Vorläufige Fassung
SCHLUSSANTRÄGE DER GENERALANWÄLTIN
LAILA MEDINA
vom 30. Mai 2024(1)
Rechtssache C‑200/23
Agentsia po vpisvaniyata
gegen
OL,
Beteiligter:
Varhovna administrativna prokuratura
(Vorabentscheidungsersuchen des Varhoven administrativen sad [Oberstes Verwaltungsgericht, Bulgarien])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Veröffentlichung eines Gesellschaftsvertrags, der personenbezogene Daten enthält, im Handelsregister – Richtlinie (EU) 2017/1132 – Für die Verarbeitung Verantwortlicher – Recht auf Löschung personenbezogener Daten“
I. Einleitung
1. Mit seinem Vorabentscheidungsersuchen legt der Varhoven administrativen sad (Oberstes Verwaltungsgericht, Bulgarien) dem Gerichtshof eine Reihe von Fragen vor, die im Wesentlichen das Verhältnis zwischen den Bestimmungen über die Offenlegung von Gesellschaftsurkunden, die Gegenstand einer Koordinierung auf Unionsebene sind(2), und der Verordnung (EU) 2016/679(3) betreffen.
2. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Agentsia po vpisvaniyata (Agentur für Eintragungen, Bulgarien, im Folgenden: Agentur) und OL wegen der Weigerung dieser Agentur, bestimmte personenbezogene Daten betreffend OL, die in einem der Öffentlichkeit zugänglich gemachten Rechtsakt enthalten sind, aus dem Handelsregister zu entfernen.
II. Rechtlicher Rahmen
A. Unionsrecht
3. Für die Zwecke der vorliegenden Schlussanträge sind insbesondere die Art. 14 und 16 der Richtlinie 2017/1132, die die Richtlinie 2009/101 ersetzt hat, sowie die Art. 4 bis 6 und 17 DSGVO relevant. Zur besseren Lesbarkeit wird im Rahmen der vorliegenden Prüfung auf den Wortlaut der einschlägigen Bestimmungen dieser Artikel Bezug genommen.
B. Bulgarisches Recht
4. Art. 2 des Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck(4)) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Registergesetz) bestimmt:
„(1) Das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck [im Folgenden: Register] sind eine gemeinsame elektronische Datenbank, in der die aufgrund eines Gesetzes eingetragenen Umstände sowie die Rechtsakte enthalten sind, die der Öffentlichkeit aufgrund eines Gesetzes zugänglich gemacht werden und die sich auf Kaufleute und Zweigniederlassungen ausländischer Kaufleute, juristische Personen ohne Erwerbszweck und Zweigniederlassungen ausländischer juristischer Personen ohne Erwerbszweck beziehen.
(2) Die in Abs. 1 genannten Umstände und Rechtsakte werden der Öffentlichkeit zugänglich gemacht, ohne die Informationen, die personenbezogene Daten im Sinne von Art. 4 Abs. 1 [DSGVO] darstellen, mit Ausnahme der Informationen, die nach dem Gesetz der Öffentlichkeit zugänglich zu machen sind.“
5. Nach Art. 6 Abs. 1 des Registergesetzes haben Kaufleute und juristische Personen ohne Erwerbszweck die Eintragung in das Register zu beantragen, wobei die Umstände anzugeben sind, die der Eintragung unterliegen, und die der Öffentlichkeit zur Verfügung zu stellenden Rechtsakte vorzulegen sind.
6. Art. 11 dieses Gesetzes lautet:
„(1) [Die Register] sind öffentlich. Jeder hat das Recht, frei und kostenlos auf die Datenbank zuzugreifen, die die Register darstellt.
(2) Die [Agentur] gewährleistet einen registrierten Zugang zur Akte des Kaufmanns oder der juristischen Person ohne Erwerbszweck.“
7. Art. 13 Abs. 1, 2, 6 und 9 dieses Gesetzes bestimmt:
„(1) Die Eintragung, die Löschung und die öffentliche Zugänglichmachung erfolgen auf der Grundlage eines Antragsformulars.
(2) Der Antrag enthält:
1. die Kontaktdaten des Antragstellers;
…
3. den der Eintragung unterliegenden Umstand, die Eintragung, deren Löschung beantragt wird, oder den Rechtsakt, der der Öffentlichkeit zugänglich zu machen ist;
…
(6) [D]em Antrag sind die Unterlagen oder gegebenenfalls der Rechtsakt beizufügen, die gemäß den gesetzlichen Anforderungen der Öffentlichkeit zugänglich zu machen sind. Die Unterlagen sind in Form eines Originals, einer vom Antragsteller beglaubigten Kopie oder einer notariell beglaubigten Kopie vorzulegen. Der Antragsteller legt auch beglaubigte Kopien der Rechtsakte vor, die der Öffentlichkeit im Handelsregister zugänglich zu machen sind, in denen andere als die gesetzlich vorgeschriebenen personenbezogenen Daten geschwärzt wurden.
…
(9) Für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, ist davon auszugehen, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die [Agentur] und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben.“
8. Art. 101 Nr. 3 des Targovski zakon (Handelsgesetz(5)) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Handelsgesetz) bestimmt, dass der Gesellschaftsvertrag „den Namen, die Firma und den eindeutigen Identifizierungscode der Gesellschafter“ enthalten muss.
9. Nach Art. 119 Abs. 1 dieses Gesetzes erfordert die Eintragung einer Gesellschaft in das Handelsregister u. a. die Vorlage eines Gesellschaftsvertrags, der der Öffentlichkeit zur Verfügung gestellt wird. Nach Abs. 4 dieses Artikels „ist zur Änderung oder Ergänzung des Gesellschaftsvertrags im Handelsregister eine von dem die Gesellschaft vertretenden Organ beglaubigte Kopie dieses Vertrags mit allen Änderungen und Ergänzungen zur öffentlichen Zugänglichmachung vorzulegen“.
III. Ausgangsrechtsstreit und Vorlagefragen
10. OL ist Gesellschafterin einer „OOD“, einer Gesellschaft mit beschränkter Haftung bulgarischen Rechts, die am 14. Januar 2021 in das Handelsregister eingetragen wurde. Dem Antrag auf Eintragung war der von den Gesellschaftern unterschriebene Gesellschaftsvertrag vom 30. Dezember 2020 beigefügt (im Folgenden: Gesellschaftsvertrag von 2020). Dieser Vertrag, der die Namen von OL, ihre Identifikationsnummer, die Nummer ihres Personalausweises, dessen Ausstellungsdatum und ‑ort und ihre Anschrift enthielt, wurde in der Form eingetragen und bekannt gemacht, in der er eingereicht worden war. Am 8. Juli 2021 beantragte OL bei der Agentur die Löschung ihrer personenbezogenen Daten im Gesellschaftsvertrag von 2020 und erklärte, dass sie, soweit die Verarbeitung ihrer Daten auf ihrer Einwilligung beruhe, sie diese widerrufe. Da die Agentur nicht antwortete, rief OL den Administrativen sad Dobrich (Verwaltungsgericht Dobrich, Bulgarien) an, der die stillschweigende Ablehnung der Agentur, dem Antrag von OL stattzugeben, aufhob und die Sache zur erneuten Entscheidung an die Agentur zurückverwies. In Durchführung dieses Urteils und eines entsprechenden Urteils in Bezug auf den anderen Gesellschafter, der denselben Schritt unternommen hatte, wies die Agentur mit Schreiben vom 26. Januar 2022 darauf hin, dass ihr eine beglaubigte Kopie des Gesellschaftsvertrags von 2020 zu übermitteln sei, in der die personenbezogenen Daten der Gesellschafter, mit Ausnahme der gesetzlich vorgeschriebenen Daten, unkenntlich gemacht worden seien, damit dem Antrag auf Löschung entsprochen werden könne (im Folgenden: Schreiben vom 26. Januar 2022). Am 31. Januar 2022 erhob OL erneut Klage beim Administrativen sad Dobrich (Verwaltungsgericht Dobrich) und beantragte, das Schreiben vom 26. Januar 2022 für nichtig zu erklären und die Agentur zum Ersatz des immateriellen Schadens zu verurteilen, der ihr durch dieses Schreiben unter Verletzung der Rechte aus der DSGVO entstanden sein soll. Am 1. Februar 2022 löschte die Agentur vor der Zustellung dieser Klage von Amts wegen die Identifikationsnummer, die Daten zum Personalausweis und die Anschrift von OL, nicht aber ihre Namen und ihre Unterschrift. Mit Urteil vom 5. Mai 2022 erklärte der Administrativen sad Dobrich (Verwaltungsgericht Dobrich) das Schreiben vom 26. Januar 2022 für nichtig und verurteilte die Agentur, OL Schadensersatz in Höhe von 500 bulgarischen Leva (BGN) (etwa 255 Euro) zuzüglich gesetzlicher Zinsen wegen immateriellen Schadens gemäß Art. 82 DSGVO zu zahlen. Nach diesem Urteil bestand dieser Schaden in negativen Emotionen und Erlebnissen infolge dieses Schreibens, das ihr Recht auf Löschung gemäß Art. 17 Abs. 1 DSGVO verletzt habe und zur rechtswidrigen Verarbeitung der in dem bekannt gemachten Gesellschaftsvertrag enthaltenen Daten von OL geführt habe. Die Agentur legte gegen dieses Urteil Kassationsbeschwerde beim vorlegenden Gericht ein. Sie macht u. a. geltend, dass sie Verantwortlicher für die Verarbeitung sei, aber auch Empfänger der im Rahmen des Registrierungsverfahrens übermittelten Daten, und dass sie, obwohl sie dies vor der Registrierung der Gesellschaft, deren Gesellschafterin OL gewesen sei, verlangt habe, keine Kopie des Vertrags dieser Gesellschaft erhalten habe, in dem die Daten unkenntlich gemacht worden seien, die der Öffentlichkeit nicht zugänglich gemacht werden sollten. Die Eintragung einer Handelsgesellschaft könne aber nicht allein aus diesem Grund abgelehnt werden. Sie beruft sich auf eine Stellungnahme der nationalen Aufsichtsbehörde, der Komisia za zashtita na lichnite danni (Kommission für den Schutz personenbezogener Daten, Bulgarien), aus dem Jahr 2021, die gemäß Art. 58 Abs. 3 Buchst. b DSGVO ergangen sei (im Folgenden: Stellungnahme von 2021)(6), in der ausgeführt werde, dass sie nicht befugt sei, den Inhalt der bei ihr eingegangenen Rechtsakte im Hinblick auf ihre Eintragung im Register zu ändern. OL macht geltend, dass die Agentur als für die Verarbeitung Verantwortlicher ihre eigenen Löschungspflichten nicht anderen Personen auferlegen könne. Sie beruft sich auf eine nationale Rechtsprechung, wonach die Stellungnahme von 2021 nicht im Einklang mit den Bestimmungen der DSGVO stehe.
