EuGH: Zur Auslegung der in Art. 14 Abs. 5 Buchst. c DSGVO enthaltenen Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person und zum Prüfungsumfang der Aufsichtsbehörde

EuGH, Urteil vom 28.11.2024 – C-169/23, Nemzeti Adatvédelmi és Információszabadság Hatóság gegen UC

ECLI:EU:C:2024:988

Volltext: BB-Online BBL2025-65-2

unter www.betriebs-berater.de

Tenor

1. Art. 14 Abs. 5 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat, unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der betroffenen Person erlangt hat oder er selbst sie im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

2. Art. 14 Abs. 5 Buchst. c und Art. 77 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art. 32 der genannten Verordnung verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

 

Aus den Gründen

1          Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 14 Abs. 1 und Abs. 5 Buchst. c, Art. 32 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

 

2          Es ergeht im Rahmen eines Rechtsstreits zwischen der Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, Ungarn) (im Folgenden: nationale Behörde) und UC über das Bestehen einer Informationspflicht in Bezug auf die Verarbeitung personenbezogener Daten bei der Budapest Főváros Kormányhivatala (Regierungsbehörde für die Hauptstadt Budapest, Ungarn) (im Folgenden: ausstellende Behörde), die für die Ausstellung von Immunitätszertifikaten für Personen zuständig ist, die gegen Covid‑19 geimpft wurden oder sich mit dieser Krankheit infiziert haben.

 

Rechtlicher Rahmen

Unionsrecht

DSGVO

3          In den Erwägungsgründen 1, 10 und 61 bis 63 der DSGVO heißt es:

„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union … sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

…

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. …

…

(61) Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.

(62) Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. …

(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. …“

 

4          Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

 

5          In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

…“

 

6          Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO sieht in Abs. 1 vor:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

…

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

…“

 

7          Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO bestimmt in Abs. 1 und 2:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

…

i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

…“

 

8          Kapitel III („Rechte der betroffenen Person“) der DSGVO enthält mehrere Abschnitte, darunter Abschnitt 2 („Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten“).

 

9          Zu diesem Abschnitt 2 gehören Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“), Art. 14 („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) und Art. 15 („Auskunftsrecht der betroffenen Person“) DSGVO.

 

10        In Art. 14 DSGVO heißt es:

„(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) die Kategorien personenbezogener Daten, die verarbeitet werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, …

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden[,] oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;

g) das Bestehen einer automatisierten Entscheidungsfindung …

…

(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

a) die betroffene Person bereits über die Informationen verfügt,

b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt[.] In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,

c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder

d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.“

 

11        Art. 32 („Sicherheit der Verarbeitung“) DSGVO hat folgenden Wortlaut:

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

 

12        Art. 55 („Zuständigkeit“) DSGVO bestimmt in Abs. 1:

„Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.“

 

13        Art. 57 („Aufgaben“) DSGVO sieht in Abs. 1 vor:

„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

a) die Anwendung dieser Verordnung überwachen und durchsetzen;

…

c) im Einklang mit dem Recht des [Mitgliedstaats] das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;

…“

 

14        Art. 58 („Befugnisse“) Abs. 3 DSGVO bestimmt:

„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,

…

b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,

…“

 

15        Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO sieht vor:

„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“

 

16        Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) DSGVO hat folgenden Wortlaut:

„(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Recht[s]behelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.“

 

Verordnung (EU) 2021/953

17        Art. 10 („Schutz personenbezogener Daten“) Abs. 1 der Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von COVID‑19‑Impfungen und -Tests sowie der Genesung von einer COVID‑19‑Infektion (digitales COVID-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID‑19-Pandemie (ABl. 2021, L 211, S. 1) sah vor:

„Die [DSGVO] gilt für die Verarbeitung personenbezogener Daten bei der Umsetzung dieser Verordnung.“

 

Ungarisches Recht

18        § 2 Abs. 1 der A koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (Regierungsverordnung Nr. 60/2021 vom 12. Februar 2021 über das Coronavirus‑Immunitätszertifikat) in ihrer auf das Ausgangsverfahren anwendbaren Fassung (im Folgenden: Verordnung Nr. 60/2021) lautete:

