. Eine unzureichende Ausstattung der Behörden darf keinesfalls zu einer Verringerung des Schutzniveaus für personenbezogene Daten führen.
89. Aus dem Vorlagebeschluss geht hervor, dass Art. 20 Abs. 2 BayDSG eine Besonderheit in der deutschen Rechtsordnung darstellt, da kein anderes Bundesland einen vergleichbaren Ausschluss des Auskunftsrechts vorsieht. Eine solche normative Alleinstellung stellt einen ernstzunehmenden Anhaltspunkt dafür dar, dass eine Einschränkung von dieser Tragweite nicht als notwendig und verhältnismäßig im Sinne von Art. 23 Abs. 1 DSGVO angesehen werden kann. Da alle anderen Aufsichtsbehörden ihre Aufgaben wahrnehmen, ohne auf eine generelle Aufhebung der Rechte der betroffenen Personen zurückzugreifen, erscheint es schwer begründbar, dass eine solche Maßnahme für das ordnungsgemäße Funktionieren der Behörde oder den Schutz der Rechte Dritter unerlässlich sein soll. Eine einem einzigen Land eigene Regelung, die die durch die DSGVO garantierten Rechte wesentlich stärker einschränkt als die in den anderen Teilen des Staatsgebiets erlassenen Regelungen, scheint den sich aus dem Unionsrecht ergebenden Anforderungen hinsichtlich Kohärenz, Notwendigkeit und Verhältnismäßigkeit nicht zu genügen.
90. Somit ist festzustellen, dass sich die für die beiden angeführten Ziele – den Schutz der Rechte Dritter und die Gewährleistung der ordnungsgemäßen Erfüllung der Aufgaben der Aufsichtsbehörden – angestrebten Ergebnisse auch durch weniger einschränkende, differenzierte und mit dem Unionsrecht im Einklang stehende Maßnahmen erreichen lassen, ohne das Auskunftsrecht in seinem Wesensgehalt anzutasten, die gegenüber der betroffenen Person erforderliche Transparenz zu beseitigen und die Möglichkeit zur Überprüfung der Rechtmäßigkeit der durchgeführten Verarbeitungen einzuschränken.
91. Ein weiterer kritischer Aspekt liegt in der Tatsache begründet, dass sich Art. 20 Abs. 2 BayDSG nicht entnehmen lässt, welches Ziel der nationale Gesetzgeber verfolgt hat. Wie aus den Angaben des vorlegenden Gerichts hervorgeht, wird in den Vorarbeiten lediglich Art. 23 DSGVO als Rechtsgrundlage erwähnt, ohne jedoch auf eines der in dieser Vorschrift aufgeführten Ziele Bezug zu nehmen. Nach Art. 23 DSGVO muss der Zweck der Beschränkung aber klar aus der Vorschrift selbst hervorgehen; dies ist eine notwendige Voraussetzung für eine wirksame Kontrolle der Einhaltung der Grundsätze der Notwendigkeit und der Verhältnismäßigkeit.
92. Dem Klarheitsgebot kann nicht durch Begründungen Genüge getan werden, die von einem Beteiligten des Vorabentscheidungsverfahrens gemäß Art. 267 AEUV nachträglich vorgebracht werden, und zwar insbesondere dann nicht, wenn diesem Beteiligten die fragliche Beschränkung zugutekommt. Würde eine solche Möglichkeit zugelassen, liefe dies darauf hinaus, den Willen des demokratisch verantwortlichen Gesetzgebers durch eine im Rahmen eines Rechtsstreits ausgearbeitete Argumentationskette zu ersetzen, was mit den sich aus Art. 23 Abs. 1 und 2 DSGVO ergebenden Anforderungen hinsichtlich Vorhersehbarkeit, normative Transparenz und Rechtssicherheit nicht vereinbar wäre.
93. Unter diesen Umständen ist der Schluss zu ziehen, dass ein allgemeiner und undifferenzierter Ausschluss des Auskunftsrechts, wie er in Art. 20 Abs. 2 BayDSG vorgesehen ist, nicht den Anforderungen von Art. 23 DSGVO genügt, da er keines der in dessen Abs. 2 ausdrücklich geforderten Elemente enthält und weder der Systematik noch dem Zweck der Verordnung, wie sie sich aus den einschlägigen Erwägungsgründen ergeben, entspricht. Eine solche Vorschrift erscheint unverhältnismäßig, nicht hinreichend bestimmt und geeignet, das Auskunftsrecht seines Wesensgehalts zu berauben.