11. Unter diesen Umständen hat der Varhoven administrativen sad (Oberstes Verwaltungsgericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Kann Art. 4 Abs. 2 der Richtlinie 2009/101 dahin ausgelegt werden, dass er eine Verpflichtung des Mitgliedstaats aufstellt, die Offenlegung eines Gesellschaftsvertrags, der gemäß Art. 119 des Handelsgesetzes der Eintragung unterliegt, zuzulassen, wenn dieser neben den Namen der Gesellschafter, die gemäß Art. 2 Abs. 2 des Registergesetzes der obligatorischen Bekanntmachung unterliegen, auch weitere personenbezogene Daten enthält? Bei der Beantwortung dieser Frage ist zu beachten, dass die Agentur eine Einrichtung des öffentlichen Sektors ist, der gegenüber nach ständiger Rechtsprechung des Gerichtshofs die Vorschriften der Richtlinie, die unmittelbare Wirkung entfalten, geltend gemacht werden können (Urteil vom 7. September 2006, Vassallo, C‑180/04, EU:C:2006:518, Rn. 26 und die dort angeführte Rechtsprechung).
2. Kann – falls die erste Frage bejaht wird – angenommen werden, dass unter den Umständen, die den Rechtsstreit des Ausgangsverfahrens ausgelöst haben, die Verarbeitung personenbezogener Daten durch die Agentur im Sinne von Art. 6 Abs. 1 Buchst. e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?
3. Kann – falls die ersten beiden Fragen bejaht werden – eine nationale Regelung wie Art. 13 Abs. 9 des Registergesetzes, nach der für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, davon auszugehen ist, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die Agentur und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben, ungeachtet der Erwägungsgründe 32, 40, 42, 43 und 50 der DSGVO als Klarstellung in Bezug auf die Möglichkeit einer im Sinne des Art. 4 Abs. 2 der Richtlinie 2009/101 „freiwilligen Offenlegung“ auch personenbezogener Daten, als zulässig angesehen werden?
4. Sind zur Umsetzung der Verpflichtung aus Art. 3 Abs. 7 der Richtlinie 2009/101, wonach die Mitgliedstaaten die erforderlichen Maßnahmen treffen müssen, um zu verhindern, dass der Inhalt der nach Abs. 5 offengelegten Informationen und der Inhalt des Registers oder der Akte voneinander abweichen und um die Interessen Dritter zu berücksichtigen, sich über die wesentlichen Urkunden der Gesellschaft sowie einige sie betreffende Angaben, die im dritten Erwägungsgrund dieser Richtlinie genannt werden, zu unterrichten, nationale Rechtsvorschriften zulässig, die eine Verfahrensregelung (Antragsformblätter, Einreichung von Kopien von Unterlagen, in denen personenbezogene Daten unkenntlich gemacht wurden) für die Ausübung des Rechts der natürlichen Person gemäß Art. 17 DSGVO, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, vorsehen, wenn die personenbezogenen Daten, deren Löschung verlangt wird, Teil von öffentlich offengelegten (bekannt gemachten) Unterlagen sind, die dem Verantwortlichen nach einer ähnlichen Verfahrensregelung von einer anderen Person zur Verfügung gestellt wurden, die mit dieser Handlung auch den Zweck der von ihr veranlassten Verarbeitung bestimmt hat?
5. Handelt die Agentur in der dem Ausgangsrechtsstreit zugrunde liegenden Situation nur als Verantwortlicher in Bezug auf die personenbezogenen Daten oder ist sie auch deren Empfänger, wenn die Zwecke ihrer Verarbeitung als Teil der Unterlagen, die zur Bekanntmachung vorgelegt wurden, von einem anderen Verantwortlichen bestimmt wurden?
6. Stellt die eigenhändige Unterschrift einer natürlichen Person eine Information dar, die sich auf eine identifizierte natürliche Person bezieht, bzw. wird sie vom Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO erfasst?
7. Ist der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Handelsregister, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?
8. Kann die gemäß Art. 58 Abs. 3 Buchst. b DSGVO erlassene Stellungnahme der nationalen Aufsichtsbehörde, der Kommission für den Schutz personenbezogener Daten, von 2021, wonach die Agentur keine rechtliche Möglichkeit oder Befugnis hat, von Amts wegen oder auf Antrag der betroffenen Person, die Verarbeitung von bereits offengelegten Daten einzuschränken, zulässigerweise als Nachweis im Sinne von Art. 82 Abs. 3 DSGVO dafür gelten, dass die Agentur in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden bei der natürlichen Person eingetreten ist?
IV. Verfahren vor dem Gerichtshof
12. Die Parteien des Ausgangsverfahrens, die bulgarische, die deutsche, die irische, die italienische, die polnische und die finnische Regierung sowie die Kommission haben gemäß Art. 23 der Satzung des Gerichtshofs der Europäischen Union schriftliche Erklärungen eingereicht, und zwar entweder zu allen oder zu einem Teil der Vorlagefragen. Die Parteien des Ausgangsverfahrens, die bulgarische und die irische Regierung sowie die Kommission haben in der Sitzung vom 7. März 2024 ebenfalls mündlich verhandelt.
A. Würdigung
13. Auf Ersuchen des Gerichtshofs werden sich die vorliegenden Schlussanträge auf die vierte und die fünfte Vorlagefrage konzentrieren, deren gemeinsame Behandlung ich vorschlage. Vor meiner Prüfung halte ich einige Vorbemerkungen für erforderlich, die das Vorabentscheidungsersuchen insgesamt betreffen.
1. Vorbemerkungen
14. Zunächst ist darauf hinzuweisen – wie es die Parteien des Ausgangsverfahrens, die Kommission und die meisten Mitgliedstaaten, die vor dem Gerichtshof Erklärungen abgegeben haben, getan haben –, dass die Gründe der Vorlageentscheidung sowie der Wortlaut der Vorlagefragen – einschließlich insbesondere der vierten Frage – auf die Bestimmungen der Richtlinie 2009/101 Bezug nehmen. Diese wurde jedoch mit Wirkung vom 20. Juli 2017 durch die Richtlinie 2017/1132 aufgehoben und ersetzt, die zeitlich auf den Sachverhalt des Ausgangsverfahrens anwendbar ist. Im Folgenden werde ich mich daher nur auf die letztgenannte Richtlinie beziehen.
15. Sodann ist darauf hinzuweisen, dass die Richtlinie 2017/1132 und insbesondere ihre Art. 16 und 161, soweit es für die Prüfung des vorliegenden Vorabentscheidungsersuchens von Bedeutung ist, durch die am 31. Juli 2019 in Kraft getretene Richtlinie (EU) 2019/1151(7) geändert wurden. Zwar trifft es zu, dass, wie die Kommission hervorhebt, die Eintragung des Gesellschaftsvertrags von 2020 mit den personenbezogenen Daten von OL in das Handelsregister vor dem 1. August 2021, dem Tag des Ablaufs der Frist für die Umsetzung der Richtlinie 2019/1151(8), erfolgte, doch hat sich ein Teil des Sachverhalts nach diesem Zeitpunkt zugetragen, darunter die Versendung des Schreibens vom 26. Januar 2022 durch die Agentur, die Löschung einiger dieser Daten durch die Agentur von Amts wegen sowie ihre erneute öffentliche Zugänglichmachung im Register, auf die die Beklagte des Ausgangsverfahrens in ihren schriftlichen Erklärungen hinweist. Es ist daher nicht ausgeschlossen, dass im Rahmen des Ausgangsrechtsstreits in zeitlicher Hinsicht die Richtlinie 2017/1132 in der durch die Richtlinie 2019/1151 geänderten Fassung anwendbar ist, was zu prüfen Sache des vorlegenden Gerichts ist. Deshalb werde ich mich im Folgenden auf diese Fassung beziehen.
16. Ich weise jedoch bereits jetzt darauf hin, dass die durch die Richtlinie 2019/1151 eingeführten Änderungen als solche nur begrenzte Auswirkungen auf die Frage haben, nach welchen Modalitäten die für die Führung des Handelsregisters zuständige Behörde eines Mitgliedstaats den Schutz personenbezogener Daten bei der Wahrnehmung ihrer Aufgaben gewährleisten soll. Ganz allgemein ist jedoch hervorzuheben, dass diese Richtlinie darauf abzielt, den Einsatz digitaler Werkzeuge und Verfahren bei der Erhebung und Verwaltung des Informationsflusses von Gesellschaften zu stärken und zu konsolidieren, was einen verstärkten Zugang zu den darin enthaltenen personenbezogenen Daten beinhaltet und die Gefahr von Verletzungen des Rechts auf Schutz dieser Daten sowie die Schädlichkeit dieser Beeinträchtigungen erhöht(9). Ein solcher Prozess der Digitalisierung(10) in Verbindung mit einer Intensivierung der grenzüberschreitenden Zugänglichkeit zu diesen Informationen, auf die der Unionsgesetzgeber ebenfalls Bezug nimmt(11), erfordert besondere Aufmerksamkeit bei der Abwägung zwischen den Zielen der Rechtssicherheit und des Schutzes der Rechte Dritter, die, wie wir sehen werden, den Vorschriften über die Offenlegung in Bezug auf Gesellschaften zugrunde liegen, zum einen und den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten zum anderen(12).