„Das Immunitätszertifikat enthält:

a) den Namen der betroffenen Person;

b) die Nummer des Reisepasses der betroffenen Person, sofern vorhanden;

c) die Dokumentennummer des dauerhaften Personalausweises der betroffenen Person, sofern vorhanden;

d) die Seriennummer des Immunitätszertifikats;

e) falls ein Impfnachweis vorgelegt wird, das Datum der Impfung;

f) falls ein Nachweis über die Genesung von der Infektion erbracht wird, die Gültigkeitsdauer des Nachweises;

g) einen mit Hilfe von IT‑Tools optisch lesbaren Datenspeichercode, der aus den unter den Buchst. a bis f genannten Daten erzeugt wird;

h) die folgenden Hinweise in Textform:

ha) ,Die Karte ist nur gültig, wenn sie zusammen mit dem Personalausweis oder dem Reisepass vorgelegt wird‘;

hb) ,Sie ist nicht übertragbar‘;

hc) ,Die mit der Karte verbundenen Rechte können auf der Internetseite koronavirus.gov.hu eingesehen werden‘.“

 

19        Nach § 2 Abs. 6 und 7 der Verordnung Nr. 60/2021 wird das Immunitätszertifikat von der ausstellenden Behörde der berechtigten natürlichen Person entweder von Amts wegen oder auf Antrag ausgestellt.

 

20        § 3 Abs. 3 dieser Verordnung bestimmt:

„In den in § 2 Abs. 6 Buchst. c und d genannten Fällen bezieht die [ausstellende] Behörde mittels automatischer Informationsübermittlung – erforderlichenfalls mit Hilfe der Dienste des Zuordnungsregisters –

a) vom Betreiber der EESZT (Elektronikus Egészségügyi Szolgáltatási Tér [Plattform Elektronische Gesundheitsdienste]): die Sozialversicherungsnummer der betroffenen Person, die in § 2 Abs. 1 Buchst. e und g genannten Daten sowie die in Abs. 1 genannten Daten;

b) von der für das Register von personenbezogenen Daten und Adressen zuständigen Stelle: den Namen, die Dokumentennummer des Reisepasses und des dauerhaften Personalausweises sowie die Adresse der betroffenen Person.“

 

Ausgangsverfahren und Vorlagefragen

21        UC, eine natürliche Person, erhielt nach der Verordnung Nr. 60/2021 von der ausstellenden Behörde ein Immunitätszertifikat, das seine Impfung gegen Covid‑19 bescheinigte.

 

22        Am 30. April 2021 leitete UC mit Einreichung einer Beschwerde auf der Grundlage von Art. 77 Abs. 1 DSGVO bei der nationalen Behörde ein Verwaltungsverfahren in Bezug auf die Verarbeitung der ihn betreffenden personenbezogenen Daten ein und beantragte, die ausstellende Behörde anzuweisen, ihre Verarbeitungsvorgänge mit der DSGVO in Einklang zu bringen. In seiner Beschwerde beanstandete er u. a., dass die ausstellende Behörde keine Erklärung über den Schutz personenbezogener Daten im Zusammenhang mit der Ausstellung der Immunitätszertifikate erstellt und veröffentlicht habe, und machte geltend, dass es keine Informationen über den Zweck und die Rechtsgrundlage der Verarbeitung dieser Daten sowie darüber, welche Rechte die betroffenen Personen hätten und wie sie diese ausüben könnten, gegeben hätte.

 

23        Im Rahmen des auf der Grundlage dieser Beschwerde eingeleiteten Verfahrens erklärte die ausstellende Behörde, dass sie ihre Aufgaben im Zusammenhang mit der Ausstellung des Immunitätszertifikats auf der Grundlage von § 2 der Verordnung Nr. 60/2021 wahrnehme, wobei die Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten Art. 6 Abs. 1 Buchst. e DSGVO und Art. 9 Abs. 2 Buchst. i DSGVO sei.