3. Zwischenergebnis
94. Aus den oben dargelegten Gründen ist Art. 23 DSGVO meiner Ansicht nach dahin auszulegen, dass er einer nationalen Regelung wie Art. 20 Abs. 2 BayDSG entgegensteht, soweit diese das Bestehen eines auf Art. 15 DSGVO gestützten Auskunftsrechts gegenüber der Aufsichtsbehörde als solches ausschließt.
VI. Ergebnis
95. In Anbetracht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die Vorlagefragen des Bayerischen Verwaltungsgerichts Ansbach (Deutschland) wie folgt zu beantworten:
1. Art. 15 in Verbindung mit Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
eine Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 dieser Verordnung, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß deren Art. 77 tätig wird, auch die Eigenschaft eines „Verantwortlichen“ im Sinne der genannten Verordnung aufweist und somit verpflichtet ist, der betroffenen Person das in Art. 15 der Verordnung vorgesehene Auskunftsrecht zu garantieren.
2. Art. 23 der Verordnung 2016/679
ist dahin auszulegen, dass
er einer nationalen Vorschrift wie der in Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes vorgesehenen entgegensteht, die das Bestehen eines auf Art. 15 dieser Verordnung gestützten Auskunftsrechts gegenüber der bayerischen Datenschutzbehörde als solches ausschließt.
1 Originalsprache: Französisch.
2 ABl. 2016, L 119, S. 1.
3 Vgl. Nrn. 24 ff. der vorliegenden Schlussanträge.
4 Vgl. Nrn. 65 ff. der vorliegenden Schlussanträge.
5 Vgl. Urteil vom 29. Juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, Rn. 65 und 66).
6 Der Gerichtshof hat sogar entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf eine Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als „Verantwortlicher“ eingestuft werden kann (vgl. Urteile vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68, und vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 68).
7 Die DSGVO definiert nicht ausdrücklich, was eine „Beschwerde“ ist, der Wortlaut von Art. 77 gibt aber einen ersten Hinweis darauf. Nach den Leitlinien des Europäischen Datenschutzausschusses (European Data Protection Board, EDSA) entspricht eine Beschwerde einer Eingabe an eine Aufsichtsbehörde durch eine identifizierte natürliche Person – oder eine Stelle, die die Voraussetzungen von Art. 80 erfüllt –, die der Ansicht ist, dass die Verarbeitung ihrer Daten einen Verstoß gegen die DSGVO darstellt. Der EDSA stellt klar, dass dieser Begriff nicht auf Verletzungen der Rechte aus Kapitel III beschränkt ist, sondern allgemein jeden Verstoß gegen die Verordnung umfasst, der sich aus der Verarbeitung der personenbezogenen Daten des Beschwerdeführers ergibt (EDSA, „Internal Document 6/2020 on preliminary steps to handle a complaint: admissibility and vetting of complaints“, angenommen am 15. Dezember 2020, S. 3).
8 Vgl. Urteile vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C‑26/22 und C‑64/22, EU:C:2023:958, Rn. 58), vom 26. September 2024, Land Hessen (Handlungspflicht der Datenschutzbehörde) (C‑768/21, EU:C:2024:785, Rn. 35), und vom 9. Januar 2025, Österreichische Datenschutzbehörde (Exzessive Anfragen) (C‑416/23, EU:C:2025:3, Rn. 39).
9 Vgl. Urteil des EFTA-Gerichtshofs vom 10. Dezember 2020, Adpublisher AG/J & K (verbundene Rechtssachen E‑11/19 und E‑12/19, Rn. 45).
10 Vgl. Urteile vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 63), vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559, Rn. 107), vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C‑26/22 und C‑64/22, EU:C:2023:958, Rn. 56), und vom 26. September 2024, Land Hessen (Handlungspflicht der Datenschutzbehörde) (C‑768/21, EU:C:2024:785, Rn. 32).
11 In diesem Kontext ist auf die Schlussanträge des Generalanwalts Pikamäe in den verbundenen Rechtssachen SCHUFA Holding (Restschuldbefreiung) (C‑26/22 und C‑64/22, EU:C:2023:222, Nr. 42) hinzuweisen, in denen er hervorgehoben hat, dass der Unionsgesetzgeber das Beschwerdeverfahren nicht zu einem Mechanismus habe machen wollen, der mit einer einfachen „Petition“ gleichzusetzen sei. Das verfolgte Ziel habe vielmehr darin bestanden, einen Mechanismus zu schaffen, der geeignet sei, die Rechte und Interessen der Personen, die Beschwerden einreichten, wirksam zu wahren. Insbesondere die in Art. 57 Abs. 1 Buchst. f DSGVO genannten Pflichten, die der Aufsichtsbehörde im Rahmen der Bearbeitung der betreffenden Beschwerden oblägen und unter den Grundsatz der „guten Verwaltung“ fielen, zeugten vom Willen des Gesetzgebers, dem Verfahren den Charakter eines „echten verwaltungsrechtlichen Rechtsbehelfs“ zu verleihen.