17. Ebenfalls weise ich vorab darauf hin, dass es im Ausgangsrechtsstreit um die Löschung personenbezogener Daten im Handelsregister eines Mitgliedstaats geht, deren öffentliche Zugänglichmachung weder nach der Richtlinie 2017/1132 noch nach dem Recht des betreffenden Mitgliedstaats erforderlich ist, sowie um die Haftung der mit der Führung dieses Registers betrauten nationalen Stelle für den immateriellen Schaden, der durch die Weigerung entstanden ist, dem Antrag auf Löschung solcher Daten sofort und bedingungslos Folge zu leisten. Dagegen geht es im Ausgangsrechtsstreit nicht unmittelbar um die Frage, welche Verpflichtungen einer solchen Stelle im Rahmen des Schutzes personenbezogener Daten bei der Eintragung von Errichtungsakten einer Gesellschaft in das Handelsregister obliegen, die Daten enthalten, deren Veröffentlichung nicht zwingend vorgeschrieben ist. Diese Frage stellt sich jedoch im Hintergrund, wie sich aus der Tatsache ergibt, dass etliche der Mitgliedstaaten, die dem Rechtsstreit als Streithelfer beigetreten sind, ihr einen großen Teil ihrer Erklärungen gewidmet haben, indem sie eine radikale Umformulierung der ersten vier Vorlagefragen oder einiger von ihnen vorgeschlagen haben. Im Folgenden werde ich auf einige Aspekte dieser Frage eingehen, wobei ich mich innerhalb der Grenzen halten werde, die durch den Gegenstand des Ausgangsverfahrens und die Vorlagefragen, auf die sich die vorliegenden Schlussanträge beziehen, vorgegeben sind.
2. Zur vierten und zur fünften Vorlagefrage
18. Mit seiner vierten Vorlagefrage, deren Zulässigkeit von der bulgarischen Regierung bestritten wird, möchte das vorlegende Gericht wissen, ob die Richtlinie 2017/1132 dahin auszulegen ist, dass sie es erlaubt, das Recht einer natürlichen Person, im vorliegenden Fall der Gesellschafter einer Gesellschaft mit beschränkter Haftung im Sinne dieser Richtlinie(13), auf Löschung aus dem Handelsregister von sie betreffenden personenbezogenen Daten, die zwar nicht zu den Informationen gehören, die nach nationalem Recht der Pflicht zur Offenlegung unterliegen, aber im Errichtungsakt dieser Gesellschaft enthalten sind, der im Rahmen ihrer Eintragung in das Handelsregister der Öffentlichkeit zugänglich gemacht wurde, besonderen verfahrensrechtlichen Voraussetzungen zu unterwerfen. Mit seiner fünften Vorlagefrage ersucht das vorlegende Gericht den Gerichtshof hingegen um Klarstellung, ob die mit der Führung des Handelsregisters betraute Stelle in Bezug auf solche Daten als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO handelt oder ob sie auch „Empfänger“ der von ihr verarbeiteten Daten im Sinne von Art. 4 Nr. 9 dieser Verordnung ist, da der Zweck ihrer Verarbeitung im Vorfeld von einem Dritten festgelegt wurde.
19. Wie ich bereits ausgeführt habe, sind diese beiden Fragen meines Erachtens gemeinsam zu behandeln. Zu diesem Zweck werde ich auf die verschiedenen Fragen, die sie aufwerfen, in der folgenden Reihenfolge eingehen. Nach einem kurzen Überblick über den Umfang der Offenlegungspflichten der in Anhang II der Richtlinie 2017/1132 genannten Gesellschaften werde ich erstens prüfen, wer für die Verarbeitung personenbezogener Daten, die in Rechtsakten enthalten sind, die im Zusammenhang mit der Eintragung einer Gesellschaft in das Handelsregister eines Mitgliedstaats der Pflicht zur Offenlegung unterliegen, verantwortlich ist, wenn, wie im vorliegenden Fall, die Offenlegung der betreffenden Daten weder nach dem harmonisierten Unionsrecht noch nach dem Recht des betreffenden Mitgliedstaats erforderlich ist. Zweitens werde ich auf die Frage eingehen, auf welcher Rechtsgrundlage die Verarbeitung solcher Daten im vorliegenden Fall beruht. Drittens werde ich mich der Frage zuwenden, ob die betroffenen Personen, sobald diese Daten nach der öffentlichen Zugänglichmachung des Rechtsakts, in dem sie enthalten waren, offengelegt wurden, ein Recht auf Löschung gemäß Art. 17 DSGVO haben. Schließlich werde ich viertens auf die Frage eingehen, ob ein solches Recht Verfahrensmodalitäten wie den vom vorlegenden Gericht genannten unterworfen werden kann.
20. Vor dieser Prüfung ist auf die von der bulgarischen Regierung gegen die Zulässigkeit der vierten Vorlagefrage erhobenen Einwände einzugehen. Diese Regierung ist der Ansicht, die vierte Vorlagefrage beziehe sich im Wesentlichen auf die Vereinbarkeit nationaler Rechtsvorschriften, die jedoch noch nicht erlassen worden seien, mit Art. 16 Abs. 7 der Richtlinie 2017/1132 – in der Fassung vor den Änderungen durch die Richtlinie 2019/1151. Die Frage sei daher hypothetischer Natur. Insoweit weise ich darauf hin, dass das vorlegende Gericht letztlich über die Rechtmäßigkeit der Weigerung der Agentur zu entscheiden hat, bestimmte personenbezogene Daten der Beklagten, die in einem Rechtsakt enthalten sind, der nach seiner Eintragung in das Handelsregister der Öffentlichkeit zugänglich gemacht wurde, zu löschen, und über die Folgen dieser Weigerung zu entscheiden hat. Zu diesem Zweck hat das vorlegende Gericht u. a. anhand der Bestimmungen der Richtlinie 2017/1132 und der DSGVO zu beurteilen, ob eine solche Weigerung u. a. damit gerechtfertigt werden kann, dass die beglaubigte Kopie dieses Rechtsakts, aus der die fraglichen personenbezogenen Daten entfernt wurden, nicht zu den Akten genommen wurde. Die beantragte Vorabentscheidung ist daher erforderlich, damit das vorlegende Gericht sein Urteil in dem bei ihm anhängigen Rechtsstreit erlassen kann. Außerdem geht trotz des mehrdeutigen Wortlauts der vierten Vorlagefrage aus der Vorlageentscheidung klar hervor, dass diese Frage nicht darauf abzielt, ein Gutachten über die Vereinbarkeit einer noch nicht erlassenen nationalen Regelung mit dem Unionsrecht zu erhalten, sondern darauf, den Gerichtshof um Hinweise zur Auslegung des Unionsrechts zu ersuchen, die es zur Entscheidung des von ihm zu entscheidenden Rechtsstreits benötigt. Die vierte Vorlagefrage ist daher meines Erachtens zulässig.
3. Kurzer Überblick über den Umfang der Pflichten zur Offenlegung von Urkunden und Angaben betreffend die in Anhang II der Richtlinie 2017/1132 genannten Gesellschaften
21. Art. 14 der Richtlinie 2017/1132 sieht vor, dass die Mitgliedstaaten für die in Anhang II dieser Richtlinie genannten Rechtsformen von Gesellschaften zur Offenlegung von „mindestens“ den dort aufgeführten Urkunden und Angaben verpflichtet sind. Zu den der Pflicht zur Offenlegung unterliegenden Urkunden gehören nach Art. 14 Buchst. a bis c „de[r] Errichtungsakt und, falls sie Gegenstand eines gesonderten Aktes ist, die Satzung [der Gesellschaft]“ sowie deren Änderungen. Nach Art. 4 Buchst. i dieser Richtlinie gehören zu den erforderlichen Angaben, die in der Satzung, im Errichtungsakt oder in einem gesonderten Schriftstück, das offenzulegen ist, enthalten sein müssen, die Personalien der natürlichen Personen oder die Bezeichnung der juristischen Personen oder Gesellschaften, durch die oder in deren Namen die Satzung oder der Errichtungsakt unterzeichnet worden sind. Zu den Angaben, deren Offenlegung zu gewährleisten ist, gehört nach Art. 14 Buchst. d „die Bestellung, das Ausscheiden sowie die Personalien derjenigen, die als gesetzlich vorgesehenes Gesellschaftsorgan oder als Mitglieder eines solchen Organs“ „befugt sind, die Gesellschaft gerichtlich und außergerichtlich zu vertreten“ und/oder „an der Verwaltung, Beaufsichtigung oder Kontrolle der Gesellschaft teilnehmen“. Nach Art. 16 Abs. 2 der Richtlinie 2017/1132 in der durch die Richtlinie 2019/1151 geänderten Fassung werden alle Urkunden und Informationen, die nach Art. 14 der Offenlegung unterliegen, in der in Abs. 1 dieses Artikels genannten Akte hinterlegt oder direkt in das Register eingetragen, und der Gegenstand der Eintragungen in das Register wird in der Akte vermerkt(14). Nach Art. 16 Abs. 3 und 4 dieser Richtlinie in der durch die Richtlinie 2019/1151 geänderten Fassung sorgen die Mitgliedstaaten dafür, dass die Offenlegung der in ihrem Art. 14 bezeichneten Urkunden und Informationen dadurch erfolgt, dass sie im Register öffentlich zugänglich gemacht werden. Zudem können die Mitgliedstaaten verlangen, dass einige oder alle dieser Urkunden und Informationen in einem dafür bestimmten Amtsblatt oder in anderer ebenso wirksamer Form veröffentlicht werden. Die Mitgliedstaaten treffen alle erforderlichen Maßnahmen, um Abweichungen zwischen den Eintragungen im Register und in der Akte sowie zwischen der Offenlegung im Register und der Veröffentlichung im Amtsblatt zu vermeiden.