 

24        Darüber hinaus gab die ausstellende Behörde an, dass sie die von ihr verarbeiteten personenbezogenen Daten im Einklang mit den Bestimmungen der Verordnung Nr. 60/2021 von einer anderen Stelle erlangt habe. Auf dieser Grundlage machte sie geltend, dass sie gemäß Art. 14 Abs. 5 Buchst. c DSGVO nicht verpflichtet sei, Informationen über die Verarbeitung dieser Daten zur Verfügung zu stellen. Gleichwohl habe sie die geforderte Erklärung zum Schutz personenbezogener Daten erstellt und auf ihrer Website veröffentlicht.

 

25        Mit Bescheid vom 15. November 2021 wies die nationale Behörde den Antrag von UC zurück und stellte fest, dass es keine Informationspflicht der ausstellenden Behörde gebe, da die betreffende Verarbeitung personenbezogener Daten unter die Ausnahme von Art. 14 Abs. 5 Buchst. c DSGVO falle.

 

26        Diese Behörde war u. a. der Ansicht, dass Rechtsgrundlage für die Verarbeitung die Verordnung Nr. 60/2021 gewesen sei und dass diese Verordnung die ausstellende Behörde ausdrücklich dazu verpflichtet habe, die fraglichen Daten zu erheben. Die Veröffentlichung von Informationen über die Verarbeitung personenbezogener Daten durch die ausstellende Behörde auf ihrer Website sei eine bewährte Praxis und stelle keine Rechtspflicht dar.

 

27        Darüber hinaus habe die nationale Behörde von Amts wegen geprüft, ob es geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person im Sinne von Art. 14 Abs. 5 Buchst. c zweiter Halbsatz der DSGVO gebe, und sie habe festgestellt, dass die Bestimmungen der §§ 2, 3 und 5 bis 7 der Verordnung Nr. 60/2021 als solche zu anzusehen seien.

 

28        UC erhob gegen diesen Bescheid eine verwaltungsgerichtliche Klage beim Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn), das den Bescheid aufhob und die Behörde anwies, ein neues Verfahren durchzuführen.

 

29        In seinem Urteil führte dieses Gericht aus, dass die in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehene Ausnahme nicht anwendbar sei, da bestimmte, im Zusammenhang mit den Immunitätszertifikaten erzeugte personenbezogene Daten nicht von dem Verantwortlichen von einer anderen Stelle erlangt worden seien, sondern von diesem Verantwortlichen selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt würden. Dies sei bei der Seriennummer des Immunitätszertifikats, der Gültigkeitsdauer des Zertifikats im Falle einer mit dieser Krankheit infizierten Person, dem in die Karte integrierten QR-Code, dem Strichcode und anderen alphanumerischen Codes auf dem Übergabebeleg des Zertifikats sowie personenbezogenen Daten, die während des Verfahrens des Verantwortlichen im Zusammenhang mit der Bearbeitung der Sache erzeugt würden, der Fall gewesen. Nur von einer anderen Stelle erlangte personenbezogene Daten könnten unter die in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehene Ausnahme fallen.

 

30        Die nationale Behörde legte gegen dieses Urteil ein außerordentliches Rechtsmittel bei der Kúria (Oberstes Gericht, Ungarn), dem vorlegenden Gericht, ein.

 

31        In diesem Zusammenhang fragt sich dieses Gericht zunächst, ob die in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehene Ausnahme auf alle Verarbeitungen personenbezogener Daten Anwendung finden kann, mit Ausnahme derjenigen, die die bei der betroffenen Person erhobenen personenbezogenen Daten betreffen.

 

32        Für den Fall, dass dies zu bejahen ist, fragt sich das vorlegende Gericht, ob die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens nach Art. 77 Abs. 1 DSGVO für die Entscheidung über die Anwendbarkeit dieser Ausnahme prüfen darf, ob das nationale Recht des Verantwortlichen geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht.

