Vorläufige Fassung
SCHLUSSANTRÄGE DER GENERALANWÄLTIN
LAILA MEDINA
vom 6. Juni 2024(1)
Rechtssache C‑169/23 [Másdi](i)
Nemzeti Adatvédelmi és Információszabadság Hatóság
gegen
UC
(Vorabentscheidungsersuchen der Kúria [Oberstes Gericht, Ungarn])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Datenverarbeitung im Zusammenhang mit der Ausstellung eines Covid-19-Zertifikats – Bereitstellung von Informationen, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden – Art. 14 Abs. 1 – Ausnahmen von der Informationspflicht – Durch Rechtsvorschriften der Union oder der Mitgliedstaaten ausdrücklich geregelte Erlangung oder Offenlegung – Geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person – Art. 14 Abs. 5 Buchst. c – Recht auf Beschwerde bei einer Aufsichtsbehörde – Art. 77“
I. Einleitung
1. Eine der wichtigsten Pflichten des für die Verarbeitung von Daten Verantwortlichen (im Folgenden: Verantwortlicher) ist die Pflicht, der betroffenen Person Informationen zur Verfügung zu stellen. In seinen Schlussanträgen in der Rechtssache Bara u. a. führte Generalanwalt Cruz Villalón treffend aus, dass das Erfordernis einer Unterrichtung der betroffenen Person „bei jeder Verarbeitung Transparenz gewährleistet“(2). Die Informationspflicht entspricht einem zentralen Recht der betroffenen Person, Informationen über die Verarbeitung ihrer Daten zu erhalten. In der juristischen Literatur(3) wird darauf hingewiesen, dass das Recht auf Information „beispielhaft“ für den Grundsatz der Transparenz ist und „den Mittelpunkt“ für alle anderen Rechte „darstellt“. Denn umfangreiche Informationspflichten ermöglichen der betroffenen Person die Ausübung anderer wichtiger Rechte, die in der Verordnung (EU) 2016/679 anerkannt werden(4).
2. Zu der vorliegenden Streitsache kam es im Zusammenhang mit der Ausstellung von Covid-19-Zertifikaten. Sie gibt dem Gerichtshof die Gelegenheit, sich erstmals mit der Auslegung einer wichtigen Ausnahme von der in Art. 14 Abs. 5 Buchst. c DSGVO festgelegten Informationspflicht des Verantwortlichen zu befassen. Die in Rede stehende Ausnahmeregelung wird im Zusammenhang mit den Befugnissen der Aufsichtsbehörde im Kontext einer Beschwerde der betroffenen Person beurteilt werden.
II. Rechtlicher Rahmen
A. Unionsrecht
3. Art. 14 („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) DSGVO sieht in den Abs. 1, 2 und 5 vor:
„(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
(d) die Kategorien personenbezogener Daten, die verarbeitet werden;
(e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
(f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der [Europäischen] Kommission …
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
…
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit:
…
c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist;
…“
4. Art. 32 („Sicherheit der Verarbeitung“) Abs. 1 DSGVO bestimmt:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …
…“
5. Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO sieht vor:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
B. Ungarisches Recht
6. § 2 Abs. 1 Buchst. a bis g der A koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (Regierungsverordnung 60/2021 vom 12. Februar [2021] über das Coronavirus‑Immunitätszertifikat, im Folgenden: Regierungsverordnung 60/2021) in der zur Zeit des Ausgangsverfahrens geltenden Fassung sieht vor:
„Das Immunitätszertifikat enthält:
a) den Namen der betroffenen Person;
(b) die Nummer des Reisepasses der betroffenen Person, sofern vorhanden;
(c) die Nummer und die Dokumentenkennung des dauerhaften Personalausweises der betroffenen Person, sofern vorhanden;
(d) die Seriennummer des Immunitätszertifikats;
(e) falls ein Impfnachweis vorgelegt wird, das Datum der Impfung;
(f) falls ein Nachweis über die Genesung von der Infektion erbracht wird, die Gültigkeitsdauer des Nachweises;
(g) einen computerlesbaren Datenspeichercode, der aus den unter den Buchst. a bis f genannten Daten erzeugt wird;
…“
7. Nach § 2 Abs. 6 und 7 der Regierungsverordnung 60/2021 musste das Immunitätszertifikat von der Budapest Főváros Kormányhivatala (Regierungsbehörde für die Hauptstadt Budapest, Ungarn, im Folgenden: Regierungsbehörde Budapest) zugunsten der berechtigten natürlichen Person entweder von Amts wegen oder auf Antrag ausgestellt werden.
8. § 3 Abs. 3 der Regierungsverordnung 60/2021 bestimmt:
„In den in § 2 Abs. 6 Buchst. c und d genannten Fällen bezieht die [Regierungsbehörde Budapest] mittels automatischer Informationsübermittlung – erforderlichenfalls über die entsprechenden Dienste des összerendelési nyilvántartás (Register zur elektronischen Verwaltung von Identifikationsdaten, Ungarn) –
(a) vom Betreiber des EESZT (Elektronikus Egészségügyi Szolgáltatási Tér [Raum Elektronischer Gesundheitsdienstleistungen]): die Sozialversicherungsnummer der betroffenen Person, die in § 2 Abs. 1 Buchst. e und g genannten Daten sowie die in Unterabs. 1 genannten Daten;
(b) von der für die Speicherung von personenbezogenen Daten und Adressen zuständigen Stelle: den Namen, die Dokumentenkennung des Reisepasses und des dauerhaften Personalausweises sowie die Adresse der betroffenen Person.“
III. Ausgangsverfahren und Vorlagefragen
9. UC, eine natürliche Person, erhielt von der Regierungsbehörde Budapest ein Immunitätszertifikat, das seine Impfung gegen Covid-19 bescheinigte.
