R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
Wirtschaftsrecht
10.04.2025
Wirtschaftsrecht
EuGH: Offenlegung von Daten einer natürlichen Person, die eine juristische Person vertritt, als Verarbeitung personenbezogener Daten

EuGH, Urteil vom 3.4.2025 – C-710/23, L. H.gegen Ministerstvo zdravotnictví

 ECLI:EU:C:2025:231

Volltext: BB-Online BBL2025-897-1

unter www.betriebs-berater.de

Tenor

1. Art. 4 Nrn. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.

2. Art. 6 Abs. 1 Buchst. c und e in Verbindung mit Art. 86 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Rechtsprechung nicht entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.

 

Aus den Gründen

1          Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nr. 1 sowie Art. 6 Abs. 1 Buchst. c und e der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2          Es ergeht im Rahmen eines Rechtsstreits zwischen L. H. und dem Ministerstvo zdravotnictví (Gesundheitsministerium, Tschechische Republik) wegen dessen Entscheidung, L. H. bestimmte Informationen über Vertreter juristischer Personen, die in Verträgen über den Kauf von Covid-19-Tests und in Zertifikaten für diese Tests genannt werden, nicht mitzuteilen.

Rechtlicher Rahmen

Unionsrecht

3          In den Erwägungsgründen 1, 4, 10, 14 und 154 der DSGVO heißt es:

„(1)       Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(4)         Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

(10)      Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.

(14)      Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

(154)    Diese Verordnung ermöglicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten kann als öffentliches Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden, sollten von dieser Behörde oder Stelle öffentlich offengelegt werden können, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist. Diese Rechtsvorschriften sollten den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten in Einklang bringen und können daher die notwendige Übereinstimmung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung regeln. Die Bezugnahme auf Behörden und öffentliche Stellen sollte in diesem Kontext sämtliche Behörden oder sonstigen Stellen beinhalten, die vom Recht des jeweiligen Mitgliedstaats über den Zugang der Öffentlichkeit zu Dokumenten erfasst werden. …“

4          Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

5          In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.         ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2.         ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…“

6          Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO bestimmt:

„(1)       Personenbezogene Daten müssen

a)         auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

…“

7          Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO sieht vor:

„(1)       Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)         Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)         die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)         die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)         die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)         die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)          die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(2)        Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3)        Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a)         Unionsrecht oder

b)         das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

…“

8          Art. 86 („Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten“) DSGVO gehört zu Kapitel IX der Verordnung, das Vorschriften für besondere Verarbeitungssituationen enthält. Dieser Artikel bestimmt:

„Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.“

Tschechisches Recht

9          Der Zákon č. 106/1999 Sb., o svobodném přístupu k informacím (Gesetz Nr. 106/1999 über den freien Zugang zu Informationen) sieht für Behörden die Verpflichtung vor, einer natürlichen oder juristischen Person, die dies beantragt, Informationen zu erteilen.

10        Nach § 8a Abs. 1 dieses Gesetzes erteilt die zur Auskunft verpflichtete Stelle Auskünfte über die Persönlichkeit, den Ausdruck des persönlichen Charakters, die Privatsphäre einer natürlichen Person und personenbezogene Daten nur nach Maßgabe der gesetzlichen Bestimmungen über ihren Schutz.

Ausgangsrechtsstreit und Vorlagefragen

11        L. H. stellte beim Gesundheitsministerium einen Antrag auf Informationen zur Identifizierung von Personen, die vom Ministerium abgeschlossene Verträge über den Kauf von Covid-19-Tests sowie Zertifikate für diese Tests unterzeichnet hatten, aus denen hervorgeht, dass diese im Gebiet der Union verwendet werden dürfen.