 

33        Ist dies zu bejahen, möchte das vorlegende Gericht schließlich wissen, ob diese Prüfung auch die Geeignetheit der Maßnahmen betrifft, zu deren Durchführung der Verantwortliche nach Art. 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

 

34        Unter diesen Umständen hat die Kúria (Oberstes Gericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Ist Art. 14 Abs. 5 Buchst. c in Verbindung mit Art. 14 Abs. 1 und dem 62. Erwägungsgrund der DSGVO dahin auszulegen, dass sich die in Art. 14 Abs. 5 Buchst. c vorgesehene Ausnahme nicht auf Daten bezieht, die im Verfahren des Verantwortlichen selbst erzeugt wurden, sondern nur auf Daten, die der Verantwortliche ausdrücklich von einer anderen Person erlangt hat?

2. Ist für den Fall, dass Art. 14 Abs. 5 Buchst. c DSGVO auch für Daten gilt, die im Verfahren des Verantwortlichen selbst erzeugt wurden, Art. 77 Abs. 1 DSGVO, der das Recht auf Beschwerde bei einer Aufsichtsbehörde regelt, so auszulegen, dass eine natürliche Person, die eine Verletzung der Informationspflicht geltend macht, in Ausübung ihres Beschwerderechts auch verlangen kann, dass geprüft wird, ob das Recht des Mitgliedstaats gemäß Art. 14 Abs. 5 Buchst. c DSGVO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht?

3. Falls die zweite Frage bejaht wird: Kann Art. 14 Abs. 5 Buchst. c DSGVO dahin ausgelegt werden, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ implizieren, dass der nationale Gesetzgeber die in Art. 32 DSGVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit (mittels Rechtsvorschriften) umzusetzen hat?

 

35        Am 16. Januar 2024 hat der Gerichtshof die in Art. 23 der Satzung des Gerichtshofs der Europäischen Union bezeichneten Parteien und Beteiligten gemäß Art. 61 seiner Verfahrensordnung zur schriftlichen Beantwortung bestimmter Fragen aufgefordert. Der Kläger und die Beklagte des Ausgangsverfahrens, die ungarische und die tschechische Regierung sowie die Europäische Kommission haben diese Fragen beantwortet.

 

Zu den Vorlagefragen

Zur ersten Frage

 

36        Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 14 Abs. 5 Buchst. c DSGVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person nur personenbezogene Daten betrifft, die der Verantwortliche bei einer anderen Person als der betroffenen Person erhoben hat, oder ob sie sich auch auf personenbezogene Daten bezieht, die dieser Verantwortliche selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

 

37        Art. 14 Abs. 1, 2 und 4 DSGVO bestimmt, welche Informationen der Verantwortliche der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung zur Verfügung stellen muss, wenn die personenbezogenen Daten nicht bei dieser Person erhoben wurden.

 

38        Art. 14 Abs. 5 der Verordnung enthält Ausnahmen von dieser Verpflichtung. Unter diesen Ausnahmen sieht Abs. 5 Buchst. c vor, dass diese Verpflichtung keine Anwendung findet, wenn und soweit die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist.

 

39        Um zu bestimmen, ob diese Ausnahme personenbezogene Daten erfasst, die der Verantwortliche selbst im Rahmen der Erfüllung seiner Aufgaben aufgrund von Daten erzeugt, die er von einer anderen Person als der betroffenen Person erlangt hat, sind nach ständiger Rechtsprechung nicht nur der Wortlaut der Bestimmung, die diese Ausnahme vorsieht, sondern auch der Kontext dieser Bestimmung und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, Rn. 32 und die dort angeführte Rechtsprechung).

 

40        Als Erstes ist in Anbetracht des Wortlauts von Art. 14 Abs. 5 Buchst. c DSGVO der Gegenstand der „Erlangung oder Offenlegung“ im Sinne dieser Bestimmung zu bestimmen.