10. Am 30. April 2021 reichte UC auf der Grundlage von Art. 77 Abs. 1 DSGVO eine Beschwerde bei der Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, Ungarn, im Folgenden: ungarische Aufsichtsbehörde) ein. UC beantragte, die Regierungsbehörde Budapest anzuweisen, ihre Verarbeitungsvorgänge mit der DSGVO in Einklang zu bringen. In der Beschwerde machte UC u. a. geltend, dass die Regierungsbehörde Budapest keinen Datenschutzhinweis über die Datenverarbeitung im Zusammenhang mit der Ausstellung von Immunitätszertifikaten erstellt oder veröffentlicht habe und dass die Informationen über den Zweck und die Rechtsgrundlage der Verarbeitung sowie darüber, welche Rechte die betroffenen Personen hätten und wie sie diese ausüben könnten, unzureichend gewesen seien.
11. In dem auf die Einreichung der Beschwerde eingeleiteten Verfahren erklärte die Regierungsbehörde Budapest, dass sie ihre Aufgaben im Zusammenhang mit der Ausstellung von Immunitätszertifikaten gemäß § 2 der Regierungsverordnung 60/2021 wahrgenommen habe und dass die Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 Buchst. e DSGVO und, hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 Abs. 2 Buchst. i DSGVO sei.
12. Die Regierungsbehörde Budapest wies ferner darauf hin, dass sie gemäß § 3 Abs. 2 und 3 der Regierungsverordnung 60/2021 die verarbeiteten Daten mittels automatischer Informationsübermittlung vom Betreiber des Raums elektronischer Dienstleistungen und von der für die Speicherung von personenbezogenen Daten und Adressen zuständigen Stelle bezogen habe. Sie führte aus, dass sie gemäß Art. 14 Abs. 5 Buchst. c DSGVO nicht verpflichtet sei, Informationen über die Verarbeitung zur Verfügung zu stellen. Dessen ungeachtet habe sie einen Datenschutzhinweis über die relevante Verarbeitung erstellt und diesen auf ihrer Website veröffentlicht.
13. Mit Entscheidung vom 15. November 2021 wies die ungarische Aufsichtsbehörde die Beschwerde mit der Begründung zurück, dass die Regierungsbehörde Budapest nicht verpflichtet sei, Informationen zur Verfügung zu stellen, da für die Verarbeitung die in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehene Ausnahme gelte. Insbesondere stellte sie fest, dass die Regierungsverordnung 60/2021 die Rechtsgrundlage für die Verarbeitung sei und dass die Regierungsbehörde Budapest die Daten nicht von den betroffenen Personen selbst erhalten habe. Ferner sei die Regierungsbehörde Budapest nach §. 3 Abs. 1 der Regierungsverordnung 60/2021 ausdrücklich zur Datenerhebung verpflichtet. Dass die Regierungsbehörde Budapest auf ihrer Website Informationen über die Verarbeitung der Daten veröffentlicht habe, obwohl sie dazu rechtlich nicht verpflichtet gewesen sei, entspreche einer wohl geübten Praxis.
14. Die ungarische Aufsichtsbehörde prüfte von Amts wegen die Frage geeigneter Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person gemäß Art. 14 Abs. 5 Buchst. c DSGVO und kam dabei zu der Auffassung, dass die §§ 2 und 3 sowie die §§ 5 bis 7 der Regierungsverordnung 60/2021 als solche Maßnahmen zu betrachten seien.
15. UC erhob gegen die Entscheidung der ungarischen Aufsichtsbehörde Klage beim Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn). Dieses Gericht gab der Klage statt, hob die Entscheidung der ungarischen Aufsichtsbehörde auf und wies diese Behörde an, ein neues Verfahren durchzuführen.
16. In der Begründung seines Urteils führte das Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht) aus, dass die Ausnahme in Art. 14 Abs. 5 Buchst. c DSGVO nicht anwendbar sei, da einige der im Zusammenhang mit den Immunitätszertifikaten stehenden Daten nicht bei einer anderen Einrichtung erhoben, sondern von diesem Verantwortlichen selbst erzeugt worden seien. Dabei handele es sich u. a. um die Seriennummer des Immunitätszertifikats, die Gültigkeitsdauer des Zertifikats, den in diesem Zertifikat integrierten QR‑Code, den Strichcode und andere während des Verfahrens des Verantwortlichen von ihm erzeugte alphanumerische Codes.
17. Gegen dieses Endurteil des Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht) hat die ungarische Aufsichtsbehörde bei der Kúria (Oberstes Gericht, Ungarn) eine außerordentliche Kassationsbeschwerde eingelegt.
18. In Bezug auf die Anwendung der in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehenen Ausnahme vertritt das vorlegende Gericht die Auffassung, dass sich diese Ausnahme auf alle Arten von Verarbeitungen beziehen könne, die sich nicht auf Daten bezögen, die im Sinne von Art. 13 DSGVO bei der betroffenen Person erhoben würden, einschließlich der vom Verantwortlichen erzeugten Daten.
19. Für den Fall, dass dieser Auslegung von Art. 14 Abs. 5 Buchst. c DSGVO gefolgt werde, hat das vorlegende Gericht Zweifel am Umfang der Abhilfebefugnisse der nationalen Aufsichtsbehörden im Kontext einer nach Art. 77 Abs. 1 DSGVO erhobenen Beschwerde. Konkret stellt sich für das vorlegende Gericht die Frage, ob die Aufsichtsbehörde im Rahmen einer solchen Beschwerde befugt ist, die Frage geeigneter Maßnahmen zu prüfen, die im nationalen Recht zum Schutz der berechtigten Interessen der betroffenen Person vorgesehen sind und auf die Art. 14 Abs. 5 Buchst. c DSGVO verweist.