12        Das Ministerium entsprach dem Antrag von L. H. teilweise und übermittelte ihm die Zertifikate für die Tests, wobei es die Informationen zu den natürlichen Personen, die die Zertifikate im Namen der betreffenden juristischen Personen unterzeichnet hatten – einschließlich des Vornamens, des Nachnamens, der Unterschrift und der funktionalen Stellung dieser natürlichen Personen sowie in einigen Fällen der E‑Mail-Adresse, der Telefonnummer und der Website der juristischen Personen – schwärzte. Die Schwärzung dieser Informationen wurde mit dem Schutz der personenbezogenen Daten der in den Zertifikaten genannten natürlichen Personen nach den Vorgaben der DSGVO gerechtfertigt.

13        L. H. erhob beim Městský soud v Praze (Stadtgericht Prag, Tschechische Republik) Klage auf Aufhebung der Mitteilung des Gesundheitsministeriums, soweit die genannten Angaben geschwärzt worden waren. Das Gericht gab der Klage statt, wobei es davon ausging, dass das Ministerium die Mitteilung von Informationen, die personenbezogene Daten beinhalteten, nicht grundsätzlich hätte verweigern dürfen, ohne die vom Antrag auf Mitteilung dieser Daten betroffenen Personen zuvor informiert oder ihre Stellungnahme eingeholt zu haben, wie dies in der einschlägigen nationalen Rechtsprechung vorgesehen sei. Dadurch habe das Gesundheitsministerium nämlich zum einen versäumt, den betroffenen Personen die Stellung von „Verfahrensbeteiligten“ im Sinne des innerstaatlichen Rechts zuzuerkennen, und sich zum anderen nicht in rechtlich hinreichender Weise vergewissert, dass keine der in Art. 6 Abs. 1 DSGVO vorgesehenen Rechtmäßigkeitsvoraussetzungen gegeben sei.

14        Gegen die Entscheidung des Městský soud v Praze (Stadtgericht Prag) legte das Gesundheitsministerium Kassationsbeschwerde beim Nejvyšší správní soud (Oberstes Verwaltungsgericht, Tschechische Republik), dem vorlegenden Gericht, ein. Das Ministerium ist der Ansicht, dass die Nichtunterrichtung der betroffenen natürlichen Personen über den Antrag auf Mitteilung der in Rede stehenden Daten keinen Verfahrensfehler darstellen könne. Diese Personen betätigten sich von China und dem Vereinigten Königreich aus, wo die juristischen Personen, von denen die Zertifikate ausgestellt worden seien, ihren Sitz hätten, und der Wohnsitz dieser natürlichen Personen sei unbekannt. Damit sei es unmöglich, sie zu unterrichten und zu konsultieren.

15        In diesem Zusammenhang wirft das vorlegende Gericht als Erstes die Frage auf, ob die im Ausgangsverfahren in Rede stehenden Daten „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO darstellen. Unter Berücksichtigung des 14. Erwägungsgrundes der DSGVO neigt das vorlegende Gericht zu der Ansicht, dass solche Informationen Daten einer juristischen Person darstellten, die nicht in den Anwendungsbereich der DSGVO fielen. In der Rechtsprechung des Gerichtshofs werde allerdings einer weiten Auslegung des Begriffs „personenbezogene Daten“ der Vorzug gegeben, aus der sich ergebe, dass Informationen über identifizierbare natürliche Personen, insbesondere aus Unternehmensregistern, unter diesen Begriff fielen.

