EuGH: Anordnung der Löschung unrechtmäßig verarbeiteter Daten durch Aufsichtsbehörde eines Mitgliedstaats auch ohne entsprechenden Antrag der betroffenen Person
EuGH, Urteil vom 14.3.2024 – C-46/23, Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala gegen Nemzeti Adatvédelmi és Információszabadság Hatóság
ECLI:EU:C:2024:239
Volltext: BB-Online BBL2024-705-1
unter www.betriebs-berater.de
Tenor
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.
2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.
Aus den Gründen
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 58 Abs. 2 Buchst. c, d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) .
2 Es ergeht im Rahmen eines Rechtsstreits zwischen dem Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Bürgermeisteramt der lokalen Verwaltung Újpest – IV. Bezirk der Hauptstadt Budapest, Ungarn) (im Folgenden: Verwaltung Újpest) und der Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, Ungarn) (im Folgenden: ungarische Aufsichtsbehörde) wegen eines Bescheids, mit dem diese Behörde die Verwaltung Újpest zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten angewiesen hat.
Rechtlicher Rahmen
3 In den Erwägungsgründen 1, 10 und 129 DSGVO heißt es:
„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union … sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
…
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
(129) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. …“
4 Kapitel I („Allgemeine Bestimmungen“) DSGVO enthält deren Art. 1 bis 4.
5 Art. 1 („Gegenstand und Ziele“) DSGVO sieht vor:
„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
…“
6 Art. 4 („Begriffsbestimmungen“) DSGVO bestimmt in den Nrn. 2, 7 und 21:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. ,Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
21. ‚Aufsichtsbehörde‘ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
…“
7 Kapitel II („Grundsätze“) DSGVO enthält u. a. deren Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) , der vorsieht:
„(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘) ;
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … (‚Zweckbindung‘) ;
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘) ;
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘) .“
8 In Kapitel III („Rechte der betroffenen Person“) Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘]“) Abs. 1 DSGVO heißt es:
„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
…“
9 Kapitel VI („Unabhängige Aufsichtsbehörden“) DSGVO enthält deren Art. 51 bis 59.
10 Art. 51 („Aufsichtsbehörde“) DSGVO bestimmt in den Abs. 1 und 2:
„(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird …
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der [Europäischen] Kommission gemäß Kapitel VII zusammen.“
11 In Art. 57 („Aufgaben“) Abs. 1 DSGVO heißt es:
„(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
…“
12 Art. 58 („Befugnisse“) DSGVO bestimmt in Abs. 2:
„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
…
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
…
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
…
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
…“
Ausgangsverfahren und Vorlagefragen
13 Im Februar 2020 beschloss die Verwaltung Újpest, den Einwohnern, die zu einer von der Covid‑19-Pandemie gefährdeten Gruppe gehörten und bestimmte Bedingungen erfüllten, eine finanzielle Unterstützung zu gewähren.
14 Sie wandte sich deshalb an die Magyar Államkincstár (Ungarische Staatskasse) und die Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, Ungarn) (im Folgenden: Regierungsbehörde) , um die zur Feststellung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu erhalten. Zu diesen Daten gehörten u. a. die grundlegenden Identifizierungsdaten und die Sozialversicherungsnummern natürlicher Personen. Die ungarische Staatskasse und die Regierungsbehörde übermittelten die angeforderten Daten.
15 Für die Auszahlung der Unterstützung erließ die Verwaltung von Újpest die Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (Verordnung der lokalen Verwaltung Nr. 16/2020 vom 30. April 2020 über die Einführung des Programms Újpest+ Respekt) , geändert und ergänzt durch die 30/2020 (VII. 15.) önkormányzati rendelet (Verordnung der lokalen Verwaltung Nr. 30/2020 vom 15. Juli 2020) . Diese Verordnungen enthielten die Anspruchsvoraussetzungen für die eingeführte Unterstützung. Die Verwaltung Újpest fasste die erhaltenen Daten in einer für die Durchführung ihres Unterstützungsprogramms eingerichteten Datenbank zusammen und erstellte für jeden Datensatz eine individuelle Kennung und einen Strichcode.