20. Für den Fall, dass diese Befugnis der Aufsichtsbehörde bejaht werden sollte, ist sich das vorlegende Gericht über die genaue Bedeutung des Begriffs „geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person“ im Unklaren. Insoweit führt dieses Gericht aus, dass davon ausgegangen werden könnte, dass „geeignete Maßnahmen“ zum einen die Umsetzung der in Art. 14 Abs. 1 Buchst. a bis f DSGVO aufgeführten Anforderungen in das nationale Recht umfassten. Zum anderen könnten diese Maßnahmen auch das Recht einschließen, eine Prüfung der in Art. 32 DSGVO geregelten Sicherheit der Verarbeitung zu verlangen. Jedoch könnte ein solches Verständnis der „geeigneten Maßnahmen“ dazu führen, dass Rechtsvorschriften mit technischen Bestimmungen belastet würden, die dem Erfordernis der Verständlichkeit und Klarheit von Rechtstexten zuwiderliefen. Es könnte auch als ausreichende Garantie angesehen werden, wenn die Maßnahmen betreffend die Datensicherheit befolgt würden, auch wenn sie nicht konkret umgesetzt worden seien.
21. In diesem Kontext hat die Kúria (Oberstes Gericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist Art. 14 Abs. 5 Buchst. c in Verbindung mit Art. 14 Abs. 1 und dem 62. Erwägungsgrund der DSGVO dahin auszulegen, dass sich die in Art. 14 Abs. 5 Buchst. c vorgesehene Ausnahme nicht auf Daten bezieht, die im Verfahren des Verantwortlichen selbst erzeugt wurden, sondern nur auf Daten, die der Verantwortliche ausdrücklich von einer anderen Person erlangt hat?
2. Ist für den Fall, dass Art. 14 Abs. 5 Buchst. c DSGVO auch für Daten gilt, die im Verfahren des Verantwortlichen selbst erzeugt wurden, das in Art. 77 Abs. 1 DSGVO verankerte Recht auf Beschwerde bei einer Aufsichtsbehörde so auszulegen, dass eine natürliche Person, die eine Verletzung der Informationspflicht geltend macht, in Ausübung ihres Beschwerderechts verlangen kann, dass geprüft wird, ob das Recht des Mitgliedstaats gemäß Art. 14 Abs. 5 Buchst. c DSGVO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht?
3. Falls die zweite Frage bejaht wird: Kann Art. 14 Abs. 5 Buchst. c DSGVO dahin ausgelegt werden, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ implizieren, dass der nationale Gesetzgeber die in Art. 32 DSGVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit (mittels Rechtsvorschriften) umzusetzen hat?
22. UC, die ungarische Aufsichtsbehörde, die ungarische Regierung und die Kommission haben schriftliche Erklärungen eingereicht. Der Gerichtshof hat gemäß Art. 23 der Satzung des Gerichtshofs der Europäischen Union Fragen zur schriftlichen Beantwortung an die Parteien und die Beteiligten gerichtet, auf die UC, die tschechische Regierung, die ungarische Regierung und die Kommission geantwortet haben.
IV. Würdigung
A. Vorbemerkungen zur Informationspflicht und zur Ausnahmeregelung im Sinne von Art. 14 Abs. 5 Buchst. c DSGVO
23. Die Bereitstellung von Informationen für betroffene Personen ist ein zentrales Element des in Art. 5 Abs. 1 Buchst. a DSGVO verankerten Grundsatzes der Transparenz. Transparenz „befähigt … die betroffenen Personen, die Verantwortlichen und Auftragsverarbeiter zur Rechenschaft zu ziehen“, da sie ihre Möglichkeiten stärkt, die Kontrolle über ihre Daten auszuüben(5). Gemäß den Feststellungen im Urteil in der Rechtssache Bara u. a. „ist dieses Erfordernis einer Unterrichtung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen umso wichtiger, als es die Voraussetzung dafür schafft, dass sie ihr … Auskunfts- und Berichtigungsrecht in Bezug auf die verarbeiteten Daten … ausüben können“(6). Die insoweit maßgeblichen Vorschriften sind die Art. 12, 13 und 14 DSGVO.
24. Gemäß Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um alle Informationen gemäß den Art. 13 und 14 „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln. Typischerweise werden die Informationen in Datenschutzbestimmungen, einem Datenschutzhinweis oder einer Datenschutzerklärung mitgeteilt(7).
25. Inhalt und Umfang der Informationspflicht sind in den Art. 13 und 14 DSGVO festgelegt. Art. 13 regelt die Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person (direkte Erhebung), während Art. 14 die Regelungen zur Informationspflicht enthält, wenn die personenbezogenen Daten nicht von der betroffenen Person erlangt wurden (indirekte Erhebung)(8). Die nach diesen beiden Vorschriften zur Verfügung zu stellenden Informationen überschneiden sich deutlich(9).
26. Was die indirekte Datenerhebung anbelangt, so enthält Art. 14 Abs. 1 DSGVO im „Standardinformationskatalog“(10) die Unterrichtung über die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Empfänger der Daten und die mögliche Übermittlung von Daten an einen Empfänger in einem Drittland. Zu den zusätzlichen Informationen, die erforderlich sind, um eine faire und transparente Verarbeitung zu gewährleisten, gehören gemäß dem ausdrücklichen Verweis in Art. 14 Abs. 2 DSGVO die Dauer, für die die personenbezogenen Daten gespeichert werden, die vom Verantwortlichen verfolgten berechtigten Interessen(11) oder das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über personenbezogene Daten sowie auf Berichtigung oder Löschung dieser Daten.