16        Für den Fall, dass der Gerichtshof die im Ausgangsverfahren in Rede stehenden Daten als personenbezogene Daten ansehen sollte, wirft das vorlegende Gericht als Zweites die Frage auf, ob die einschlägige nationale Rechtsprechung, wonach der mit einem Antrag auf Übermittlung der Daten befasste Verantwortliche verpflichtet ist, die betroffene Person vor der Übermittlung der Daten an den Antragsteller zu unterrichten und zu konsultieren, mit dem Unionsrecht vereinbar ist. Diese Verpflichtung bestehe auch in Fällen, in denen die DSGVO selbst keine Einwilligung der betroffenen Person erfordere, mithin in anderen Fällen als dem in Art. 6 Abs. 1 Buchst. a DSGVO genannten Fall. Die Verpflichtung gehe also über die Anforderungen der DSGVO hinaus und mache den Zugang zu den in Rede stehenden Daten möglicherweise schwieriger als in anderen Mitgliedstaaten. Außerdem sei unter Berücksichtigung des Anwendungsbereichs der DSGVO eine systematische Anwendung der Verpflichtung zur Unterrichtung und Vorabkonsultation schwierig, wenn nicht unmöglich, insbesondere bei Dateien zu einer großen Anzahl von in unterschiedlichen Ländern wohnhaften Personen.

17        Vor diesem Hintergrund hat der Nejvyšší správní soud (Oberstes Verwaltungsgericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.         Handelt es sich bei der Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person als Geschäftsführer oder verantwortlichem Vertreter einer juristischen Person, die ausschließlich zum Zweck der Identifizierung der (Person, die befugt ist, im Namen der bestimmten) juristischen Person (zu handeln) erfolgt, dennoch um die Verarbeitung „personenbezogener Daten“ über diese natürliche Person gemäß Art. 4 Nr. 1 DSGVO, und fällt sie somit in den Anwendungsbereich der DSGVO?

2.         Kann das nationale Recht, einschließlich der ständigen Rechtsprechung der Gerichte, die Anwendung einer unmittelbar anwendbaren EU-Verordnung durch eine Verwaltungsbehörde, konkret Art. 6 Abs. 1 Buchst. c oder e DSGVO, von der Erfüllung weiterer Bedingungen abhängig machen, die sich nicht aus dem Wortlaut der Verordnung selbst ergeben, die aber das Schutzniveau für die betroffenen Personen tatsächlich erhöhen, konkret von der Verpflichtung der Behörde, die betroffene Person im Voraus über einen Antrag auf Weitergabe ihrer personenbezogenen Daten an einen Dritten zu informieren?

Zu den Vorlagefragen

Zur ersten Frage

18        Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen ob Art. 4 Nrn. 1 und 2 DSGVO dahin auszulegen ist, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, auch dann eine Verarbeitung personenbezogener Daten darstellt, wenn sie ausschließlich zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln.

19        Einleitend ist darauf hinzuweisen, dass die juristischen Personen, die die im Ausgangsrechtsstreit in Rede stehenden Zertifikate ausgestellt haben, ihren Sitz nach den Angaben des vorlegenden Gerichts in Drittländern haben, nämlich in China und im Vereinigten Königreich. Unter bestimmten Bedingungen können solche juristische Personen zwar den Offenlegungsvorschriften der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts (ABl. 2017, L 169, S. 46) unterliegen, u. a. hinsichtlich der Pflicht zur Offenlegung der Personalien derjenigen, die befugt sind, diese juristischen Personen außergerichtlich zu vertreten. In der dem Gerichtshof vorliegenden Akte deutet jedoch nichts darauf hin, dass diese Richtlinie im vorliegenden Fall einschlägig wäre.

20        Im Anschluss an diese Vorbemerkung ist darauf hinzuweisen, dass nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“, „personenbezogene Daten“ darstellen. Als „identifizierbar“ im Sinne dieser Bestimmung „wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

21        Nach ständiger Rechtsprechung kommt in der Verwendung der Formulierung „alle Informationen“ bei der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Vorschrift das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteile vom 7. März 2024, IAB Europe, C‑604/22, EU:C:2024:214, Rn. 36 und 37, sowie vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 130 und 131 sowie die dort angeführte Rechtsprechung).