16 Aufgrund eines Hinweises leitete die ungarische Aufsichtsbehörde am 2. September 2020 von Amts wegen eine Untersuchung zu der Verarbeitung personenbezogener Daten ein, auf der das erwähnte Unterstützungsprogramm beruhte. In einem Bescheid vom 22. April 2021 stellte die Behörde fest, dass die Verwaltung Újpest gegen mehrere Bestimmungen der Art. 5 und 14 DSGVO sowie gegen Art. 12 Abs. 1 DSGVO verstoßen habe. Unter anderem habe die Verwaltung Újpest die betroffenen Personen weder binnen der Frist von einem Monat über die Kategorien der im Rahmen des Programms verarbeiteten personenbezogenen Daten noch über die Zwecke dieser Verarbeitung oder die Modalitäten informiert, unter denen diese Personen ihre entsprechenden Rechte ausüben konnten.
17 Die ungarische Aufsichtsbehörde wies die Verwaltung Újpest gemäß Art. 58 Abs. 2 Buchst. d DSGVO an, die personenbezogenen Daten derjenigen betroffenen Personen zu löschen, die nach den Informationen der Regierungsbehörde und der ungarischen Staatskasse zwar Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten. Sowohl die ungarische Staatskasse als auch die Regierungsbehörde hätten gegen die Bestimmungen über die Verarbeitung der personenbezogenen Daten der Betroffenen verstoßen. Sie verhängte außerdem gegen die Verwaltung Újpest und die ungarische Staatskasse eine datenschutzrechtliche Geldbuße.
18 Mit einer beim Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn) , dem vorlegenden Gericht, erhobenen verwaltungsgerichtlichen Klage wendet sich die Verwaltung Újpest gegen den Bescheid der ungarischen Aufsichtsbehörde und macht geltend, dass diese sie, wenn die betroffene Person keinen Antrag nach Art. 17 DSGVO gestellt habe, nicht die Löschung der personenbezogenen Daten nach Art. 58 Abs. 2 Buchst. d DSGVO anordnen dürfe. Sie stützt sich insoweit auf das Urteil Kfv.II.37.001/2021/6. der Kúria (Oberstes Gericht, Ungarn) , mit dem diese unter Bestätigung eines Urteils des vorlegenden Gerichts entschieden habe, dass die ungarische Aufsichtsbehörde zu einer solchen Anordnung nicht befugt sei. Nach Ansicht der Klägerin des Ausgangsverfahrens ist das in Art. 17 DSGVO verankerte Recht auf Löschung ausschließlich als Recht der betroffenen Person ausgestaltet.
19 Auf eine verfassungsrechtliche Klage der ungarischen Aufsichtsbehörde hob das Alkotmánybíróság (Verfassungsgericht, Ungarn) das oben genannte Urteil der Kúria (Oberster Gerichtshof) auf und entschied, dass diese Behörde berechtigt sei, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten von Amts wegen auch dann anzuordnen, wenn die betroffene Person keinen Antrag gestellt habe. Das Alkotmánybíróság (Verfassungsgericht) stützte sich insoweit auf die Stellungnahme Nr. 39/2021 des Europäischen Datenschutzausschusses, wonach Art. 17 DSGVO zwei verschiedene Fälle der Löschung vorsehe, nämlich zum einen die Löschung auf Antrag der betroffenen Person und zum anderen eine eigenständige Verpflichtung des Verantwortlichen, so dass Art. 58 Abs. 2 Buchst. g DSGVO als eine gültige Rechtsgrundlage für die Löschung unrechtmäßig verarbeiteter personenbezogener Daten von Amts wegen anzusehen sei.
20 Das vorlegende Gericht hegt auch nach der in der vorstehenden Randnummer erwähnten Entscheidung des Alkotmánybíróság (Verfassungsgericht) noch Zweifel in Bezug auf die Auslegung von Art. 17 und Art. 58 Abs. 2 DSGVO. Das Recht auf Löschung personenbezogener Daten sei in Art. 17 Abs. 1 DSGVO als ein Recht der betroffenen Person definiert und diese Bestimmung enthalte nicht zwei verschiedene Fälle der Löschung.