 

41        Erstens weichen nämlich die verschiedenen Sprachfassungen dieser Bestimmung voneinander ab. Die französische Fassung der Bestimmung bezieht sich auf die Erlangung oder Offenlegung von „Informationen“, während zunächst in der ungarischen („adat“), der estnischen („isikuandmed“), der kroatischen („podataka“), der litauischen („duomenų“), der niederländischen („gegevens“), der portugiesischen („dados“), der rumänischen („datelor“) und der schwedischen („uppgifter“) Fassung auf die Erlangung oder Offenlegung von „Daten“ Bezug genommen wird, die finnische Sprachfassung sodann einen Begriff („tietojen“) enthält, der sich sowohl auf „Daten“ als auch auf „Informationen“ beziehen kann und schließlich die bulgarische, spanische, tschechische, dänische, deutsche, griechische, englische, italienische, lettische, maltesische, polnische, slowakische und slowenische Fassung den Gegenstand der Erlangung oder Offenlegung nicht erwähnen.

 

42        Nach ebenfalls ständiger Rechtsprechung kann die in einer der Sprachfassungen einer Bestimmung des Unionsrechts verwendete Formulierung nicht als alleinige Grundlage für die Auslegung dieser Bestimmung herangezogen werden oder Vorrang vor den anderen Sprachfassungen beanspruchen. Die Bestimmungen des Unionsrechts müssen nämlich im Licht der Fassungen in allen Sprachen der Union einheitlich ausgelegt und angewandt werden. Weichen die verschiedenen Sprachfassungen eines Rechtstexts der Union voneinander ab, ist die fragliche Bestimmung anhand der allgemeinen Systematik und des Zwecks der Regelung auszulegen, zu der sie gehört (Urteil vom 21. März 2024, Cobult, C‑76/23, EU:C:2024:253, Rn. 25 und die dort angeführte Rechtsprechung).

 

43        Was die allgemeine Systematik der DSGVO betrifft, so ist Art. 14 Abs. 5 dieser Verordnung im Licht ihrer Erwägungsgründe 61 und 62 zu lesen, in denen zum einen auf die „[erlangten] personenbezogenen Daten und [offengelegten] personenbezogenen Daten“ sowie auf die „[ausdrücklich durch Rechtsvorschriften geregelte] Speicherung oder Offenlegung der personenbezogenen Daten“ und zum anderen auf die „[mitgeteilten] Informationen“ oder „[zur Verfügung zu stellende] Informationen“ Bezug genommen wird. Die Auslegung, wonach sich die „Erlangung oder Offenlegung“ im Sinne von Art. 14 Abs. 5 Buchst. c DSGVO auf personenbezogene Daten bezieht, wird darüber hinaus durch die weite Fassung des Begriffs „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO bestätigt, der jeden Vorgang im Zusammenhang mit personenbezogenen Daten erfasst (vgl. in diesem Sinne Urteil vom 5. Oktober 2023, Ministerstvo zdravotnictví [Mobile App Covid‑19], C‑659/22, EU:C:2023:745, Rn. 27 und die dort angeführte Rechtsprechung).

 

44        Im Hinblick auf den Zweck der Vorschriften, zu denen Art. 14 Abs. 5 Buchst. c DSGVO gehört, genügt, wie die Generalanwältin in Nr. 31 ihrer Schlussanträge ausgeführt hat, der Hinweis, dass der Normzweck dieser Ausnahme darin besteht, dass die in Art. 14 Abs. 1, 2 und 4 DSGVO vorgesehene Pflicht zur Information der betroffenen Person nicht gerechtfertigt ist, wenn eine andere Bestimmung des Unionsrechts oder des Rechts eines Mitgliedstaats den Verantwortlichen hinreichend vollständig und verbindlich verpflichtet, dieser Person Informationen über die Erlangung oder Offenlegung personenbezogener Daten zur Verfügung zu stellen. In dem von Art. 14 Abs. 5 Buchst. c erfassten Fall müssen die betroffenen Personen nämlich hinreichende Kenntnis davon haben, wie und zu welchen Zwecken die Daten erlangt oder offengelegt werden.

 

45        Folglich ist im Hinblick auf den Wortlaut von Art. 14 Abs. 5 Buchst. c DSGVO in allen Sprachfassungen davon auszugehen, dass diese Bestimmung dahin zu verstehen ist, dass sie sich auf die Erlangung oder Offenlegung personenbezogener Daten bezieht.