22. Zu den oben angeführten Vorschriften der Richtlinie 2017/1132 lassen sich folgende Ausführungen machen.
23. Erstens sieht die Richtlinie 2017/1132 die Pflicht zur Offenlegung und die Zugänglichkeit des gesamten Errichtungsakts der Gesellschaft sowie dessen Änderungen über das Register vor(15).
24. Zweitens schreibt diese Richtlinie in Bezug auf die in ihrem Anhang II genannten Gesellschaften die Offenlegung und Zugänglichkeit über das Register nur für bestimmte Kategorien von Personen vor, nämlich insbesondere solche, die befugt sind, die Gesellschaft zu vertreten, oder die an der Verwaltung, Beaufsichtigung oder Kontrolle der Gesellschaft teilnehmen. Nach Art. 4 Buchst. i dieser Richtlinie unterliegen auch die Personalien der natürlichen Personen, durch die der Errichtungsakt der Gesellschaft unterzeichnet worden ist, der Offenlegung.
25. Drittens stellen diese Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO dar(16).
26. Viertens enthalten die genannten Bestimmungen der Richtlinie 2017/1132 nur Mindestvorschriften für die Offenlegung von Urkunden und Informationen über Gesellschaften. Es ist daher Sache der Mitgliedstaaten, u. a. festzulegen, welche Kategorien von Informationen über die Personalien der in Art. 4 Buchst. i und Art. 14 Buchst. d dieser Richtlinie genannten Personen der Pflicht zur Offenlegung unterliegen. Den Mitgliedstaaten steht es im Übrigen frei, weitere Urkunden oder weitere Angaben, die sich gegebenenfalls auf andere Kategorien von Personen beziehen, einer solchen Offenlegung zu unterwerfen. Es versteht sich von selbst, dass sie dabei alle Bestimmungen des Unionsrechts, insbesondere die in Art. 8 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankerten Grundsätze und die Bestimmungen der DSGVO, beachten müssen.
4. Zum für die Verarbeitung Verantwortlichen
27. Der Begriff „Verantwortlicher“ ist in Art. 4 Nr. 7 DSGVO weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Durch diese weite Definition soll im Einklang mit dem Ziel dieser Verordnung ein wirksamer Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten gewährleistet werden(17). Der Begriff „Verarbeitung“ wird ebenfalls weit definiert(18). Nach Art. 4 Nr. 2 DSGVO bezeichnet der Ausdruck „Verarbeitung“ „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
28. Aus dem Urteil Manni geht hervor, dass, indem die mit der Führung des Registers betraute Stelle die Informationen über die Personalien der in Art. 14 Buchst. d der Richtlinie 2017/1132 angeführten Personen in das Handelsregister einträgt und darin aufbewahrt und sie übermittelt, sie im Sinne der in Art. 4 Nr. 2 und 7 DSGVO enthaltenen Definitionen eine „Verarbeitung personenbezogener Daten“ vornimmt, für die sie „Verantwortlicher“ ist. Gleiches gilt ganz offensichtlich, wenn die Eintragung in dieses Register, die Speicherung und die Übermittlung andere als die in der Richtlinie ausdrücklich genannten personenbezogenen Daten zum Gegenstand haben, wenn die Offenlegung dieser Daten nach dem Recht eines Mitgliedstaats vorgeschrieben ist.
29. In der vorliegenden Rechtssache stellt sich jedoch die Frage, ob eine solche Behörde, im vorliegenden Fall die Agentur, dafür verantwortlich ist, dass der Öffentlichkeit personenbezogene Daten zur Verfügung gestellt werden, deren Offenlegung weder nach der Richtlinie 2017/1132 noch nach dem Recht des betreffenden Mitgliedstaats, hier des bulgarischen Rechts, erforderlich ist, die aber in einer Urkunde enthalten sind, deren Eintragung und Offenlegung zwingend vorgeschrieben sind.
30. Diese Frage ist meines Erachtens zu bejahen.
31. Die öffentliche Zugänglichmachung der personenbezogenen Daten von OL im Handelsregister erfolgte nämlich in Wahrnehmung der Aufgaben, die der Agentur als mit der Führung dieses Registers betraute Stelle übertragen wurden. Wie bereits ausgeführt, sieht das bulgarische Recht vor, dass dem Antrag auf Eintragung einer Gesellschaft in dieses Register das Original oder eine beglaubigte Kopie der offenzulegenden Urkunden, darunter des Gesellschaftsvertrags, beizufügen ist, die die Agentur der Öffentlichkeit zur Verfügung zu stellen hat. Die Zwecke und Mittel der Verarbeitung personenbezogener Daten durch die Agentur in Erfüllung ihrer Aufgaben werden auch durch das bulgarische Recht sowie durch das Unionsrecht bestimmt, das, wie wir gesehen haben, eine Angleichung der Rechtsvorschriften der Mitgliedstaaten über die Offenlegung von Gesellschaften vorgenommen hat. Als Stelle, die für die Verarbeitung personenbezogener Daten, die in den in das Handelsregister eingetragenen Urkunden enthalten sind, im Einklang mit den im bulgarischen Recht und im Unionsrecht festgelegten Zwecken und Mitteln betraut ist, ist die Agentur daher als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Ich weise darauf hin, dass der Gerichtshof kürzlich in Bezug auf die gesetzlich mit der Führung des Amtsblatts eines Mitgliedstaats betraute nationale Einrichtung im Urteil vom 11. Januar 2024, État belge (Von einem Amtsblatt verarbeitete Daten)(19), zu einem entsprechenden Ergebnis gelangt ist.
32. Diese Schlussfolgerung wird nicht dadurch in Frage gestellt, dass im vorliegenden Fall die im Gesellschaftsvertrag von 2020 enthaltenen Daten nicht zu den Daten gehören, die der Öffentlichkeit nach bulgarischem Recht zugänglich zu machen sind. Zum einen hat der Gerichtshof im Urteil État belge implizit anerkannt, dass sich ein solcher Umstand nicht auf die Bestimmung des für die Verarbeitung Verantwortlichen auswirkt. Im Ausgangsverfahren, in dem dieses Urteil ergangen ist, betraf der Rechtsstreit nämlich, wie im dem vorliegenden Vorabentscheidungsersuchen zugrunde liegenden Fall, Daten, deren öffentliche Zugänglichmachung nach dem Recht des betreffenden Mitgliedstaats nicht erforderlich war. Zum anderen sieht Art. 13 Abs. 9 des Registergesetzes ausdrücklich vor, dass in dem Fall, dass der Antragsteller keine beglaubigte Kopie der zu veröffentlichenden Urkunde vorlegt, aus der die nicht erforderlichen personenbezogenen Daten entfernt wurden, die Agentur diese auf der Grundlage einer vermuteten stillschweigenden Einwilligung verarbeitet und der Öffentlichkeit zugänglich macht. Selbst unter solchen Umständen benennt das bulgarische Recht die Agentur daher ausdrücklich als den für die Verarbeitung Verantwortlichen.
33. Unter diesen Umständen kann ich mich der von der Agentur in ihren schriftlichen Erklärungen vertretenen Auffassung nicht anschließen, wonach der Antragsteller, wenn er die gesetzlich nicht erforderlichen Informationen, die in den von ihm für die Zwecke der Eintragung in das Register übermittelten Urkunden enthalten sind, nicht unkenntlich macht, selbst für die Verarbeitung verantwortlich wird, die in ihrer Online-Veröffentlichung in diesem Register besteht. Denn unabhängig von der Frage, ob eine Einwilligung in die Veröffentlichung dieser Informationen wirksam unter Heranziehung der in Art. 13 Abs. 9 des Registergesetzes vorgesehenen Vermutung erteilt werden kann, kann sich das Vorliegen einer solchen Einwilligung nicht auf die Bestimmung des Verantwortlichen für die Verarbeitung auswirken, sondern nur auf deren Rechtmäßigkeit.
34. Ebenso wenig relevant ist der von der Agentur ebenfalls hervorgehobene Umstand, dass die im Rahmen eines Antrags auf Eintragung in das Handelsregister eingereichten Dokumente im Gegensatz zu den digitalen Feldern dieses Registers, die von dem Bediensteten, der die Eintragung vornimmt, ausgefüllt werden und die der gesetzlichen Definition des „Registers“ im bulgarischen Recht entsprechen, keine strukturierten oder maschinenlesbaren Daten sind. Die Agentur ist nämlich die nach bulgarischem Recht mit der Führung des Handelsregisters betraute Stelle und ist daher für jede Verarbeitung der im Handelsregister veröffentlichten personenbezogenen Daten verantwortlich, unabhängig davon, ob diese Daten in einem Dokument enthalten sind, das dem Antrag beigefügt ist, oder von einem Beamten der Agentur eingegeben werden. Auch wenn sie die Dokumente, die sie erhält, nicht selbst digital umwandelt, ist sie daher gleichwohl für die Verbreitung dieser Dokumente und der darin enthaltenen Daten über das Register verantwortlich. Ganz allgemein erhebt, registriert, bewahrt auf, organisiert und ordnet die Agentur im Rahmen ihrer im öffentlichen Interesse liegenden Aufgabe alle Daten, Urkunden und Dokumente, die sie in eine strukturierte Datenbank aufnimmt, die als zuverlässige und authentische Informationsquelle anerkannt ist.