27. Die dem Verantwortlichen obliegende Informationspflicht im Fall einer indirekten Erhebung gemäß Art. 14 DSGVO unterliegt vier Ausnahmen, die in Art. 14 Abs. 5 aufgeführt sind. Die für das Ausgangsverfahren relevante Ausnahmeregelung ist in Art. 14 Abs. 5 Buchst. c enthalten, der eine „Öffnungsklausel“ enthält(12). Für den Verantwortlichen gilt die Informationspflicht nicht, wenn und soweit „die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt …, ausdrücklich geregelt ist“ und diese Vorschriften „geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person“ vorsehen.
28. Die englischsprachige Fassung von Art. 14 Abs. 5 Buchst. c DSGVO, wie auch andere Sprachfassungen(13), nehmen nicht ausdrücklich Bezug auf den Gegenstand der Handlung der „Erlangung oder Offenlegung“. In einer Reihe anderer Sprachfassungen wird ausdrücklich auf die Erlangung oder Offenlegung von „Daten“ verwiesen(14). Offenkundig wird allein in der französischen Sprachfassung auf die Erlangung oder Offenlegung von „Informationen“ [„informations“] abgestellt(15).
29. Da jedoch grundsätzlich allen Sprachfassungen einer Unionshandlung der gleiche Wert beizumessen ist, muss die betreffende Vorschrift, wenn die Sprachfassungen voneinander abweichen, anhand des Zwecks und der allgemeinen Systematik der Regelung, zu der sie gehört, ausgelegt werden(16).
30. Insoweit folgt aus der allgemeinen Systematik der Vorschriften, zu denen Art. 14 Abs. 5 Buchst. c DSGVO gehört, dass die Erlangung oder Offenlegung personenbezogene Daten (und nicht Informationen) betrifft. Bereits die Überschrift von Art. 14 enthält (in der englischen Fassung) die Formulierung „information to be provided“ [deutsche Fassung: „Informationspflicht“], während die Handlung der Erlangung (in der englischen Fassung) „personal data“ [deutsche Fassung: „personenbezogene Daten“] betrifft. Diese Auslegung wird durch den 61. Erwägungsgrund, der sich (in der englischen Fassung) auf „personal data“ [deutsche Fassung „personenbezogene Daten“] bezieht, die aus anderer Quelle erlangt werden, und durch den 62. Erwägungsgrund bestätigt, der auf die Speicherung oder Offenlegung von „personal data“ (englische Fassung) [deutsche Fassung: „personenbezogene Daten“] Bezug nimmt. Darüber hinaus ist, wenn man die weite Fassung des Begriffs „Verarbeitung“ gemäß Art. 4 Abs. 2 DSGVO, d. h. im Sinne jeden Vorgangs oder jeder Vorgangsreihe, die im Zusammenhang mit personenbezogenen Daten ausgeführt werden, berücksichtigt(17), die „Erlangung oder Offenlegung“ als eine „processing operation performed on personal data“ (englische Fassung) [deutsche Fassung: „Verarbeitung personenbezogener Daten“] zu betrachten.
31. Im Hinblick auf den Zweck der Vorschriften, zu denen Art. 14 Abs. 5 Buchst. c gehört, liegt der betreffenden Ausnahmeregelung offenbar die Annahme zugrunde, dass das Unionsrecht oder das Recht der Mitgliedstaaten die normalerweise dem Verantwortlichen auferlegte Verpflichtung zur Information über die Erlangung oder Offenlegung von Daten ersetzt oder an ihre Stelle tritt(18). Die betroffenen Personen werden bereits aufgrund des einschlägigen Rechts hinreichende Kenntnis von der Erlangung oder Offenlegung der Daten haben(19). Das betreffende Recht, dem der Verantwortliche unterliegt, muss ausdrücklich die Erlangung oder Offenlegung der Daten betreffen, wobei die besagte Erlangung oder Offenlegung für den Verantwortlichen verbindlich sein sollte(20).
32. Aus alldem ergibt sich eindeutig, dass der Gegenstand der Ausnahmeregelung in Bezug auf die Erlangung oder Offenlegung personenbezogene Daten betrifft.
33. Vor dem Hintergrund dieser Feststellungen werde ich nunmehr im Zusammenhang mit der Würdigung der Vorlagefragen die in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehene Ausnahmeregelung näher untersuchen.
B. Erste Frage
34. Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 14 Abs. 5 Buchst. c DSGVO dahin auszulegen ist, dass die Ausnahme von der gegenüber der betroffenen Person bestehenden Informationspflicht des Verantwortlichen nur für Daten gilt, die der Verantwortliche ausdrücklich von einer anderen Person erlangt hat, und nicht für Daten, die im Verfahren des Verantwortlichen selbst erzeugt wurden.
35. Dieser Frage liegt der Umstand zugrunde, dass in dem das Ausgangsverfahren betreffenden Fall bestimmte in den Covid-19-Zertifikaten enthaltene Daten nicht von einer anderen Organisation erlangt, sondern von der Regierungsbehörde Budapest erzeugt wurden(21).
36. Es ist daher zu klären, ob der in Art. 14 Abs. 5 Buchst. c DSGVO festgelegte Begriff „Erlangen“ Daten ausschließt, die vom Verantwortlichen erzeugt wurden.
37. Bei der Beantwortung dieser Frage sollte zunächst bedacht werden, dass bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen ist(22).
38. Was den Wortlaut von Art. 14 Abs. 5 Buchst. c DSGVO anbelangt, so enthält diese Bestimmung keine Einschränkung hinsichtlich einer bestimmten Art der Verarbeitung oder der genauen Methode, mit der der Verantwortliche die Daten erlangt. Die Daten können mittels eines technischen Verfahren erlangt werden, z. B. durch die Erzeugung der Daten durch den Verantwortlichen.