21 Zudem könne eine betroffene Person ein Interesse an der Verarbeitung der sie betreffenden personenbezogenen Daten haben, auch wenn die Aufsichtsbehörde den Verantwortlichen wegen unrechtmäßiger Verarbeitung der Daten zu deren Löschung anweise. In einem solchen Fall übe die Behörde das Recht der betroffenen Person gegen deren Willen aus.
22 Das vorlegende Gericht möchte also klären, ob die Aufsichtsbehörde eines Mitgliedstaats unabhängig von der Ausübung der Rechte der betroffenen Person den Verantwortlichen oder den Auftragsverarbeiter zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten verpflichten kann, und wenn ja, auf welcher Rechtsgrundlage, insbesondere unter Berücksichtigung des Umstands, dass Art. 58 Abs. 2 Buchst. c DSGVO ausdrücklich einen Antrag der betroffenen Person auf Ausübung ihrer Rechte vorsieht und Art. 58 Abs. 2 Buchst. d als allgemeine Regel vorsieht, dass die Verarbeitungsvorgänge mit den Bestimmungen der DSGVO in Einklang zu bringen sind, während Art. 58 Abs. 2 Buchst. g DSGVO unmittelbar auf Art. 17 verweist, dessen Anwendung einen ausdrücklichen Antrag der betroffenen Person verlangt.
23 Für den Fall, dass die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter auch ohne Antrag der betroffenen Person zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen kann, möchte das vorlegende Gericht wissen, ob zum Zeitpunkt der angeordneten Löschung danach unterschieden werden kann, ob die personenbezogenen Daten bei der betroffenen Person erhoben wurden (angesichts der Verpflichtung des Verantwortlichen gemäß Art. 13 Abs. 2 Buchst. b DSGVO) oder bei einer anderen Person (angesichts der Verpflichtung gemäß Art. 14 Abs. 2 Buchst. c DSGVO) .
24 Unter diesen Umständen hat das Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen.
1. Ist Art. 58 Abs. 2, insbesondere Buchst. c, d und g DSGVO dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats in Ausübung ihrer Abhilfebefugnisse auch ohne ausdrücklichen Antrag der betroffenen Person gemäß Art. 17 Abs. 1 DSGVO einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten zu löschen?
2. Wenn die Antwort auf die erste Frage lautet, dass die Aufsichtsbehörde einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten auch ohne Antrag der betroffenen Person zu löschen, ist dies dann unabhängig davon, ob die personenbezogenen Daten bei der betroffenen Person erhoben wurden oder nicht?
Zu den Vorlagefragen
Zur ersten Frage
25 Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 58 Abs. 2 Buchst. c, d und g DSGVO dahin auszulegen ist, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DSGVO gestellt hat.
26 Diese Frage stellt sich im Rahmen eines Rechtsstreits, der die Rechtmäßigkeit eines Bescheids der ungarischen Aufsichtsbehörde betrifft, mit dem die Verwaltung Újpest nach Art. 58 Abs. 2 Buchst. d DSGVO zur Löschung der im Rahmen des in den Rn. 13 bis 15 des vorliegenden Urteils beschriebenen Unterstützungsprogramms unrechtmäßig verarbeiteten personenbezogenen Daten angewiesen wird.
27 Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist u. a. nach Buchst. d dieser Bestimmung zur unverzüglichen Löschung dieser Daten verpflichtet, sofern sie „unrechtmäßig verarbeitet“ wurden.
28 Nach Art. 58 Abs. 2 Buchst. d DSGVO darf die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Außerdem sieht Art. 58 Abs. 2 Buchst. g DSGVO vor, dass es der Aufsichtsbehörde gestattet ist, die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 DSGVO und die Unterrichtung der Empfänger, gegenüber denen diese personenbezogenen Daten gemäß Art. 17 Abs. 2 und Art. 19 DSGVO offengelegt wurden, über solche Maßnahmen anzuordnen.