12 Vgl. Urteil vom 26. September 2024, Land Hessen (Handlungspflicht der Datenschutzbehörde) (C‑768/21, EU:C:2024:785, Rn. 42).
13 Vgl. Urteile vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C‑26/22 und C‑64/22, EU:C:2023:958, Rn. 70), und vom 26. September 2024, Land Hessen (Handlungspflicht der Datenschutzbehörde) (C‑768/21, EU:C:2024:785, Rn. 49).
14 Im Unionsrecht gibt es keine einheitlichen Vorschriften über die konkrete Bearbeitung von Beschwerden durch die Aufsichtsbehörden. Die Verwaltungspraxis weist dementsprechend gewisse Unterschiede zwischen den Mitgliedstaaten auf. Gleichwohl bemüht sich der EDSA, durch Leitlinien und die Entwicklung „bewährter Verfahren“ einen gewissen Grad der Harmonisierung der Aufsichtstätigkeit und der Verfahrensmodalitäten – u. a. in Bezug auf die Zulassung oder Archivierung von Beschwerden, die Feststellung gütlicher Einigungen usw. – sicherzustellen (vgl. insoweit EDSA, „Internal Document 6/2020 on preliminary steps to handle a complaint: admissibility and vetting of complaints“, angenommen am 15. Dezember 2020).
15 Wie der EFTA-Gerichtshof in seinem Urteil vom 10. Dezember 2020, Adpublisher AG/J & K (verbundene Rechtssachen E‑11/19 und E‑12/19, Rn. 60), bemerkt hat, ist die Aufsichtsbehörde gemäß Art. 57 Abs. 1 Buchst. h DSGVO ermächtigt, Untersuchungen von Amts wegen einzuleiten. Daher kann sie sich im Rahmen der Prüfung einer Beschwerde zu anderen Ansprüchen oder zu einem anderen Streitgegenstand als den vom Beschwerdeführer geltend gemachten äußern. Die Wirksamkeit des Beschwerdeverfahrens verlangt, dass die Aufsichtsbehörde bei der Ausübung ihrer Untersuchungsbefugnisse nicht durch die Art und Weise eingeschränkt ist, in der der Beschwerdeführer die relevanten Rechtsfragen in seiner Beschwerdeschrift formuliert hat.
16 Die Aufsichtsbehörden scheinen Beschwerden entweder auf der Grundlage der Bestimmungen des nationalen Rechts oder nach eigenem Ermessen zu bearbeiten. Es bestehen offenbar auch Unterschiede hinsichtlich der Bearbeitung der Beschwerden nach pragmatischen Kriterien oder im Rahmen eines vereinfachten Verfahrens (vgl. insoweit González Fuster, G., u. a., „The right to lodge a data protection complaint: ok, but then what? – An empirical study of current practices under the GDPR“, Access Now, Open Universiteit, 2022, S. 30).
17 Vgl. Urteile vom 11. Januar 2024, État belge (Von einem Amtsblatt verarbeitete Daten) (C‑231/22, EU:C:2024:7, Rn. 39), und vom 27. Februar 2025, Amt der Tiroler Landesregierung (C‑638/23, EU:C:2025:127, Rn. 49).
18 Auf Ersuchen des Gerichtshofs hat das Landesamt seine Verwaltungspraxis bei der Bearbeitung von Beschwerden dargelegt. Es hat insoweit ausgeführt, dass die Beschwerdeführer Anträge – auch auf elektronischem Wege – an die zuständigen Mitarbeiter des Landesamtes richten und Akteneinsicht beantragen könnten. Aus dieser Darstellung geht klar hervor, dass die Modalitäten, nach denen das Landesamt Beschwerden – u. a. in Bezug auf die erhobenen Daten, die getroffenen organisatorischen Maßnahmen und die durchgeführten Ermittlungen – bearbeitet, unter die Autonomie fallen, die ihm durch die DSGVO bei der Wahrnehmung seiner Aufgaben verliehen worden ist.