22        Damit stellen Informationen über identifizierte oder identifizierbare natürliche Personen, die als gesetzlich vorgesehenes Gesellschaftsorgan oder als Mitglieder eines solchen Organs befugt sind, die Gesellschaft außergerichtlich zu vertreten, „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO dar. Dass diese Informationen im Kontext einer beruflichen Tätigkeit stehen, bedeutet nicht, dass sie keine personenbezogenen Daten sind (vgl. entsprechend Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 32 und 34 sowie die dort angeführte Rechtsprechung).

23        Eine solche Auslegung lässt sich, wie die Kommission ausgeführt hat, nicht mit dem 14. Erwägungsgrund entkräften. Der zweite Satz dieses Erwägungsgrundes verweist nämlich u. a. auf „Name“ und „Kontaktdaten“ der juristischen Person, nicht aber der natürlichen Personen, die im Namen oder für Rechnung einer juristischen Person tätig sind.

24        Im vorliegenden Fall ist festzustellen, dass der Vorname und der Nachname einer identifizierten oder identifizierbaren natürlichen Person personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind. Gleiches gilt für die Unterschrift einer solchen natürlichen Person (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 136).

25        Hinsichtlich der übrigen im Ausgangsverfahren in Rede stehenden Kontaktdaten obliegt dem vorlegenden Gericht die Prüfung, ob diese Kontaktdaten unter Berücksichtigung der in Rn. 21 des vorliegenden Urteils angeführten Rechtsprechung mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind.

26        Der Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO bezeichnet „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

27        Aus dem Ausdruck „jeder Vorgang“ ergibt sich somit, dass der Gesetzgeber den Begriff „Verarbeitung“ weit fassen wollte; dies wird dadurch bestätigt, dass die Vorgänge – die die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung einschließen, wobei diese Vorgänge automatisiert oder nicht automatisiert erfolgen können – in der genannten Bestimmung nicht abschließend aufgezählt werden, was durch die Wendung „wie“ zum Ausdruck kommt (vgl. in diesem Sinne Urteil vom 7. März 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, Rn. 29 und 30 sowie die dort angeführte Rechtsprechung).

28        In jedem Fall bietet der Wortlaut von Art. 4 Nr. 2 DSGVO keinerlei Anhaltspunkt dafür, dass der Unionsgesetzgeber die Absicht gehabt hätte, die Einstufung dieser Vorgänge als „Verarbeitung“ von ihrer Zweckbestimmung abhängig zu machen.

29        Eine solche Auslegung steht mit dem Ziel der DSGVO in Einklang, das, wie aus ihrem Art. 1 und aus ihren Erwägungsgründen 1 und 10 hervorgeht, insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben bei der Verarbeitung personenbezogener Daten – zu gewährleisten (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Mousse, C‑394/23, EU:C:2025:2, Rn. 21 und die dort angeführte Rechtsprechung).

30        Im vorliegenden Fall fällt die Übermittlung von Daten wie Vorname, Nachname, Unterschrift und Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, unter den Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO. Wie sich aus den Rn. 27 bis 29 des vorliegenden Urteils ergibt, ist es für die Einstufung als „Verarbeitung“ im Sinne dieser Bestimmung ohne Belang, dass die Offenlegung dieser Daten allein zu dem Zweck erfolgt, die Identifizierung einer natürlichen Person zu ermöglichen, die befugt ist, im Namen einer juristischen Person zu handeln.

31        Nach alledem ist auf die erste Frage zu antworten, dass Art. 4 Nrn. 1 und 2 DSGVO dahin auszulegen ist, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.

Zur zweiten Frage

32        Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Buchst. c und e DSGVO dahin auszulegen ist, dass er einer nationalen Rechtsprechung entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren.

33        Gemäß dem mit der DSGVO verfolgten Ziel, wie es in Rn. 29 des vorliegenden Urteils dargelegt wurde, muss jede Verarbeitung personenbezogener Daten insbesondere mit den in Art. 5 dieser Verordnung aufgestellten Grundsätzen für die Verarbeitung solcher Daten im Einklang stehen und die in Art. 6 der Verordnung aufgezählten Rechtmäßigkeitsvoraussetzungen erfüllen (Urteil vom 9. Januar 2025, Mousse, C‑394/23, EU:C:2025:2, Rn. 22 und die dort angeführte Rechtsprechung).