39. Das weite Verständnis des Begriffs „Erlangen“ wird durch den 62. Erwägungsgrund der DSGVO bestätigt. In diesem Erwägungsgrund wird der Begriff „Speicherung“ der Daten verwendet, ein Vorgang, der sich, wie das vorlegende Gericht hervorgehoben hat, auf eine weiter gefasste Gruppe von Verarbeitungsvorgängen bezieht, die von dem Verantwortlichen durchgeführt werden können. Art. 14 Abs. 5 Buchst. c kann daher nicht so ausgelegt werden, dass er nur auf Daten anwendbar ist, die von einer anderen Einrichtung erlangt werden, nicht aber auf Daten, die vom Verantwortlichen erzeugt werden.
40. Diese Auslegung von Art. 14 Abs. 5 Buchst. c DSGVO wird auch durch den Kontext, in dem diese Bestimmung steht, sowie durch die Ziele und den Zweck, die mit dieser Bestimmung verfolgt werden, bestätigt.
41. Insoweit ist darauf hinzuweisen, dass sich die in Art. 14 Abs. 5 festgelegten Ausnahmen auf die Abs. 1 bis 4 dieses Artikels beziehen. Der sachliche Anwendungsbereich von Art. 14 (zu dem die betreffende Ausnahmeregelung gehört) ist im Vergleich zu Art. 13 negativ definiert. Während Art. 13 regelt, welche Informationen zu erteilen sind, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, betrifft Art. 14 die Erteilung von Informationen, wenn personenbezogene Daten nicht von der betroffenen Person erlangt wurden. Aus dieser zweiteiligen Unterscheidung zwischen direkter und indirekter Datenerhebung ergibt sich, dass alle Fälle, in denen die Daten nicht bei der betroffenen Person erhoben werden, in den sachlichen Anwendungsbereich von Art. 14 fallen. Es ist unerheblich, ob die Daten vom Verantwortlichen erzeugt werden, soweit sie nicht von der betroffenen Person erlangt werden. Der weite sachliche Anwendungsbereich von Art. 14 wird auch durch den 61. Erwägungsgrund bestätigt, der sich auf Daten bezieht, die „aus einer anderen Quelle erlangt werden“, d. h. aus einer anderen Quelle als der betroffenen Person.
42. Darüber hinaus ist festzustellen, dass, wie die Kommission und die ungarische Aufsichtsbehörde im Wesentlichen ausgeführt haben, die Regelungen der Art. 13 und 14 DSGVO ein umfassendes System bilden, das die Bereitstellung von Informationen für die betroffene Person in allen möglichen Situationen regelt. Sollte der Begriff „Erlangung“ in Art. 14 Abs. 5 Buchst. c DSGVO so ausgelegt werden, dass davon Daten ausgenommen sind, die vom Verantwortlichen erzeugt werden, hätte diese Bestimmung einen engeren Anwendungsbereich als Art. 14, zu dem sie gehört.
43. Bereits in den Vorbemerkungen der vorliegenden Schlussanträge wurde ausgeführt, dass im Hinblick auf den besonderen Zweck der in Rede stehenden Ausnahme die Befreiung des Verantwortlichen von der Informationspflicht auf der Annahme beruht, dass die rechtliche Regelung die normalerweise dem Verantwortlichen auferlegte Verpflichtung zur Information ersetzt(23). Die in Art. 14 Abs. 5 Buchst. c vorgesehene Ausnahmeregelung räumt den Mitgliedstaaten einen Ermessensspielraum ein, in dessen Rahmen sie anstatt der Bereitstellung von Information durch den Verantwortlichen auf individueller Basis einen anderen Weg zur Unterrichtung der betroffenen Person und zur Gewährleistung einer fairen und transparenten Verarbeitung wählen können. Dieser rechtlich anders gestaltete Weg muss jedoch zum gleichen Ergebnis führen. Die rechtliche Regelung, die an die Stelle der Informationspflicht des Verantwortlichen tritt, muss die betroffene Person in die Lage versetzen, die Kontrolle über ihre Daten auszuüben und ihre Rechte gemäß der DSGVO wahrzunehmen(24).
44. Eine Auslegung von Art. 14 Abs. 5 Buchst. c, die dahin geht, dass die Erzeugung von Daten durch den Verantwortlichen vom Anwendungsbereich dieser Bestimmung ausgeschlossen ist, würde zu einer Einschränkung des Ermessensspielraums der Mitgliedstaaten auf einer Grundlage führen, die offensichtlich für den Schutz der berechtigten Interessen der betroffenen Person nicht relevant ist.
45. Darüber hinaus könnte eine andere Auslegung – die eine Ausnahme von der in Art. 14 Abs. 5 Buchst. c festgelegten Ausnahmeregelung für den Fall vorsehen würde, dass die Daten vom Verantwortlichen erzeugt werden – dazu führen, dass die Regelung aus der Sicht der betroffenen Person noch komplizierter wird. Die betroffene Person muss Gewissheit erlangen können, aus welcher Quelle sie Informationen über die Verarbeitung ihrer Daten erhält, wenn diese Daten nicht von der betroffenen Person selbst erlangt werden. Das einschlägige Recht muss die Verarbeitung für die betroffene Person in all diesen Situationen vorhersehbar machen(25).
46. Daher ist Art. 14 Abs. 5 Buchst. c DSGVO dahin auszulegen, dass die Ausnahme von der Verpflichtung des Verantwortlichen, der betroffenen Person Informationen zur Verfügung zu stellen, für alle Daten gilt, die der Verantwortliche nicht von der betroffenen Person erlangt hat. Dabei ist es unerheblich, ob die Daten ausdrücklich von einer anderen Einrichtung eingeholt wurden oder ob sie im Verfahren des Verantwortlichen selbst erzeugt wurden.