19 Möhle, J.‑P., „Verantwortlichkeit als integrierendes Konzept im Datenschutzrecht“, Die Öffentliche Verwaltung, 2023, Nr. 3, S. 108, erläutert, dass nur eine Person, die tatsächlich Einfluss nehmen kann, d. h. eine Person, die in der Lage ist, künftige Verstöße gegen die Datenschutzvorschriften zu verhindern, den sich aus dem Datenschutzrecht ergebenden Verpflichtungen (wie beispielsweise der Informations‑, der Verantwortungs- oder der Kooperationspflicht) unterliegen kann. Nach meinem Dafürhalten steht außer Frage, dass im Rahmen eines Beschwerdeverfahrens allein die Aufsichtsbehörde dieser Definition entsprechen kann.
20 Wie der Gerichtshof entschieden hat, besteht das Ziel der weiten Bestimmung des Begriffs „Verantwortlicher“ aber gerade darin, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (vgl. Urteile vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 34, vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 66, und vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 28).
21 Vgl. in diesem Sinne Kunert, J., „Vorabentscheidungsersuchen an den EuGH zur Aufsichtsbehörde als Verantwortlicher und zur Rechtmäßigkeit des Art. 20 II BayDSG“, GRUR-Prax, 2025, Nr. 9, S. 324.
22 Vgl. Urteil vom 22. Juni 2023, Pankki S (C‑579/21, EU:C:2023:501, Rn. 50).
23 Vgl. Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, EU:C:2023:369, Rn. 33 und 34).
24 Vgl. Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, EU:C:2023:369, Rn. 41).
25 Vgl. Urteile vom 20. Dezember 2017, Nowak (C‑434/16, EU:C:2017:994, Rn. 57), vom 12. Januar 2023, Österreichische Post (Informationen über die Empfänger personenbezogener Daten) (C‑154/21, EU:C:2023:3, Rn. 38), sowie vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, EU:C:2023:369, Rn. 35).
26 Zanfir-Fortuna, G., „Article 15. Right of access by the data subject“, in Kuner, C., Bygrave, L. A., und Docksey, C. (Hrsg.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford 2020, S. 452, hebt hervor, dass zwischen dem in Art. 15 DSGVO verankerten Recht auf Auskunft über die eigenen personenbezogenen Daten und dem Recht auf Zugang zu öffentlichen Informationen zu unterscheiden sei. Diese beiden Rechte beruhten auf unterschiedlichen normativen Zwecken: Ersteres ziele darauf ab, Transparenz gegenüber der Person zu gewährleisten, deren Daten von einem Verantwortlichen erhoben und verarbeitet würden (Transparenz inter partes), während Letzteres Transparenz gegenüber der Öffentlichkeit in Bezug auf Informationen von öffentlichem Wert oder Interesse sicherstellen solle (Transparenz erga omnes).
27 Gumzej, N., „DPA powers toward effective and transparent GDPR enforcement: the case of Croatia“, Juridical Tribune – Review of Comparative and International Law, Bd. 13, Nr. 2 (2023), S. 210, verweist auf die geltenden Gesetze über den freien Zugang zu Informationen.
28 Schemmer, F., „Der Auskunftsanspruch der DS‑GVO – Umfang des datenschutzrechtlichen Auskunftsanspruchs gem. Art. 15 DS‑GVO und dessen Grenzen“, Zeitschrift für das gesamte Informationsrecht, 2024, Nr. 5, S. 210.
29 Vgl. Urteile vom 6. März 2007, Placanica u. a. (C‑338/04, C‑359/04 und C‑360/04, EU:C:2007:133, Rn. 34), und vom 21. Juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, Rn. 240).
30 Vgl. Urteile vom 25. Oktober 2001, Ambulanz Glöckner (C‑475/99, EU:C:2001:577, Rn. 10), und vom 14. November 2024, S. (Änderung des Spruchkörpers) (C‑197/23, EU:C:2024:956, Rn. 43).
31 Vgl. Urteile vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559, Rn. 172), vom 12. Januar 2023, Österreichische Post (Informationen über die Empfänger personenbezogener Daten) (C‑154/21, EU:C:2023:3, Rn. 47), und vom 21. März 2024, Landeshauptstadt Wiesbaden (C‑61/22, EU:C:2024:251, Rn. 75).