34        Nach Art. 5 Abs. 1 Buchst. a DSGVO sind personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten.

35        Art. 6 Abs. 1 Buchst. c DSGVO sieht vor, dass eine Verarbeitung rechtmäßig sein kann, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Nach Art. 6 Abs. 1 Buchst. e DSGVO kann eine solche Verarbeitung auch rechtmäßig sein, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

36        Nach Art. 6 Abs. 2 DSGVO können die Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Abs. 1 Buchst. c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX DSGVO.

37        Art. 6 Abs. 3 DSGVO sieht vor, dass die Rechtsgrundlage für die Verarbeitungen gemäß Art. 6 Abs. 1 Buchst. c und e im Einzelfall durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt wird. Die maßgebliche Rechtsgrundlage muss ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Diese Rechtsgrundlage kann auch spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO enthalten, u. a. Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX der DSGVO.

38        Des Weiteren sieht im Bereich des Zugangs der Öffentlichkeit zu amtlichen Dokumenten Art. 86 in Kapitel IX DSGVO vor, dass personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, von der Behörde oder der Einrichtung gemäß dem maßgeblichen Unionsrecht oder dem maßgeblichen Recht des Mitgliedstaats offengelegt werden können, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.

39        Dieser Artikel ist unter Berücksichtigung erstens des vierten Erwägungsgrundes der DSGVO – in dem es u. a. heißt, dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist –, zweitens des 154. Erwägungsgrundes der DSGVO – aus dem u. a. hervorgeht, dass der Zugang der Öffentlichkeit zu amtlichen Dokumenten als öffentliches Interesse betrachtet werden kann – und drittens der Rechtsprechung zu lesen, wonach der Transparenzgrundsatz, wie er sich aus den Art. 1 und 10 EUV sowie aus Art. 15 AEUV ergibt, eine bessere Beteiligung der Bürger am Entscheidungsprozess ermöglicht und eine größere Legitimität, Effizienz und Verantwortung der Verwaltung in einem demokratischen System gewährleistet (Urteil vom 22. November 2022, Luxembourg Business Registers, C‑37/20 und C‑601/20, EU:C:2022:912, Rn. 60 und die dort angeführte Rechtsprechung).

40        Zwar haben die Mitgliedstaaten dem zehnten Erwägungsgrund der DSGVO zufolge die Möglichkeit, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen; sie müssen aber von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Verordnung Gebrauch machen und daher Rechtsvorschriften erlassen, die nicht gegen den Inhalt und die Ziele der DSGVO verstoßen (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 59 und die dort angeführte Rechtsprechung).

41        Außerdem müssen sich die Mitgliedstaaten gemäß dem Grundsatz der Verhältnismäßigkeit vergewissern, dass die praktischen Folgen, insbesondere organisatorischer Art, die durch die von ihnen festgelegten zusätzlichen Anforderungen hervorgerufen werden, nicht exzessiv sind (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 67).

42        Im vorliegenden Fall kann die im Ausgangsverfahren in Rede stehende Verarbeitung sowohl unter Art. 6 Abs. 1 Buchst. c als auch unter Art. 6 Abs. 1 Buchst. e DSGVO fallen, da sie dem Verantwortlichen durch das Gesetz Nr. 106/1999 in Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, nämlich der Gewährleistung des Zugangs der Öffentlichkeit zu amtlichen Dokumenten, auferlegt wird. Insoweit steht außer Frage, dass dieses Gesetz die Behörden verpflichtet, Informationen einschließlich amtlicher Dokumente an Personen zu übermitteln, die dies beantragen.