C. Zweite Frage
47. Mit seiner zweiten Frage will das vorlegende Gericht im Wesentlichen wissen, ob Art. 77 Abs. 1 DSGVO dahin auszulegen ist, dass die Aufsichtsbehörde im Kontext eines Beschwerdeverfahrens zu der Prüfung befugt ist, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, im Hinblick auf die Zwecke der Anwendung der in Art. 14 Abs. 5 Buchst. c dieser Verordnung vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht.
48. Insoweit ist erstens darauf hinzuweisen, dass nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt(26).
49. Zweitens ist nach Art. 55 Abs. 1 dieser Verordnung jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig(27). Darüber hinaus sind die nationalen Aufsichtsbehörden gemäß Art. 57 Abs. 1 Buchst. a DSGVO dafür zuständig, die Anwendung der DSGVO zu überwachen und durchzusetzen.
50. Die in den beiden vorstehenden Nummern genannten Bestimmungen schließen die Voraussetzungen für die Anwendung der Ausnahmeregelung nach Art. 14 Abs. 5 Buchst. c DSGVO nicht vom Zuständigkeitsbereich der nationalen Aufsichtsbehörden aus.
51. Wie die ungarische Regierung und die Kommission im Wesentlichen vorgetragen haben, sind die Aufsichtsbehörden daher im Kontext einer Beschwerde nach Art. 77 Abs. 1 DSGVO zu der Prüfung befugt, ob alle Voraussetzungen, die in Art. 14 Abs. 5 Buchst. c genannt sind, erfüllt sind. Wie aus Art. 14 Abs. 5 Satz 1 hervorgeht, gelten alle dort festgelegten Ausnahmen, „wenn und soweit“ die dort genannten Voraussetzungen erfüllt sind.
52. Insoweit müssen die Aufsichtsbehörden befugt sein, zum einen genauer zu prüfen, ob sich die gesetzliche Regelung unmittelbar an den Verantwortlichen richtet und ob die Erlangung oder Offenlegung für den Verantwortlichen zwingend ist(28). Zum anderen müssen die Aufsichtsbehörden in der Lage sein, zu prüfen, ob die gesetzliche Regelung, auf die sich der Verantwortliche stützt, „geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person“ vorsieht und ob der Verantwortliche nachweisen kann, dass die Erlangung oder Offenlegung personenbezogener Daten mit diesen Maßnahmen im Einklang steht(29).
53. Die ungarische Aufsichtsbehörde führt aus, dass die Prüfung der Frage, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehe, ihre Aufgaben und Befugnisse gemäß den Art. 57 und 58 DSGVO überschreiten würde. Diese Bestimmungen verliehen ihr keine Korrekturbefugnisse im Hinblick auf das nationale Recht, und es sei ihr nicht möglich, solche Befugnisse gegenüber einem Verantwortlichen auszuüben, der sich schlicht an das nationale Recht gehalten habe.
54. Insoweit ist zu betonen, dass die Prüfung der Frage, ob alle Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 Buchst. c vorgesehenen Ausnahmeregelung erfüllt sind, durch eine nationale Aufsichtsbehörde nicht mit einer Prüfung der Gültigkeit des nationalen Rechts verbunden ist, wie die Kommission zu Recht festgestellt hat. Die Aufsichtsbehörde prüft lediglich die Frage, ob der Verantwortliche berechtigt ist, die Ausnahmeregelung gegenüber einer bestimmten betroffenen Person in einer bestimmten Situation geltend zu machen.
55. Es obliegt daher der nationalen Aufsichtsbehörde, die Eingabe einer betroffenen Person zu prüfen, wonach der Verantwortliche nicht von der Informationspflicht befreit werden dürfe, weil das einschlägige Recht keine geeigneten Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehe.
56. Kommt die nationale Aufsichtsbehörde zu dem Schluss, dass die Eingabe unbegründet ist, muss die Person, die diese Eingabe erhoben hat und diese Feststellung anficht, wie aus Art. 78 DSGVO hervorgeht, Zugang zu Rechtsbehelfen haben, die es ihr ermöglichen, eine solche Entscheidung vor den nationalen Gerichten anzufechten.
57. Gelangt die nationale Aufsichtsbehörde zu der Auffassung, dass die Eingabe begründet ist und die Voraussetzungen für die Ausnahmeregelung nicht erfüllt sind, so ist sie, wie die ungarische Regierung und die Kommission im Wesentlichen vorgebracht haben, befugt, den Verantwortlichen anzuweisen, der Eingabe der betroffenen Person stattzugeben. In diesem Fall muss der Verantwortliche die in Art. 14 Abs. 1 bis 4 genannten Informationen zur Verfügung stellen.
58. In ihrer Antwort auf die schriftlichen Fragen des Gerichtshofs hat die tschechische Regierung vorgetragen, dass die Prüfung der Eignung von Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person nicht möglich sei, wenn das nationale Recht gezielt für eine bestimmte Situation eine Ausnahme von der Informationspflicht vorsehe. Unter Berufung auf das Urteil in der Rechtssache Schrems(30)führt sie im Wesentlichen aus, dass die Prüfung, ob eine Rechtsquelle mit einer anderen vereinbar sei, allein in die Zuständigkeit der Gerichte und nicht in die einer Verwaltungsbehörde falle.
59. In diesem Zusammenhang ist daran zu erinnern, dass einer der hauptsächlichen Prüfungsgegenstände in der Rechtssache Schrems die Befugnisse von nationalen Kontrollstellen betraf, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten in Bezug auf eine Entscheidung der Kommission bezog, in der diese feststellte, dass ein Drittland ein angemessenes Schutzniveau gewährleiste(31). Der Gerichtshof entschied im Wesentlichen, dass die nationalen Kontrollstellen bei der Prüfung einer solchen Eingabe nicht befugt sind, selbst die Ungültigkeit eines solchen Rechtsakts festzustellen(32).Hält die nationale Kontrollstelle die Rügen der Person, die eine Eingabe erhoben hat, für begründet, muss diese Behörde zur Einleitung eines Verfahrens berechtigt sein(33).