 

46        Zweitens ist festzustellen, dass der Wortlaut von Art. 14 Abs. 5 Buchst. c DSGVO die darin vorgesehene Ausnahme weder auf personenbezogene Daten beschränkt, die der Verantwortliche von einer anderen Person als der betroffenen Person erhalten hat, noch die Daten ausschließt, die der Verantwortliche selbst im Rahmen der Erfüllung seiner Aufgaben aus solchen Daten erzeugt hat.

 

47        Daraus folgt, dass personenbezogene Daten, die im Sinne dieser Bestimmung vom Verantwortlichen „erlangt“ werden, alle diejenigen sind, die dieser bei einer anderen Person als der betroffenen Person erhebt, und diejenigen, die er selbst im Rahmen der Erfüllung seiner Aufgabe aus Daten erzeugt hat, die er von einer anderen Person als der betroffenen Person erlangt hat.

 

48        Als Zweites ist festzustellen, dass der sachliche Anwendungsbereich von Art. 14 DSGVO im Verhältnis zu Art. 13 dieser Verordnung negativ definiert wird. Wie sich bereits aus den Überschriften dieser Bestimmungen ergibt, betrifft Art. 13 DSGVO die Informationen, die bei Erhebung von personenbezogenen Daten bei der betroffenen Person zur Verfügung zu stellen sind, während Art. 14 DSGVO die Informationen betrifft, die zur Verfügung zu stellen sind, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Unter Berücksichtigung dieser Zweiteilung gehören alle Fälle, in denen die Daten nicht bei der betroffenen Person erhoben werden, in den sachlichen Anwendungsbereich von Art. 14 DSGVO.

 

49        Somit ergibt sich aus der kombinierten Auslegung von Art. 13 und Art. 14 DSGVO, dass sowohl die personenbezogenen Daten, die der Verantwortliche von einer anderen Person als der betroffenen Person erlangt hat, als auch die vom Verantwortlichen selbst erzeugten Daten, die naturgemäß auch nicht von der betroffenen Person erlangt wurden, in den Anwendungsbereich von Art. 14 DSGVO fallen. Daraus folgt, dass die in Art. 14 Abs. 5 Buchst. c vorgesehene Ausnahme diese beiden Kategorien von Daten erfasst.

 

50        Als Drittes ist Art. 14 Abs. 5 Buchst. c DSGVO in einem Sinne auszulegen, der mit dem Ziel dieser Verordnung im Einklang steht, das, wie sich im Licht ihrer Erwägungsgründe 1 und 10 aus Art. 1 DSGVO ergibt, u. a. darin besteht, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, insbesondere ihres in Art. 8 Abs. 1 der Charta der Grundrechte und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil vom 7. März 2024, IAB Europe u. a., C‑604/22, EU:C:2024:214, Rn. 53 und die dort angeführte Rechtsprechung).

 

51        Insoweit geht aus dem 63. Erwägungsgrund der DSGVO hervor, dass nach dem Willen des Unionsgesetzgebers eine betroffene Person im Sinne dieser Verordnung ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzt, um sich deren Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

 

52        Somit kann der Verantwortliche von seiner Informationspflicht, die ihn normalerweise gegenüber einer betroffenen Person trifft, befreit werden, sofern diese Person in der Lage ist, Kontrolle über ihre personenbezogenen Daten auszuüben und ihre Rechte aus der DSGVO wahrzunehmen.

 

53        Dem mit dieser Verordnung verfolgten Ziel entsprechend setzt die in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehene Ausnahme von der Pflicht zur Information der betroffenen Person zum einen voraus, dass die Erlangung oder Offenlegung personenbezogener Daten durch den Verantwortlichen im Unionsrecht oder im Recht des Mitgliedstaats, dem dieser Verantwortliche unterliegt, ausdrücklich vorgesehen ist. Zum anderen muss dieses Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen.