29 Das vorlegende Gericht möchte in diesem Zusammenhang wissen, ob die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in Art. 58 Abs. 2 Buchst. c, d und g DSGVO vorgesehenen Abhilfebefugnisse von Amts wegen – d. h. ohne entsprechenden vorherigen Antrag seitens der betroffenen Person – zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.
30 Nach ständiger Rechtsprechung sind bei der Auslegung einer Unionsvorschrift nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden (Urteil vom 13. Juli 2023, G GmbH, C‑134/22, EU:C:2023:567, Rn. 25 und die dort angeführte Rechtsprechung) .
31 Zunächst ist darauf hinzuweisen, dass die in den Rn. 27 und 28 des vorliegenden Urteils genannten einschlägigen Bestimmungen des Unionsrechts in Verbindung mit Art. 5 Abs. 1 DSGVO zu lesen sind, in dem die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt sind, zu denen nach Buchst. a auch der Grundsatz gehört, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen.
32 Nach Art. 5 Abs. 2 DSGVO ist der Verantwortliche nach dem in dieser Bestimmung verankerten Grundsatz der „Rechenschaftspflicht“ für die Einhaltung von Art. 5 Abs. 1 verantwortlich und muss nachweisen können, dass jeder der dort genannten Grundsätze eingehalten worden ist, wofür ihm die Beweislast obliegt (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 53 und die dort angeführte Rechtsprechung) .
33 Entspricht die Verarbeitung personenbezogener Daten nicht den u. a. in Art. 5 DSGVO festgelegten Grundsätzen, so dürfen die Aufsichtsbehörden der Mitgliedstaaten im Einklang mit ihren Aufgaben und Befugnissen nach den Art. 57 und 58 DSGVO tätig werden. Zu diesen Aufgaben gehört es gemäß Art. 57 Abs. 1 Buchst. a DSGVO u. a., die Anwendung der Verordnung zu überwachen und durchzusetzen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 108) .
34 Der Gerichtshof hat insoweit bereits klargestellt, dass eine nationale Aufsichtsbehörde, wenn sie am Ende ihrer Untersuchung der Ansicht ist, dass die betroffene Person kein angemessenes Schutzniveau genießt, nach dem Unionsrecht verpflichtet ist, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, und zwar unabhängig davon, welchen Ursprungs und welcher Art sie ist. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Es ist Sache der Aufsichtsbehörde, das geeignete Mittel zu wählen, um mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 111 und 112) .
35 Was insbesondere die Frage betrifft, ob die betreffende Aufsichtsbehörde solche Abhilfemaßnahmen von Amts wegen ergreifen kann, ist zunächst darauf hinzuweisen, dass Art. 58 Abs. 2 DSGVO seinem Wortlaut nach zwischen Abhilfemaßnahmen unterscheidet, die von Amts wegen angeordnet werden können, dies sind u. a. die in Art. 58 Abs. 2 Buchst. d und g genannten, und solchen, die nur auf Antrag der betroffenen Person auf Ausübung ihrer Rechte aus dieser Verordnung hin ergriffen werden können, etwa die in Art. 58 Abs. 2 Buchst. c DSGVO genannten.
36 Wie sich aus dem Wortlaut von Art. 58 Abs. 2 Buchst. c DSGVO ausdrücklich ergibt, setzt die in dieser Bestimmung vorgesehene Abhilfebefugnis, nämlich „den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen“, voraus, dass eine betroffene Person ihre Rechte zuvor mit einem entsprechenden Antrag geltend gemacht hat und dass diesem Antrag nicht vor der in der Bestimmung vorgesehenen Entscheidung der Aufsichtsbehörde stattgegeben wurde. Dagegen berechtigt der Wortlaut von Art. 58 Abs. 2 Buchst. d und g DSGVO nicht zu der Annahme, dass das Eingreifen der Aufsichtsbehörde eines Mitgliedstaats im Hinblick auf die Anwendung der dort genannten Maßnahmen allein auf die Fälle beschränkt wäre, in denen die betroffene Person einen entsprechenden Antrag gestellt hat, da dieser Wortlaut keine Bezugnahme auf einen solchen Antrag enthält.