35. Schließlich wird die Einstufung der Agentur als „Verantwortlicher“ im Sinne von Art. 4 Abs. 7 DSGVO weder dadurch in Frage gestellt, dass sie die personenbezogenen Daten, die in den elektronischen Bildern oder Originalen auf Papier der für die Eintragung übermittelten Dokumente enthalten sind, vor der Online-Veröffentlichung dieser Daten nicht kontrolliert, noch dadurch, dass sie diese Daten nicht ändern oder berichtigen kann. Insoweit weise ich darauf hin, dass der Gerichtshof bereits im Urteil État belge eine Argumentation mit ähnlichem Inhalt zurückgewiesen hat, soweit es um die Veröffentlichung von Rechtsakten und Dokumenten im Amtsblatt eines Mitgliedstaats ging, die von Dritten erstellt, dann bei einer Justizbehörde eingereicht und der für dieses Amtsblatt zuständigen Stelle im Hinblick auf ihre Verbreitung übermittelt wurden. In Rn. 38 dieses Urteils hat der Gerichtshof zum einen festgestellt, dass die Veröffentlichung dieser Rechtsakte und Dokumente ohne Möglichkeit der Kontrolle oder Änderung ihres Inhalts untrennbar mit der Rolle eines Amtsblatts verbunden war, die sich darauf beschränkt, die Öffentlichkeit über ihre Existenz nach dem anwendbaren nationalen Recht zu unterrichten, damit sie Dritten entgegengehalten werden können. Zum anderen hat er darauf hingewiesen, dass es dem Ziel von Art. 4 Nr. 7 DSGVO, einen wirksamen und umfassenden Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, zuwiderlaufen würde, das Amtsblatt eines Mitgliedstaats vom Ausdruck „Verantwortlicher“ auszunehmen, weil diese Daten nicht seiner Kontrolle unterliegen. Entsprechende Erwägungen gelten sinngemäß für die Veröffentlichung von Urkunden und Dokumenten in den Gesellschaftsregistern der Mitgliedstaaten. Zwar trifft es zu, dass, wie dies beim Moniteur belge in dem angeführten Urteil der Fall war, die Agentur die betreffende Urkunde unverändert zu veröffentlichen hat. Es ist jedoch allein ihre Sache, diese Aufgabe wahrzunehmen und den betreffenden Rechtsakt zu verbreiten(20).
36. An dieser Stelle stellt sich die Frage, ob die Agentur als alleiniger Verantwortlicher für die Verarbeitung der streitigen Daten und damit für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze anzusehen ist oder ob sie diese Verantwortung mit dem Antragsteller teilt, der für die Gesellschaft handelt, weil dieser der Agentur keine Kopie des Gesellschaftsvertrags von 2020 übersandt hat, aus der diese Daten entfernt wurden.
37. Insoweit weise ich zunächst darauf hin, dass Art. 26 Abs. 1 DSGVO vorsieht, dass zwei oder mehr Personen die gemeinsame Verantwortung für die Verarbeitung übernehmen können und dass ihre jeweiligen Pflichten einvernehmlich festgelegt oder durch das Unionsrecht oder das Recht des Staates, dem sie unterliegen, festgelegt werden können(21). Insoweit hat der Gerichtshof klargestellt, dass die Einstufung als „gemeinsam für die Verarbeitung Verantwortliche“ sich daraus ergibt, dass mehrere Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben(22). Ohne eine solche Mitwirkung ist dagegen eine gemeinsame Verantwortlichkeit für die Verarbeitung ausgeschlossen, und die verschiedenen Akteure sind als unabhängige und aufeinanderfolgende Verantwortliche anzusehen. Wie der EDSB ausgeführt hat, sollte der Austausch derselben Daten oder desselben Datensatzes zwischen zwei Stellen ohne gemeinsam festgelegte Zwecke oder gemeinsam festgelegte Mittel der Verarbeitung als Übermittlung von Daten zwischen getrennten Verantwortlichen betrachtet werden(23).
38. Der bloße Umstand, dass die Agentur gleichzeitig „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO und „Empfänger“ im Sinne von Nr. 9 dieses Artikels ist, weil ihr personenbezogene Daten offengelegt werden, die in den dem Antrag auf Eintragung in das Handelsregister beigefügten Akten und Dokumenten enthalten sind, kann daher nicht ausschließen, dass sie allein die Verantwortung für die öffentliche Zugänglichmachung dieser Daten übernimmt. Eine solche öffentliche Zugänglichmachung stellt nämlich, ebenso wie die digitale Umwandlung der Daten, die in den der Agentur vorgelegten Urkunden enthalten sind – wenn sie erfolgt –, und ihre Speicherung, eine gesonderte und spätere Verarbeitung gegenüber der Übermittlung der Daten dar, die vom Antragsteller zum Zweck der Eintragung der Gesellschaft vorgenommen wird. Die Agentur nimmt jedoch alle diese Verarbeitungen allein vor, und zwar im Rahmen der öffentlichen Aufgabe, mit der sie betraut ist, und im Einklang mit den Zwecken und Modalitäten, die im bulgarischen Recht festgelegt sind(24).
39. Zwar hat der Gerichtshof zum einen im Urteil État belge festgestellt(25), dass es ausreicht, damit eine Person gemeinsam für die Verarbeitung verantwortlich gemacht werden kann, wenn diese Person zu ihren eigenen Zwecken auf die Verarbeitung personenbezogener Daten Einfluss nimmt und daher an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung beteiligt ist(26). Im vorliegenden Fall geht jedoch aus den dem Gerichtshof vorliegenden Akten hervor, dass die Zwecke und Mittel für die Verarbeitung der Daten in den Dokumenten, die der Öffentlichkeit über das Handelsregister zugänglich zu machen sind, ausschließlich durch das Gesetz bestimmt sind. Die Personen, die für die Gesellschaft die Dokumente und Informationen, deren Offenlegung gesetzlich vorgeschrieben ist, in die Datenbank dieses Registers laden(27), haben keinen Einfluss auf diese Bestimmung und können daher – ebenso wie die Gesellschaft selbst – für die Weiterverarbeitung der Daten, die sie der Agentur übermitteln, einschließlich der Offenlegung dieser Daten über die elektronische Datenbank des Registers, nicht verantwortlich gemacht werden. Außerdem verfolgen diese Personen mit der Übermittlung der offenzulegenden Urkunden an die Agentur und der Verarbeitung der darin enthaltenen Daten eigene Zwecke, nämlich die für die Eintragung der Gesellschaft erforderlichen Formalitäten zu erfüllen, die sich von den öffentlichen Zwecken unterscheiden, die dem Register zugewiesen sind und die von der Agentur verfolgt werden, wenn sie die öffentliche Zugänglichmachung solcher Urkunden sicherstellt(28).
40. Zum anderen hat der Gerichtshof im Urteil État belge anerkannt, dass das nationale Recht bei einer Kette von Verarbeitungen, die von verschiedenen Personen oder Einrichtungen vorgenommen werden und dieselben personenbezogenen Daten betreffen, die Zwecke und Mittel sämtlicher Verarbeitungen vorgeben kann, die aufeinanderfolgend von den verschiedenen Personen oder Einrichtungen vorgenommen werden, um diese gemeinsam für die Verarbeitung verantwortlich zu machen(29). Daher kann nach Art. 26 Abs. 1 in Verbindung mit Art. 4 Nr. 7 DSGVO durch das nationale Recht eine gemeinsame Verantwortlichkeit mehrerer Akteure einer Kette von Verarbeitungen, die dieselben personenbezogenen Daten betreffen, begründet werden, sofern die verschiedenen Verarbeitungsvorgänge durch die im nationalen Recht vorgegebenen Zwecke und Mittel verbunden sind und das nationale Recht unmittelbar oder mittelbar die jeweiligen Pflichten jedes gemeinsam Verantwortlichen festlegt(30). Dies ist meines Erachtens bei Art. 13 Abs. 6 und 9 des Registergesetzes nicht der Fall, der sich darauf beschränkt, festzulegen, unter welchen Voraussetzungen die betroffene Person nach bulgarischem Recht der Veröffentlichung personenbezogener Daten, die nicht der Offenlegung unterliegen, im Handelsregister wirksam zugestimmt hat. Diese Bestimmung soll nämlich nicht eine gemeinsame Verantwortung des Antragstellers für die Weiterverarbeitung dieser Daten begründen, sondern vielmehr die Grundlage für die Rechtmäßigkeit der Verarbeitung durch die Agentur präzisieren. Im Übrigen unterscheiden sich, wie ich bereits ausgeführt habe, die von der Gesellschaft verfolgten privaten Zwecke von den von der Agentur verfolgten öffentlichen Zwecken, so dass die Voraussetzungen, die das Urteil État belge aufgestellt hat, damit durch das bulgarische Recht ihre gemeinsame Verantwortlichkeit als Akteure einer „Kette von Verarbeitungen, die dieselben personenbezogenen Daten betreffen“, als begründet angesehen werden kann, meines Erachtens nicht erfüllt sind.
41. Nach alledem bin ich der Ansicht, dass Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO dahin auszulegen sind, dass die mit der Führung des Handelsregisters eines Mitgliedstaats betraute Stelle, die nach dem Recht dieses Staates die Offenlegung der ihr im Rahmen eines Antrags auf Eintragung einer Gesellschaft in dieses Register übermittelten Urkunden sicherzustellen hat, alleiniger Verantwortlicher für die öffentliche Zugänglichmachung der in diesen Urkunden enthaltenen personenbezogenen Daten ist, auch wenn es sich um Daten handelt, deren Veröffentlichung nicht vorgeschrieben ist und die nach diesen Rechtsvorschriften vor ihrer Übermittlung an diese Stelle daraus hätten entfernt werden müssen.