 

54        Daraus ergibt sich, dass die Anwendung von Art. 14 Abs. 5 Buchst. c DSGVO, um mit dem Ziel der DSGVO in vollem Umfang vereinbar zu sein, von der strikten Einhaltung der in dieser Bestimmung vorgesehenen Voraussetzungen abhängt, d. h. u. a. davon, dass ein Schutzniveau für die betroffene Person besteht, das dem durch Art. 14 Abs. 1 bis 4 DSGVO garantierten Schutzniveau zumindest gleichwertig ist.

 

55        Nach alledem ist auf die erste Frage zu antworten, dass Art. 14 Abs. 5 Buchst. c DSGVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat, unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der betroffenen Person erlangt hat oder er selbst sie im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

 

Zur zweiten und zur dritten Frage

56        Mit seiner zweiten und seiner dritten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 14 Abs. 5 Buchst. c und Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht und, wenn dies der Fall ist, ob diese Prüfung auch die Geeignetheit der Maßnahmen betrifft, zu deren Durchführung der Verantwortliche nach Art. 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

 

57        Als Erstes ist darauf hinzuweisen, dass nach Art. 77 Abs. 1 DSGVO jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

 

58        Zur Zuständigkeit der Aufsichtsbehörden sieht Art. 55 Abs. 1 dieser Verordnung vor, dass jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist.

 

59        Was diese Aufgaben anbelangt, so bestimmt Art. 57 Abs. 1 Buchst. a DSGVO, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet die Anwendung dieser Verordnung überwachen und durchsetzen muss.

 

60        Die DSGVO enthält keine Bestimmung, die geeignet wäre, bestimmte Aspekte der Anwendung der in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehenen Ausnahme von der Zuständigkeit dieser Aufsichtsbehörden auszunehmen.

 

61        Nach dieser Bestimmung ist der Verantwortliche nicht verpflichtet, der betroffenen Person die in Art. 14 Abs. 1, 2 und 4 DSGVO genannten Informationen zur Verfügung zu stellen, wenn und soweit zum einen die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, ausdrücklich geregelt ist und diese zum anderen geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen.

 

62        Daher kann eine Beschwerde nach Art. 77 Abs. 1 DSGVO auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützt werden, die sich aus der Nichtbeachtung der Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehenen Ausnahme ergibt.

 

63        Was die erste, in Rn. 61 des vorliegenden Urteils genannte Voraussetzung anbelangt, so kann sich die mit einer solchen Beschwerde befasste Aufsichtsbehörde veranlasst sehen, zu prüfen, ob das Unionsrecht oder das nationale Recht vorsieht, dass der Verantwortliche personenbezogene Daten erlangen oder offenlegen muss.

 

64        Zur zweiten Voraussetzung ist in Übereinstimmung mit den Ausführungen der Generalanwältin in den Nrn. 67 und 69 ihrer Schlussanträge festzustellen, dass die Tragweite des Ausdrucks „geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person“ in der DSGVO nicht präzisiert wird. Allerdings müssen die Bestimmungen des Unionsrechts oder des Rechts der Mitgliedstaaten, die solche Maßnahmen vorsehen und denen der Verantwortliche unterliegt, wie in Rn. 54 des vorliegenden Urteils ausgeführt, ein Schutzniveau für die betroffene Person in Bezug auf die Verarbeitung ihrer personenbezogenen Daten gewährleisten, das dem in Art. 14 Abs. 1 bis 4 DSGVO vorgesehenen zumindest gleichwertig ist. Diese Bestimmungen müssen somit geeignet sein, die betroffene Person in die Lage zu versetzen, Kontrolle über ihre personenbezogenen Daten auszuüben und ihre Rechte aus der DSGVO wahrzunehmen.

 

65        Zu diesem Zweck ist es insbesondere von Bedeutung, dass diese Vorschriften klar und vorhersehbar die Quelle angeben, aus der die betroffene Person Informationen über die Verarbeitung der sie betreffenden personenbezogenen Daten erhält.