32 Giurgiu, A., und Larsen, T., „Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More European DPAs as Guardians of Consistency?“, European Data Protection Law Review, Nr. 3 (2016), S. 352, betrachten die Aufsichtsbehörden aufgrund ihrer zentralen Rolle bei der Überwachung und Durchsetzung der in der DSGVO vorgesehenen Datenschutzvorschriften als die wichtigsten Garanten der Rechte des Einzelnen. Sie betonen, wie wichtig es sei, diese Behörden mit ausreichenden personellen und finanziellen Ressourcen auszustatten, damit sie ihre Aufgaben wirksam erfüllen könnten.
33 Vgl. Urteil vom 9. Januar 2025, Österreichische Datenschutzbehörde (Exzessive Anfragen) (C‑416/23, EU:C:2025:3, Rn. 40).
34 Vgl. Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, Rn. 85).
35 Vgl. Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests (Verarbeitung personenbezogener Daten für steuerliche Zwecke) (C‑175/20, EU:C:2022:124, Rn. 56).
36 Vgl. insoweit EDSA, Guidelines 10/2020 on restrictions under Article 23 GDPR (version 2.1), angenommen am 13. Oktober 2021, Rn. 65 bis 67 und 82, in denen vorübergehende Beschränkungen der Ausübung bestimmter Rechte der betroffenen Personen empfohlen werden, um behördliche Untersuchungen nicht zu gefährden.
37 Vgl. Urteile vom 8. April 2014, Digital Rights Ireland u. a. (C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 38), vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 94), vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559, Rn. 174), und vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 121).
38 Der Gerichtshof hat in seiner ständigen Rechtsprechung auf dieses Ziel hingewiesen und hervorgehoben, dass der Schutz personenbezogener Daten sowohl durch Art. 16 AEUV als auch durch Art. 8 der Charta garantiert wird, wodurch dieses Recht in zwei Bestimmungen des Primärrechts der Union verankert ist (vgl. Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, Rn. 43).
39 Vgl. Urteil vom 22. Juni 2023, Pankki S (C‑579/21, EU:C:2023:501, Rn. 53 ff.).
40 Vgl. Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, EU:C:2023:369, Rn. 44).
41 Vgl. Nrn. 59 ff. der vorliegenden Schlussanträge.
42 Vgl. Urteil vom 12. Januar 2023, Österreichische Post (Informationen über die Empfänger personenbezogener Daten) (C‑154/21, EU:C:2023:3, Rn. 49). Wie der Gerichtshof hervorgehoben hat, hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter eines Zugangsantrags im Sinne von Art. 12 Abs. 5 DSGVO zu erbringen.
43 Vgl. insoweit Agentur der Europäischen Union für Grundrechte (FRA), GDPR in practice – Experiences of Data Protection Authorities, Luxemburg, 11. Juni 2024, S. 21, die die Verfügbarkeit der Ressourcen der Aufsichtsbehörden im Laufe der Jahre als „im Allgemeinen unzureichend“ beschreibt. Im Anschluss an die erste Bewertung der Anwendung der DSGVO durch die Kommission hat das Europäische Parlament eine Entschließung verabschiedet, in der die Mitgliedstaaten aufgefordert werden, ihrer in Art. 52 Abs. 4 DSGVO vorgesehenen Verpflichtung nachzukommen, ihre Aufsichtsbehörden mit ausreichenden Ressourcen auszustatten, damit diese ihre Aufgaben bestmöglich erfüllen können und angemessene Bedingungen für die Anwendung der DSGVO auf europäischer Ebene gewährleistet sind.
Zitiert von
Bislang zitiert keine andere Entscheidung dieses Urteil.
Referenzen
- Art. 267 AEUV 3x (nicht zugeordnet)
- DSGVO Art. 15 Auskunftsrecht der betroffenen Person 29x
- DSGVO Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde 18x
- DSGVO Art. 4 Begriffsbestimmungen 25x
- DSGVO Art. 23 Beschränkungen 23x
- Art. 16 AEUV 2x (nicht zugeordnet)
- DSGVO Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten 1x
- DSGVO Art. 51 Aufsichtsbehörde 1x
- DSGVO Art. 57 Aufgaben 3x
- Art. 5, 15, 23, 51, 57, 58 und 77 DSGVO 1x (nicht zugeordnet)
- Art. 20 BayDSG 1x (nicht zugeordnet)
- Art. 20 Abs. 2 BayDSG 11x (nicht zugeordnet)
- DSGVO Art. 58 Befugnisse 2x
- DSGVO Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde 1x
- DSGVO Art. 52 Unabhängigkeit 4x
- Art. 12 bis 22 DSGVO 2x (nicht zugeordnet)
- DSGVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling 2x
- Art. 57 und 58 DSGVO 1x (nicht zugeordnet)
- DSGVO Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person 1x