60. Das Urteil in der Rechtssache Schrems ist jedoch offensichtlich für die Frage der Befugnisse der Aufsichtsbehörden im Zusammenhang mit der Prüfung der in Art. 14 Abs. 5 Buchst. c DSGVO vorgesehenen Ausnahmeregelung nicht von unmittelbarer Bedeutung. Zunächst ist darauf hinzuweisen, dass im Rahmen dieser Prüfung durch die Aufsichtsbehörde nicht die rechtliche Verpflichtung des Verantwortlichen zur Erlangung oder Offenlegung der personenbezogenen Daten berührt wird. Mit anderen Worten gibt die Aufsichtsbehörde dem Verantwortlichen nicht auf, von der Anwendung einer gesetzlichen Anforderung zur Erlangung oder Offenlegung, an die der Verantwortliche weiter gebunden ist, abzusehen. Wie die Kommission und die ungarische Regierung im Wesentlichen geltend gemacht haben, besteht die Befugnis der nationalen Aufsichtsbehörde in einer solchen Situation darin, den Verantwortlichen anzuweisen, die erforderlichen Informationen in seinem Datenschutzhinweis bereitzustellen(34), wenn die Voraussetzungen für die in Rede stehende Ausnahme nicht gegeben sind. Eine solche Anweisung berührt, wie bereits erwähnt, nicht die Gültigkeit der Rechtsvorschrift, an die der Verantwortliche gebunden ist.
61. Die Befugnis der Aufsichtsbehörde, dem Verantwortlichen aufzugeben, Informationen zur Verfügung zu stellen, lässt die Befugnis dieser Behörde unberührt, ein gemäß Art. 58 Abs. 5 DSGVO nach nationalem Recht dafür vorgesehenes Gerichtsverfahren anzustrengen, wenn sie der Auffassung ist, dass die fragliche Rechtsvorschrift ungültig ist.
62. Schließlich ist die Aufsichtsbehörde, wie alle Verfahrensbeteiligten vorgebracht haben, auf einer systematischeren Ebene befugt, der Legislative oder der Exekutive zu raten, die einschlägige Rechtsvorschrift zu ändern, wenn sie der Ansicht ist, dass sie keine geeigneten Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht. In diesem Zusammenhang ist daran zu erinnern, dass die Aufsichtsbehörden gemäß Art. 57 Abs. 1 Buchst. c DSGVO dafür zuständig sind, das nationale Parlament, die Regierung und andere Einrichtungen und Gremien zu beraten. Sie verfügen außerdem über die in Art. 58 Abs. 3 Buchst. b DSGVO festgelegten beratenden Befugnisse.
63. Aus den vorstehenden Erwägungen folgt, dass Art. 77 Abs. 1 DSGVO dahin auszulegen ist, dass im Kontext eines Beschwerdeverfahrens die Aufsichtsbehörde zu der Prüfung befugt ist, ob alle in Art. 14 Abs. 5 Buchst. c dieser Verordnung festgelegten Voraussetzungen erfüllt sind. Insbesondere ist sie zur Prüfung der Frage berechtigt, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht.
D. Dritte Frage
64. Mit seiner dritten Frage will das vorlegende Gericht im Wesentlichen wissen, ob Art. 14 Abs. 5 Buchst. c DSGVO dahin auszulegen ist, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ implizieren, dass der nationale Gesetzgeber die in Art. 32 dieser Verordnung vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen hat.
65. In diesem Zusammenhang ist zum einen daran zu erinnern, dass die Anwendbarkeit der Ausnahme von der Informationspflicht nach Art. 14 Abs. 5 Buchst. c DSGVO von der Bereitstellung „geeigneter Maßnahmen“ zum Schutz der berechtigten Interessen der betroffenen Person abhängt. Zum anderen ergibt sich aus Art. 32 DSGVO, dass der Verantwortliche und der Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen“ ergreifen müssen, um die Sicherheit der Verarbeitung zu gewährleisten.
66. Die Kommission macht indes geltend, dass die Art. 14 und 32 einen unterschiedlichen Anwendungsbereich hätten. Die Tragweite der „geeigneten Maßnahmen“ sei im Rahmen von Art. 14 DSGVO zu prüfen. Es sei daher nicht möglich, eine der Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 Buchst. c festgelegten Ausnahmeregelung durch die Übernahme des in einer anderen Bestimmung verwendeten Begriffs der „geeigneten technischen und organisatorischen Maßnahmen“ zu bestimmen. Im Übrigen sei es im Zusammenhang mit Art. 32 DSGVO offensichtlich nicht von Bedeutung, ob der Verantwortliche die Informationen zur Verfügung stelle oder ob die Erlangung oder Offenlegung gesetzlich geregelt sei. Der Gegenstand der von der Aufsichtsbehörde durchgeführten Prüfung müsse daher durch den Anwendungsbereich von Art. 14 begrenzt werden.
67. Der genaue Inhalt der „geeigneten Maßnahmen“ ist in Art. 14 Abs. 5 Buchst. c DSGVO nicht festgelegt. Er ist weit genug gefasst, um jede Maßnahme zu erfassen, die der Gesetzgeber für notwendig und geeignet hält. Der Begriff der „geeigneten Maßnahmen“ ist, wie die Kommission im Wesentlichen vorgetragen hat, im Licht des Grundsatzes der Transparenz auszulegen, wie er in Art. 5 Abs. 1 Buchst. a DSGVO niedergelegt ist. In diesem Zusammenhang ist es wichtig, zu berücksichtigen, dass das einschlägige Recht, wie in den Vorbemerkungen dieser Schlussanträge dargelegt worden ist(35), „an die „Stelle“ der normalerweise vom Verantwortlichen wahrzunehmenden Informationspflicht „tritt“. Es obliegt dem Gesetzgeber, beispielsweise je nach der Kategorie der erlangten Daten und dem Kontext, in dem die Verarbeitung stattfindet, die geeigneten Maßnahmen zu bestimmen.