43        Soweit die beantragten Informationen personenbezogene Daten enthalten, sieht das Gesetz allerdings vor, dass diese Daten nur unter Beachtung der Vorschriften über ihren Schutz mitgeteilt werden dürfen. Diese Vorschriften schließen nach Angaben des vorlegenden Gerichts die DSGVO ein. Der Vorlageentscheidung lässt sich entnehmen, dass die Rechtsprechung des vorlegenden Gerichts zusätzliche Verpflichtungen festgelegt hat, die zu den in der DSGVO ausdrücklich vorgesehenen hinzukommen. Nach dieser Rechtsprechung sind die Behörden nämlich verpflichtet, die betroffene Person zu unterrichten und zu konsultieren, bevor jegliche Offenlegung der Daten erfolgt.

44        Zur Vereinbarkeit einer nationalen Rechtsprechung wie der im Ausgangsverfahren in Rede stehenden mit der DSGVO ist festzustellen, dass die Mitgliedstaaten gemäß den in den Rn. 36 und 37 des vorliegenden Urteils angeführten Vorschriften spezielle Bestimmungen einführen dürfen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung in besonderen Verarbeitungssituationen wie der in Art. 86 DSGVO genannten zu gewährleisten. Eine solche Rechtsprechung kann insoweit zur Rechtsgrundlage der Verarbeitung im Sinne von Art. 6 Abs. 3 DSGVO gehören.

45        Folglich steht Art. 6 Abs. 1 Buchst. c und e DSGVO einer nationalen Rechtsprechung, die eine Verpflichtung vorsieht, die betroffene Person vor jeglicher Offenlegung sie betreffender personenbezogener Daten zu unterrichten und zu konsultieren, nicht grundsätzlich entgegen. Eine solche Verpflichtung ist nämlich geeignet, eine rechtmäßige und nach Treu und Glauben sowie in einer für diese Person nachvollziehbaren Weise erfolgende Verarbeitung im Sinne von Art. 5 Abs. 1 Buchst. a DSGVO zu gewährleisten, indem der Person die Möglichkeit eingeräumt wird, zu der beabsichtigten Offenlegung Stellung zu nehmen. Diese Verpflichtung trägt damit zur Verwirklichung des in Rn. 29 des vorliegenden Urteils genannten Ziels bei und ermöglicht es zugleich der Behörde, in voller Kenntnis der Sachlage den von Art. 86 geforderten Ausgleich vorzunehmen.

46        In Anbetracht der in den Rn. 40 und 41 des vorliegenden Urteils angeführten Rechtsprechung könnte eine uneingeschränkte Anwendung der genannten Verpflichtung allerdings zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu amtlichen Dokumenten führen. Es ist nämlich denkbar, dass sich die Unterrichtung und/oder Konsultation der betroffenen Person aus verschiedenen Gründen als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert. Die systematische Verweigerung jeglicher Offenlegung von Informationen zu dieser Person mit der praktischen Unmöglichkeit zu rechtfertigen, diese Person zu unterrichten und zu konsultieren, würde in einem solchen Kontext dazu führen, dass jeder Versuch, die betroffenen Interessen miteinander in Einklang zu bringen, ausgeschlossen wäre, obgleich ein solcher Ausgleich in Art. 86 DSGVO vorgesehen ist.

47        Vorbehaltlich einer Prüfung durch das vorlegende Gericht scheint das Gesundheitsministerium seine Entscheidung, nicht alle angeforderten Informationen offenzulegen, im vorliegenden Fall allein auf diese praktische Unmöglichkeit gestützt zu haben, ohne in irgendeiner Weise versucht zu haben, die Interessen miteinander in Einklang zu bringen.

48        Nach alledem ist auf die zweite Frage zu antworten, dass Art. 6 Abs. 1 Buchst. c und e DSGVO in Verbindung mit deren Art. 86 dahin auszulegen ist, dass er einer nationalen Rechtsprechung nicht entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.

stats