37 Sodann ist in Bezug auf den Zusammenhang, in dem diese Bestimmungen stehen, festzustellen, dass der Wortlaut von Art. 17 Abs. 1 DSGVO durch die eine Verknüpfung anzeigende Konjunktion „und“ zwischen dem Recht der betroffenen Person, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden Daten zu verlangen, und der Verpflichtung des Verantwortlichen zur unverzüglichen Löschung dieser personenbezogenen Daten unterscheidet. Daraus ist zu schließen, dass diese Bestimmung zwei voneinander unabhängige Fallgestaltungen regelt, nämlich zum einen die Löschung der Daten auf Antrag der betroffenen Person und zum anderen die Löschung aufgrund des Bestehens einer dem Verantwortlichen obliegenden eigenständigen, von einem Antrag der betroffenen Person unabhängigen Verpflichtung.
38 Wie nämlich der Europäische Datenschutzausschuss in seiner Stellungnahme Nr. 39/2021 ausgeführt hat, ist eine solche Unterscheidung erforderlich, da manche der in Art. 17 Abs. 1 genannten Fallgestaltungen Situationen erfassen, in denen die betroffene Person nicht notwendigerweise über die Verarbeitung von sie betreffenden personenbezogenen Daten informiert wurde, so dass allein der Verantwortliche feststellen kann, ob eine solche Verarbeitung stattfand. Dies ist insbesondere dann der Fall, wenn diese Daten im Sinne dieses Art. 17 Abs. 1 Buchst. d unrechtmäßig verarbeitet wurden.
39 Diese Auslegung wird gestützt von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a DSGVO, wonach der Verantwortliche u. a. sicherstellen muss, dass die von ihm durchgeführte Datenverarbeitung rechtmäßig ist (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 54) .
40 Schließlich spricht für eine solche Auslegung auch das mit Art. 58 Abs. 2 DSGVO verfolgte Ziel, wie es sich aus dem 129. Erwägungsgrund ergibt, nämlich sicherzustellen, dass die Verarbeitung personenbezogener Daten mit dieser Verordnung übereinstimmt und dass Situationen, in denen gegen die DSGVO verstoßen wird, durch das Eingreifen der nationalen Aufsichtsbehörden wieder mit dem Unionsrecht in Einklang gebracht werden.
41 Insoweit ist klarzustellen, dass es zwar Sache der Aufsichtsbehörde ist, das geeignete und erforderliche Mittel zu wählen und dabei alle Umstände des Einzelfalls zu berücksichtigen, dass diese Behörde aber gleichwohl verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 112) . Zur Gewährleistung einer wirksamen Anwendung der DSGVO ist es daher von besonderer Bedeutung, dass die Aufsichtsbehörde über wirksame Befugnisse verfügt, um wirksam gegen Verletzungen dieser Verordnung vorzugehen und insbesondere, um solche Verletzungen zu beenden, und zwar auch in den Fällen, in denen die betroffenen Personen nicht über die Verarbeitung ihrer personenbezogenen Daten informiert wurden, ihnen diese nicht bekannt ist oder sie jedenfalls die Löschung dieser Daten nicht beantragt haben.
42 Unter diesen Umständen ist anzunehmen, dass die Aufsichtsbehörde eines Mitgliedstaats die Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO, insbesondere die dort in den Buchst. d und g genannten Befugnisse, von Amts wegen ausüben darf, soweit die Ausübung dieser Befugnisse von Amts wegen erforderlich ist, damit sie ihre Aufgabe erfüllen kann. Ist also diese Behörde am Ende ihrer Untersuchung der Ansicht, dass die Verarbeitung nicht den Anforderungen der DSGVO entspricht, so muss sie nach dem Unionsrecht die geeigneten Maßnahmen erlassen, um den festgestellten Verstößen abzuhelfen, und zwar unabhängig davon, ob die betroffene Person zuvor einen Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DSGVO gestellt hat.