5. Zur Grundlage der Rechtmäßigkeit der Verarbeitung
42. Jede Verarbeitung personenbezogener Daten muss mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 dieser Verordnung aufgeführten Voraussetzungen erfüllen(31), der eine erschöpfende und abschließende Liste der Fälle enthält, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann(32). Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung dazu für einen oder mehrere bestimmte Zwecke gegeben hat. Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt, die eng auszulegen sind(33).
43. Im vorliegenden Fall erfüllt die in Art. 13 Abs. 9 des Registergesetzes aufgestellte Vermutung der Einwilligung offensichtlich nicht die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. a in Verbindung mit Art. 4 Nr. 11 DSGVO(34). Daher ist zu prüfen, ob eine Datenverarbeitung wie die im Ausgangsverfahren in Rede stehende einem der anderen in Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung genannten Rechtfertigungsgründe entspricht.
44. Aus dem Urteil Manni ergibt sich, dass die Verarbeitung personenbezogener Daten durch die mit der Führung des Registers betraute Stelle in Durchführung von Unionsrechtsakten, die die nationalen Vorschriften über die Offenlegung von Gesellschaftsurkunden koordinieren, u. a. den in Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DSGVO vorgesehenen Rechtmäßigkeitsgründen genügt, nämlich erstens dem der Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, und zweitens dem der Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ich werde daher meine Prüfung anhand dieser beiden Gründe vornehmen.
45. Was erstens den in Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO vorgesehenen Grund betrifft, ist zunächst zu prüfen, ob die öffentliche Zugänglichmachung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten im Handelsregister, die nicht zu den nach der Richtlinie 2017/1132 oder dem bulgarischen Recht der Offenlegung unterliegenden Informationen zählen, durch das Erfordernis gerechtfertigt war, die Offenlegung der in Art. 14 dieser Richtlinie genannten Urkunden sicherzustellen, und daher zur Erfüllung einer sich aus dem Unionsrecht ergebenden rechtlichen Verpflichtung erforderlich war.
46. Nach Art. 16 Abs. 3 dieser Richtlinie sorgen die Mitgliedstaaten dafür, dass diese Urkunden in dem in Abs. 1 Unterabs. 1 dieses Artikels genannten Register öffentlich zugänglich gemacht werden. Die deutsche, die irische und die polnische Regierung sind im Wesentlichen der Ansicht, dass nach diesem Artikel in Verbindung mit Art. 14 die mit der Führung des Registers betrauten Stellen diese Urkunden so veröffentlichen müssten, wie sie sie erhielten. Sie seien daher verpflichtet, alle in ihnen enthaltenen personenbezogenen Daten zu verarbeiten, einschließlich solcher, die nach dem Unionsrecht oder dem anwendbaren nationalen Recht nicht erforderlich seien.
47. Dieser Auslegung kann ich mich nicht anschließen. Die Richtlinie 2017/1132 sieht nämlich vor, dass bestimmte wesentliche Urkunden von Gesellschaften der Offenlegungspflicht unterliegen und dass die Offenlegung über das Register erfolgt, sie schreibt aber nicht die systematische Verarbeitung aller in diesen Urkunden enthaltenen personenbezogenen Daten vor, selbst wenn sich diese Verarbeitung als mit den Bestimmungen der DSGVO unvereinbar erweisen sollte. Vielmehr sieht, wie ich oben ausgeführt habe, Art. 161 dieser Richtlinie in der durch die Richtlinie 2019/1151 geänderten Fassung vor, dass für die Verarbeitung aller personenbezogenen Daten im Zusammenhang mit dieser Richtlinie die DSGVO gilt. Es ist daher Sache der Mitgliedstaaten, einen angemessenen Ausgleich zwischen den Zielen der Rechtssicherheit und des Schutzes der Interessen Dritter zu finden, die, wie sich noch zeigen wird, den Vorschriften über die Offenlegung von Gesellschaftsurkunden zugrunde liegen, und dem Grundrecht auf Achtung der personenbezogenen Daten.
48. Sodann ist zu prüfen, ob die Veröffentlichung der im Ausgangsverfahren in Rede stehenden Daten im Handelsregister für die Erfüllung einer im bulgarischen Recht vorgesehenen gesetzlichen Verpflichtung erforderlich war. Insoweit weise ich darauf hin, dass nach Art. 2 Abs. 2 des Registergesetzes die im Handelsregister einzutragenden Rechtsakte „der Öffentlichkeit zugänglich [zu machen sind], ohne die Informationen, die personenbezogene Daten im Sinne von Art. 4 Abs. 1 [DSGVO] darstellen, mit Ausnahme der Informationen, die nach dem Gesetz der Öffentlichkeit zugänglich zu machen sind“. Die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung scheint daher nicht auf einer „rechtlichen Verpflichtung“ im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO beruhen zu können, der die Agentur nach bulgarischem Recht unterlegen wäre, was im Übrigen durch die mit Art. 13 Abs. 9 des Registergesetzes eingeführte Vermutung der Einwilligung bestätigt zu werden scheint. Es ist jedoch Sache des vorlegenden Gerichts, das allein für die Auslegung des nationalen Rechts zuständig ist, über diesen Punkt zu entscheiden. Ich beschränke mich hier auf die Klarstellung, dass die bloße, von der Agentur geltend gemachte Tatsache, dass sie, mangels einer Kopie, in der die nicht gesetzlich geforderten personenbezogenen Daten unkenntlich gemacht worden seien, die Urkunde, wie sie ihr übermittelt worden sei, zu veröffentlichen habe, meines Erachtens nicht ausreicht, um eine „rechtliche Verpflichtung“ im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO zu begründen, da eine solche Veröffentlichung von vornherein gesetzlich ausgeschlossen ist und von der Agentur nur auf der Grundlage einer vermuteten Einwilligung vorgenommen wird(35). Insoweit ist hervorzuheben, dass es Sache des Verantwortlichen ist, sicherzustellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ im Hinblick auf die in Art. 6 Abs. 1 Unterabs. 1 Buchst. a bis f dieser Verordnung angeführten Voraussetzungen ist(36).
49. Was zweitens den in Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO genannten Grund betrifft, auf den sowohl das vorlegende Gericht als auch die meisten Mitgliedstaaten, die im vorliegenden Verfahren Erklärungen abgegeben haben, Bezug nehmen, weise ich darauf hin, dass der Gerichtshof bereits entschieden hat, dass die Tätigkeit eines Hoheitsträgers, die darin besteht, die Daten, die Unternehmen aufgrund gesetzlicher Pflichten übermitteln müssen, in einer Datenbank zu speichern, interessierten Personen Einsicht zu gewähren und ihnen Kopien dieser Daten zur Verfügung zu stellen, zur Ausübung hoheitlicher Befugnisse gehört(37) und eine im öffentlichen Interesse liegende Aufgabe im Sinne dieser Bestimmung darstellt(38). Wie Generalanwalt Bot in seinen Schlussanträgen in der Rechtssache, in der das Urteil Manni ergangen ist, ausgeführt hat, sollen die Eintragung und die Offenlegung von wesentlichen Informationen über Unternehmen in den Unternehmensregistern eine zuverlässige Informationsquelle schaffen und damit die Rechtssicherheit gewährleisten, die zum Schutz der Interessen Dritter einschließlich der Interessen der Gläubiger, für die Redlichkeit der Handelsgeschäfte und damit für das Funktionieren des Marktes notwendig ist(39). Im Übrigen tragen, wie der Gerichtshof festgestellt hat, die Speicherung aller relevanten Daten in diesen Registern und ihre Zugänglichkeit durch Dritte dazu bei, den Handel zwischen Mitgliedstaaten auch im Hinblick auf die Entwicklung des Binnenmarkts zu fördern(40).
50. Im vorliegenden Fall stellt sich die Frage, ob diese Ziele und der in Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO vorgesehene Grund für die Rechtmäßigkeit im Zusammenhang mit der öffentlichen Zugänglichmachung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten, die nicht zu denen gehören, die nach dem Unionsrecht oder dem bulgarischen Recht der Offenlegungspflicht unterliegen, durch die Agentur geltend gemacht werden können.
51. Insoweit weise ich darauf hin, dass Art. 6 Abs. 3 in Verbindung mit dem 45. Erwägungsgrund DSGVO u. a. in Bezug auf den in Abs. 1 Unterabs. 1 Buchst. e dieses Artikels angeführten Fall der Rechtmäßigkeit klarstellt, dass die Verarbeitung auf dem Unionsrecht oder dem Recht der Mitgliedstaaten beruhen muss, dem der Verantwortliche unterliegt, und dass die betreffende Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss(41). Keine dieser Anforderungen – zu denen der Gerichtshof festgestellt hat, dass diese Ausfluss der Vorgaben sind, die sich aus Art. 52 Abs. 1 der Charta ergeben(42) – scheint im Rahmen der vorliegenden Rechtssache erfüllt, die eine Verarbeitung personenbezogener Daten betrifft, die zwar anlässlich der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ausgeführt wird, aber weder für die Erfüllung dieser Aufgabe nach dem anwendbaren nationalen Recht noch für die Verfolgung der dem Handelsregister zugewiesenen Zwecke als von vornherein erforderlich angesehen wird und nur auf der Grundlage einer vermuteten Einwilligung der betroffenen Person erlaubt ist.