 

66        Im Zusammenhang mit der Übermittlung personenbezogener Daten zwischen Stellen eines Mitgliedstaats und mit der Erzeugung solcher Daten durch einen Verantwortlichen aus Daten, die bei einer anderen Person als der betroffenen Person erhoben wurden, ist darauf hinzuweisen, dass es im Fall einer Beschwerde der betroffenen Person Sache der Aufsichtsbehörde ist, u. a. zu prüfen, ob das einschlägige nationale oder Unionsrecht die verschiedenen Arten der zu erlangenden oder offenzulegenden personenbezogenen Daten sowie die personenbezogenen Daten, die der Verantwortliche im Rahmen der Erfüllung seiner Aufgaben zu erzeugen hat, hinreichend genau definiert und ob dieses Recht regelt, wie die betroffene Person tatsächlich Zugang zu den in Art. 14 Abs. 1, 2 und 4 DSGVO genannten Informationen hat.

 

67        Wie die Kommission in ihren schriftlichen Erklärungen ausführt, gehört die Prüfung durch eine Aufsichtsbehörde, ob alle Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehenen Ausnahme erfüllt sind, jedoch nicht zu einer Prüfung der Gültigkeit der einschlägigen Bestimmungen des nationalen Rechts. Diese Behörde entscheidet nur darüber, ob der Verantwortliche in einem bestimmten Fall berechtigt ist, sich gegenüber der betroffenen Person auf die in dieser Bestimmung vorgesehene Ausnahme zu berufen.

 

68        Zum Ergebnis einer solchen Prüfung ist darauf hinzuweisen, dass die betroffene Person nach Art. 78 DSGVO, wenn die Aufsichtsbehörde in einem bestimmten Fall beschließt, dass deren Beschwerde unbegründet ist, in ihrem Mitgliedstaat über das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den ablehnenden Beschluss verfügen muss.

 

69        Hält diese Behörde dagegen die Beschwerde für begründet und die Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehenen Ausnahme für nicht erfüllt, so fordert sie den Verantwortlichen auf, gemäß Art. 14 Abs. 1, 2 und 4 dieser Verordnung der betroffenen Person die Informationen zur Verfügung zu stellen.

 

70        Was als Zweites die Frage betrifft, ob diese Prüfung auch die Geeignetheit der Maßnahmen, die der Verantwortliche zur Gewährleistung der Sicherheit der Verarbeitung zu ergreifen hat, im Hinblick auf Art. 32 DSGVO umfassen muss, so ist darauf hinzuweisen, dass Art. 14 Abs. 5 Buchst. c dieser Verordnung nur eine Ausnahme von der Informationspflicht nach Art. 14 Abs. 1, 2 und 4 DSGVO vorsieht, ohne eine Ausnahme von den Pflichten vorzusehen, die in anderen Bestimmungen dieser Verordnung, darunter deren Art. 32, enthalten sind.

 

71        Der genannte Art. 32 verpflichtet den Verantwortlichen und seinen etwaigen Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Sicherheitsniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Die Geeignetheit dieser Maßnahmen ist konkret zu beurteilen, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 42, 46 und 47, sowie vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 37 und 38).

 

72        In Anbetracht des jeweiligen Wortlauts dieser beiden Bestimmungen ist darauf hinzuweisen, dass sich die in Art. 32 DSGVO verankerten Pflichten, die in jedem Fall und unabhängig von einer Informationspflicht nach Art. 14 dieser Verordnung zu beachten sind, in ihrer Art und Tragweite von der in Art. 14 DSGVO vorgesehenen Informationspflicht unterscheiden.

 

73        Somit wird im Fall einer Beschwerde nach Art. 77 Abs. 1 DSGVO mit der Begründung, der Verantwortliche habe sich zu Unrecht auf die in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehene Ausnahme berufen, der Gegenstand der von der Aufsichtsbehörde vorzunehmenden Prüfungen allein durch den Anwendungsbereich des Art. 14 DSGVO begrenzt, wobei die Einhaltung von Art. 32 dieser Verordnung nicht Teil dieser Prüfungen ist.

 

74        Nach alledem ist auf die zweite und die dritte Frage zu antworten, dass Art. 14 Abs. 5 Buchst. c und Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art. 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.