68. Die tschechische Regierung hat in ihrer Antwort auf die Frage des Gerichtshofs vorgetragen, dass die Tragweite der geeigneten Maßnahmen über die Liste der in Art. 14 Abs. 1, 2 und 4 DSGVO aufgeführten Informationen hinausgehe.
69. Ich stimme der Auffassung zu, dass die Geeignetheit der Maßnahmen nicht allein durch einen „mechanischen“ Vergleich mit den durch die DSGVO harmonisierten Informationspflichten des Verantwortlichen beurteilt werden kann. Es wäre sinnlos, eine „Öffnungsklausel“ gemäß Art. 14 Abs. 5 Buchst. c vorzusehen(36), wenn gleichzeitig genau die gleichen Verpflichtungen auferlegt würden, ohne dem Gesetzgeber irgendeinen Ermessensspielraum zu lassen. Allerdings muss das einschlägige Recht für die Gewährleistung eines Standards für eine faire und transparente Verarbeitung sorgen, der dem durch Art. 14 Abs. 1 bis 4 gewährleisteten Standard gleichwertig ist(37). Damit die betroffene Person alle mit der Erlangung der Daten und deren Verarbeitung verbundenen Risiken einschätzen kann(38), muss es möglich sein, anhand einer einfachen Lektüre der einschlägigen Rechtsvorschrift zu klären, wer die Daten verarbeitet und aus welchem Grund und auf welche Weise diese Verarbeitung erfolgt(39). Wie ich weiter oben ausgeführt habe(40), muss ein rechtlich anders gestalteter Weg am Ende zum gleichen Ergebnis führen, das darin besteht, dass die betroffene Person in die Lage versetzt wird, die Kontrolle über ihre Daten auszuüben und ihre Rechte nach der DSGVO wahrzunehmen.
70. Der spezifische Rechtsgrund für die Verarbeitung hat auch Auswirkungen auf die Bestimmung der „geeigneten Maßnahmen“ für die spezifischen Umstände der Verarbeitung. Diesbezüglich ist daran zu erinnern, dass gemäß Art. 6 Abs. 1 Buchst. c und e DSGVO die Verarbeitung rechtmäßig ist, wenn und soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, und wenn die Verarbeitung für die Wahrnehmung einer Aufgabe geboten ist, die im öffentlichen Interesse liegt. In Bezug auf eine solche Verarbeitung können die Mitgliedstaaten gemäß Art. 6 Abs. 2 spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten(41). Wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist, muss darüber hinaus das Recht der Mitgliedstaaten (oder das Unionsrecht) gemäß Art. 9 Abs. 2 Buchst. i DSGVO angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen.
71. Im Fall des Ausgangsverfahrens wurde die Erlangung der Daten durch die Regierungsverordnung 60/2021 geregelt, die, wie sich aus den Akten ergibt, auf der Grundlage von Art. 6 Abs. 1 Buchst. c und e sowie Art. 9 Abs. 2 Buchst. i DSGVO erlassen worden war. Die ungarische Regierung trägt vor, dass die Regierungsverordnung 60/2021 – neben den allgemeinen, gemäß dem zur Gewährleistung der Rechtmäßigkeit der Verarbeitung erlassenen Rechtsrahmen geltenden Garantien – zusätzliche Garantien vorsehe. Eine dieser Garantien bestehe darin, dass die durch diese Regierungsverordnung benannten Unterauftragnehmer staatliche Auftragnehmer seien und dass diese den für staatliche Stellen und die örtliche Verwaltung geltenden Rechtsrahmen für die Sicherheit der Daten einhalten müssten. Es ist Sache des vorlegenden Gerichts, dieses Vorbringen zu prüfen und im Licht der vorstehenden Erwägungen zu beurteilen, ob das nationale Recht geeignete Maßnahmen vorsieht.
72. In Anbetracht der vorstehenden Erwägungen bin ich der Auffassung, dass Art. 14 Abs. 5 Buchst. c DSGVO dahin auszulegen ist, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ nicht implizieren, dass der nationale Gesetzgeber die in Art. 32 dieser Verordnung vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen hat.
V. Ergebnis
73. Nach alledem schlage ich dem Gerichtshof vor, die von der Kúria (Oberstes Gericht, Ungarn) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:
1. Art. 14 Abs. 5 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass die Ausnahme von der Verpflichtung des Verantwortlichen, der betroffenen Person Informationen zur Verfügung zu stellen, für alle Daten gilt, die der Verantwortliche nicht von der betroffenen Person erlangt hat. Dabei ist es unerheblich, ob die Daten ausdrücklich von einer anderen Einrichtung eingeholt wurden oder ob sie im Verfahren des Verantwortlichen selbst erzeugt wurden.
2. Art. 77 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass die Aufsichtsbehörde im Kontext eines Beschwerdeverfahrens zu der Prüfung befugt ist, ob alle in Art. 14 Abs. 5 Buchst. c dieser Verordnung festgelegten Voraussetzungen erfüllt sind. Insbesondere ist sie zur Prüfung der Frage berechtigt, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht.
3. Art. 14 Abs. 5 Buchst. c der Verordnung 2016/679
ist dahin auszulegen, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ nicht implizieren, dass der nationale Gesetzgeber die in Art. 32 dieser Verordnung vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen hat.