52. Allgemein ist darauf hinzuweisen, dass die Veröffentlichung personenbezogener Daten, die nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats nicht erforderlich sind, keinem der in Nr. 49 der vorliegenden Schlussanträge genannten Ziele dient(43), die allein den Eingriff in die durch die Art. 7 und 8 der Charta gewährleisteten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten rechtfertigen(44). Außerdem wird, wie der Gerichtshof im Urteil Manni hervorgehoben hat, ein solcher Eingriff insbesondere deshalb nicht als unverhältnismäßig angesehen, weil die Offenlegung grundsätzlich nur für wenige personenbezogene Daten vorgeschrieben ist, und zwar solche zu den Personalien und Aufgaben der Personen, die befugt sind, die Gesellschaft zu vertreten, und daher erforderlich sind, um die Interessen Dritter zu schützen(45).
53. Die bulgarische Regierung und die Agentur machen im Wesentlichen geltend, dass die im Ausgangsverfahren in Rede stehende Verarbeitung nach bulgarischem Recht auf dem Erfordernis beruhe, die Offenlegung der wesentlichen Urkunden der Gesellschaften sicherzustellen, deren Integrität und Zuverlässigkeit zu wahren und die Agentur bei der Wahrnehmung ihrer im öffentlichen Interesse liegenden Aufgabe nicht zu behindern. Sollte das vorlegende Gericht zum gleichen Ergebnis gelangen, müsste es sich noch vergewissern, dass der Grundsatz der Verhältnismäßigkeit gewahrt ist. Nach diesem Grundsatz müssen sich Einschränkungen des Grundrechts auf Achtung der personenbezogenen Daten auf das absolut Notwendige beschränken(46), was nicht der Fall ist, wenn das verfolgte, im öffentlichen Interesse liegende Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in dieses Recht eingreifen(47). Außerdem ist darauf hinzuweisen, dass Art. 5 Abs. 1 Buchst. c DSGVO vorsieht, dass die personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen, und von den Mitgliedstaaten die Einhaltung des Grundsatzes der „Datenminimierung“ verlangt, in dem der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht wird(48).
54. Es scheint mir, dass das Ziel, die Offenlegung der wesentlichen Urkunden der Gesellschaften sicherzustellen, in zumutbarer Weise durch die Einführung von Verfahren erreicht werden kann, die es gestatten, die personenbezogenen Daten, deren öffentliche Zugänglichmachung nicht erforderlich ist, vor ihrer Veröffentlichung unkenntlich zu machen. Zu diesen Verfahren kann u. a. die Verpflichtung der Agentur gehören, die Eintragung der Gesellschaft auszusetzen, um die Änderung von Urkunden, die solche Daten enthalten, zu ermöglichen oder diese gegebenenfalls von Amts wegen zu löschen.
55. Das Vorbringen zahlreicher Mitgliedstaaten, die im vorliegenden Verfahren Erklärungen abgegeben haben, wonach die Einführung solcher Verfahren die Bearbeitung von Anträgen auf Eintragung in das Handelsregister insbesondere zum Nachteil der Interessen der Gesellschafter verzögern oder den nationalen Behörden übermäßig schwere Aufgaben auferlegen könnte, kann meines Erachtens keinen Erfolg haben. Zum einen sind diese Verfahren nämlich erforderlich, um die mit der Offenlegung von Gesellschaftsurkunden verfolgten Interessen mit dem Grundrecht auf Achtung personenbezogener Daten in Einklang zu bringen, insbesondere wenn die fraglichen personenbezogenen Daten, wie ich in Nr. 16 der vorliegenden Schlussanträge ausgeführt habe, dazu bestimmt sind, der Öffentlichkeit in einer digitalen Umgebung uneingeschränkt zugänglich gemacht zu werden. Zum anderen könnten sie Instrumente zur Suche und Identifizierung von Daten nutzen, die diesen Behörden ihre Aufgabe erleichtern können, und könnten so gestaltet sein, dass zunächst den Antragstellern die Aufgabe auferlegt wird, die personenbezogenen Daten, die nicht offengelegt werden müssen, unkenntlich zu machen, wie dies im Übrigen das bulgarische Recht vorsieht.
56. Das – auch von der bulgarischen Regierung und der Agentur sowie von den meisten Mitgliedstaaten, die im vorliegenden Verfahren Erklärungen abgegeben haben – angeführte Erfordernis, die Integrität und Zuverlässigkeit der für die Zwecke der Eintragung in das Handelsregister übermittelten Urkunden von Gesellschaften, die der Offenlegungspflicht unterliegen, zu wahren, das die Veröffentlichung dieser Akte, wie sie den mit der Führung des Registers betrauten Stellen übermittelt wurden, erfordern würde, kann meines Erachtens nicht systematisch gegenüber dem Grundrecht auf Schutz personenbezogener Daten Vorrang haben, da sonst dieser Schutz rein illusorisch wäre.
57. Ich neige nämlich zu der Auffassung, dass dieses Erfordernis allenfalls die Speicherung der in solchen Urkunden enthaltenen personenbezogenen Daten, die nicht der Offenlegungspflicht unterliegen, rechtfertigen kann, nicht aber ihre Veröffentlichung in der öffentlich zugänglichen Datenbank des Registers ohne jede Begrenzung oder Beschränkung. Insbesondere bin ich der Ansicht, dass die öffentliche Zugänglichmachung der Kopie dieser Urkunden, aus der die nicht erforderlichen personenbezogenen Daten entfernt wurden, und die Aufbewahrung des Originals in der Akte es erlauben würden, ein angemessenes Gleichgewicht zwischen diesem Erfordernis und dem Schutz der Daten der betroffenen Personen herzustellen. Ein etwaiger Zugang zum Original der Urkunde und zu allen darin enthaltenen Daten wäre dann nur im Einzelfall bei Vorliegen eines berechtigten Interesses – einschließlich des Interesses an der Überprüfung der Echtheit der Urkunde – und unter Beachtung der Bestimmungen der DSGVO gestattet.
58. Entgegen dem Vorbringen u. a. der irischen Regierung bin ich insoweit der Ansicht, dass Art. 16a der Richtlinie 2017/1132 in der durch die Richtlinie 2019/1151 geänderten Fassung, soweit er vorsieht, dass „[d]ie Mitgliedstaaten gewährleisten, dass vollständige oder auszugsweise Kopien aller in Artikel 14 genannten Urkunden … vom Register erhältlich sind“, nicht bedeutet, dass die Mitgliedstaaten verpflichtet sind, einen uneingeschränkten Zugang zu allen diesen Urkunden zu gestatten. Dagegen verpflichtet Art. 161 der Richtlinie 2017/1132 in der durch die Richtlinie 2019/1151 geänderten Fassung, wie ich bereits ausgeführt habe, die Mitgliedstaaten, Verfahren einzuführen, die gewährleisten, dass die mit der Führung des Handelsregisters betrauten Stellen bei der Wahrnehmung der ihnen übertragenen im öffentlichen Interesse liegenden Aufgabe sämtliche Bestimmungen der DSGVO beachten.
59. Nach alledem bin ich der Ansicht, dass die im Ausgangsverfahren in Rede stehende Datenverarbeitung nicht als auf die Einwilligung der Beklagten des Ausgangsverfahrens im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. a in Verbindung mit Art. 4 Nr. 11 DSGVO gestützt angesehen werden kann. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfungen scheint diese Verarbeitung auch weder die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit noch die in Buchst. e dieses Artikels in Verbindung mit Art. 6 Abs. 3 DSGVO genannten zu erfüllen. Der Vollständigkeit halber möchte ich hinzufügen, dass diese Verarbeitung auch nicht in den Anwendungsbereich von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fallen kann, der die Verarbeitung personenbezogener Daten betrifft, die zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sind. Wie der Gerichtshof klargestellt hat, geht aus Art. 6 Abs. 1 Unterabs. 2 DSGVO eindeutig hervor, dass eine Verarbeitung personenbezogener Daten durch eine Behörde im Rahmen der Erfüllung ihrer Aufgaben nicht unter Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fallen kann, so dass die Anwendung dieser Bestimmung und die Anwendung von Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO einander ausschließen(49). Im vorliegenden Fall wird die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten von der Agentur anlässlich der Erfüllung der ihr übertragenen im öffentlichen Interesse liegenden Aufgabe ausgeführt, was die Anwendung von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO von vornherein ausschließt, unabhängig davon, ob sie die Voraussetzungen von Art. 6 Abs. 3 DSGVO erfüllt.
60. Es ist daher nicht ausgeschlossen, dass das vorlegende Gericht zu dem Ergebnis gelangt, dass die im Ausgangsverfahren in Rede stehende Datenverarbeitung rechtswidrig war, da sie nicht einem der in Art. 6 Abs. 1 DSGVO vorgesehenen Rechtfertigungsgründe genügt.
6. Recht auf Löschung
61. Art. 17 DSGVO begründet ein Recht der betroffenen Person auf Löschung der sie betreffenden personenbezogenen Daten, wenn einer der in Abs. 1 dieses Artikels genannten Gründe vorliegt, und erlegt dem für die Verarbeitung Verantwortlichen dementsprechend die Verpflichtung auf, diese Löschung unverzüglich vorzunehmen.
62. Art. 17 Abs. 3 DSGVO stellt jedoch klar, dass Abs. 1 dieses Artikels nicht gilt, soweit die Verarbeitung aus einem der in Art. 17 Abs. 3 DSGVO genannten Gründe erforderlich ist. Zu diesen Gründen gehört nach Art. 17 Abs. 3 Buchst. b dieser Verordnung die Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
63. Soweit diese Ausnahmen vom Recht auf Löschung die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DSGVO angeführten Gründe für die Rechtfertigung der Verarbeitung widerspiegeln, verweise ich hinsichtlich ihrer Möglichkeit, sie unter Umständen wie denen des Ausgangsverfahrens geltend zu machen, auf die Analyse in den Nrn. 45 bis 58(50) der vorliegenden Schlussanträge.