43 Eine solche Auslegung wird im Übrigen durch die mit der DSGVO verfolgten Ziele gestützt, wie sie u. a. Art. 1 und den Erwägungsgründen 1 und 10 der DSGVO zu entnehmen sind, die auf die Gewährleistung eines hohen Schutzniveaus für das Grundrecht natürlicher Personen auf Schutz der sie betreffenden personenbezogenen Daten verweisen, das in Art. 8 Abs. 1 der Charta der Grundrechte und in Art. 16 Abs. 1 AEUV verankert ist (vgl. in diesem Sinne Urteile vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 207, sowie vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 73) .
44 Eine andere Auslegung als die in Rn. 42 des vorliegenden Urteils vertretene, wonach eine Aufsichtsbehörde eines Mitgliedstaats nur auf einen entsprechenden Antrag der betroffenen Person hin zum Tätigwerden befugt wäre, würde das Erreichen der in den Rn. 40 und 43 des vorliegenden Urteils genannten Ziele gefährden, insbesondere in einer Situation wie der im Ausgangsverfahren, bei der die Löschung der unrechtmäßig verarbeiteten personenbezogenen Daten eine potenziell hohe Zahl von Personen betrifft, die ihr Recht nach Art. 17 Abs. 1 DSGVO nicht geltend gemacht haben.
45 Wie die Kommission in ihren schriftlichen Erklärungen im Wesentlichen ausgeführt hat, würde das Erfordernis einer vorherigen Antragstellung durch die betroffenen Personen nach Art. 17 Abs. 1 DSGVO bedeuten, dass der Verantwortliche ohne einen solchen Antrag die in Rede stehenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte. Eine solche Auslegung würde die Wirksamkeit des in dieser Verordnung vorgesehenen Schutzes mindern, da sie darauf hinausliefe, untätig bleibenden Personen den Schutz zu nehmen, obwohl ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden.
46 Nach alledem ist auf die erste Frage zu antworten, dass Art. 58 Abs. 2 Buchst. d und g DSGVO dahin auszulegen ist, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DSGVO gestellt hat.
Zur zweiten Frage
47 Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 58 Abs. 2 DSGVO dahin auszulegen ist, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.
48 Insoweit ist zunächst darauf hinzuweisen, dass der Wortlaut der in der vorstehenden Randnummer genannten Bestimmung keinen Hinweis enthält, der annehmen ließe, dass die dort aufgeführten Abhilfebefugnisse der Aufsichtsbehörde von der Herkunft der betreffenden Daten und insbesondere davon abhingen, dass sie bei der betroffenen Person erhoben wurden.
49 Ebenso wenig enthält der Wortlaut von Art. 17 Abs. 1 DSGVO, der gemäß den Ausführungen in Rn. 37 des vorliegenden Urteils eine eigenständige Verpflichtung des Verantwortlichen zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten vorsieht, eine Anforderung in Bezug auf die Herkunft der erhobenen Daten.
50 Wie zudem aus den Rn. 41 und 42 des vorliegenden Urteils hervorgeht, ist es erforderlich, dass die nationale Aufsichtsbehörde zur Gewährleistung einer wirksamen Anwendung der DSGVO über wirksame Befugnisse verfügt, um wirksam gegen Verletzungen dieser Verordnung vorzugehen. Daher können die Abhilfebefugnisse im Sinne von Art. 58 Abs. 2 Buchst. d und g DSGVO nicht von der Herkunft der betreffenden Daten und insbesondere nicht davon abhängen, dass sie bei der betroffenen Person erhoben wurden.
51 Folglich ist in Übereinstimmung mit allen Regierungen, die schriftliche Erklärungen abgegeben haben, und mit der Kommission davon auszugehen, dass die Ausübung der Abhilfebefugnisse im Sinne von Art. 58 Abs. 2 Buchst. d und g DSGVO nicht davon abhängen darf, dass die in Rede stehenden personenbezogenen Daten unmittelbar bei der betroffenen Person erhoben wurden.
52 Eine solche Auslegung wird auch durch die mit der DSGVO, insbesondere mit Art. 58 Abs. 2, verfolgten Ziele bestätigt, auf die in den Rn. 40 und 43 des vorliegenden Urteils eingegangen wurde.
53 Nach alledem ist auf die zweite Frage zu antworten, dass Art. 58 Abs. 2 DSGVO dahin auszulegen ist, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.