64. Sollte das vorlegende Gericht der Auffassung sein, dass die öffentliche Zugänglichmachung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten im Handelsregister nach bulgarischem Recht nicht in den Anwendungsbereich von Art. 6 Abs. 1 Unterabs. 1 Buchst. c oder e in Verbindung mit Art. 6 Abs. 3 DSGVO und damit von Art. 17 Abs. 3 Buchst. b DSGVO fällt, hätte die Beklagte des Ausgangsverfahrens ein Recht auf Löschung, das darin besteht, dass eine solche öffentliche Zugänglichmachung beendet wird, und die Agentur als für die Verarbeitung Verantwortliche wäre verpflichtet, dem Folge zu leisten. Art. 17 Abs. 1 Buchst. d DSGVO sieht nämlich ein absolutes Recht der betroffenen Person vor, dass ihre personenbezogenen Daten gelöscht werden, wenn sie unrechtmäßig verarbeitet worden sind(51).
65. Sollte das vorlegende Gericht hingegen zu dem Ergebnis kommen, dass die im Ausgangsverfahren in Rede stehende Datenverarbeitung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. c oder e DSGVO im Einklang stand, wäre Art. 17 Abs. 3 Buchst. b dieser Verordnung grundsätzlich anwendbar. Zwei Klarstellungen sind jedoch erforderlich.
66. Zum einen kann für den Fall, dass das vorlegende Gericht zu dem Ergebnis gelangt, dass die öffentliche Zugänglichmachung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten für die Erfüllung der der Agentur übertragenen Aufgabe von öffentlichem Interesse erforderlich war, um die Eintragung der Gesellschaft im Handelsregister nicht zu verzögern, dieser Grund meines Erachtens nicht geltend gemacht werden, um die Belassung dieser Daten im Register nach der Eintragung der Gesellschaft zu rechtfertigen und somit das Recht der Beklagten des Ausgangsverfahrens auf Löschung nach Art. 17 Abs. 3 Buchst. b DSGVO auszuschließen. Dieses Recht würde dann durch Art. 17 Abs. 1 Buchst. c dieser Verordnung gewährleistet, der für den Fall gilt, dass die betroffene Person nach Art. 21 Abs. 1 dieser Verordnung aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen eine Verarbeitung ihrer personenbezogenen Daten u. a. aufgrund von Art. 6 Abs. 1 Unterabs. 1 Buchst. e dieser Verordnung einlegt und keine „vorrangigen berechtigten Gründe für die Verarbeitung“ vorliegen, was der Verantwortliche nachweisen muss(52). Aus denselben Gründen, die bereits in Nr. 56 der vorliegenden Schlussanträge dargelegt worden sind, bin ich der Ansicht, dass das Erfordernis, die Integrität und Zuverlässigkeit der Urkunden, auf die sich die Eintragung der Gesellschaft in das Register stützt, zu wahren, keinen solchen vorrangigen berechtigten Grund darstellen kann. Diesem Erfordernis kann nämlich, wie ich ausgeführt habe, durch den Rückgriff auf andere Mittel, die das Grundrecht auf Achtung der personenbezogenen Daten weniger beeinträchtigen, Genüge getan werden.
67. Zum anderen ergibt sich aus dem Urteil Manni, dass eine Beschränkung des Zugangs auf Dritte, die ein besonderes Interesse nachweisen, im Einzelfall aus überwiegenden, schutzwürdigen, sich aus der besonderen Situation der betroffenen Personen ergebenden Gründen gerechtfertigt sein kann, und zwar auch dann, wenn es sich um personenbezogene Daten handelt, die die Richtlinie 2017/1132 der Offenlegungspflicht unterwirft, und somit auch dann, wenn sich die öffentliche Zugänglichmachung aus einer rechtlichen Verpflichtung im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO ergibt. Eine solche Beschränkung müsste erst recht bei personenbezogenen Daten anerkannt werden, die weder nach dem Unionsrecht noch nach dem nationalen Recht der Offenlegung unterworfen sind. Im Übrigen wäre in einem solchen Fall die Voraussetzung, von der der Gerichtshof im Urteil Manni die Beschränkung des Zugangs zu Informationen über die Identität des Liquidators der Gesellschaft abhängig gemacht hat, nämlich der Ablauf einer hinreichend langen Frist nach Auflösung der betreffenden Gesellschaft, im vorliegenden Fall nicht anwendbar, und die Beschränkung des Zugangs zu solchen Daten müsste daher unverzüglich umgesetzt werden.
7. Zur Unterwerfung der Ausübung des Rechts auf Löschung unter besondere Verfahrensmodalitäten
68. Aus der Vorlageentscheidung geht hervor, dass die Agentur den Antrag von OL auf Löschung sie betreffender personenbezogener Daten, deren Veröffentlichung nach bulgarischem Recht nicht vorgeschrieben ist, von der Einhaltung besonderer Verfahrensmodalitäten abhängig gemacht hat, die die Vorlage einer Kopie der Urkunde erforderten, in der diese Daten geschwärzt wurden. Da eine solche Kopie nicht vorgelegt wurde, wurde dieser Antrag abgelehnt oder auf unbestimmte Zeit verschoben. Nach den Erläuterungen der Agentur ist die Einhaltung dieser Verfahrensmodalitäten erforderlich, weil sie nicht befugt sei, die in Rede stehende Urkunde zu ändern, da diese Änderung in die alleinige Zuständigkeit der Organe der Gesellschaft falle.
69. Ich weise darauf hin, dass nach Art. 23 Abs. 1 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten, „die Pflichten und Rechte gemäß den Artikeln 12 bis 22 … im Wege von Gesetzgebungsmaßnahmen beschränkt werden [können], sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die [eines der im Folgenden aufgeführten Ziele] sicherstellt“. Da die von der Agentur angewandten Verfahrensmodalitäten zu einer Beschränkung der Ausübung des Rechts auf Löschung sowie der Ausübung des Widerspruchsrechts nach Art. 21 DSGVO oder sogar zu ihrem Ausschluss führen, wenn es der betroffenen Person nicht gelingt, von der Gesellschaft die erforderlichen Änderungen der in Rede stehenden Urkunde zu erlangen, können sie unter Art. 23 Abs. 1 DSGVO fallen(53). Daher ist zu prüfen, ob die in dieser Bestimmung vorgesehenen Voraussetzungen im vorliegenden Fall erfüllt sind, und zwar auch dann, wenn das vorlegende Gericht den Gerichtshof nicht ausdrücklich ersucht, sich zu diesem Punkt zu äußern.
70. Hierzu weise ich zunächst darauf hin, dass es sich bei diesen Verfahrensmodalitäten offenbar um eine bloße interne Praxis der Agentur handelt(54). Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheinen sie daher bereits aus diesem Grund nicht mit Art. 23 Abs. 1 DSGVO vereinbar zu sein, wonach Beschränkungen der in dieser Bestimmung aufgeführten Rechte Gegenstand von „Gesetzgebungsmaßnahmen“ sein müssen.
71. Diese Verfahrensmodalitäten werfen sodann Fragen hinsichtlich der Beachtung des Grundsatzes der Verhältnismäßigkeit auf.
72. Auch wenn nämlich das Erfordernis, die Zuverlässigkeit und die Echtheit der im Handelsregister eingetragenen Urkunden zu gewährleisten und, allgemeiner, die Transparenz und Rechtssicherheit bei der Erfüllung der ihm übertragenen Aufgabe zu gewährleisten, geeignet erscheint, einem „wichtigen Ziel des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats“ im Sinne von Art. 23 Abs. 1 Buchst. e DSGVO zu entsprechen, rechtfertigt es meines Erachtens nicht die Beschränkung oder gar den Ausschluss des Rechts auf Löschung oder des Widerspruchsrechts unter Umständen wie denen des Ausgangsverfahrens, da andere, das Grundrecht auf Achtung der personenbezogenen Daten weniger beeinträchtigende Mittel verwendet werden können.
73. In diesem Zusammenhang schlägt die Kommission, obwohl sie es für gerechtfertigt hält, abzuwarten, bis die Gesellschaft die Urkunde ändert, indem sie die Daten, deren Löschung beantragt wird, entfernt, vor, dass die Agentur diese Daten selbst nach einer angemessenen Zeitspanne schwärzt, wenn sich herausstellt, dass es der betroffenen Person nicht gelingt, von der Gesellschaft die Vornahme einer solchen Änderung zu erreichen.
74. Ich bin nicht davon überzeugt, dass eine solche Lösung einen angemessenen Ausgleich zwischen den verschiedenen betroffenen Rechten und Interessen gewährleisten würde, da sie darauf hinausläuft, Daten in einem digitalen Umfeld für unbestimmte Zeit öffentlich zugänglich zu lassen, die nicht zur Verbreitung bestimmt waren. Meines Erachtens könnte ein solcher Ausgleich hingegen dadurch gewährleistet werden, dass der Agentur die Befugnis zuerkannt wird, die fraglichen Daten unverzüglich nach Eingang des Löschungsantrags selbst in der öffentlich zugänglich gemachten Kopie der Urkunde unkenntlich zu machen, gleichzeitig aber das Original dieser Urkunde in den Akten aufzubewahren und von der Gesellschaft zu verlangen, eine Änderung der Urkunde vorzulegen, aus der die Daten entfernt wurden, wobei diese Änderung ebenfalls im Register veröffentlicht wird.
75. Zwar sieht Art. 16 Abs. 4 Unterabs. 1 und 2 der Richtlinie 2017/1132 vor, dass die Mitgliedstaaten die erforderlichen Maßnahmen treffen, um Abweichungen zwischen den Eintragungen im Register und in der Akte sowie zwischen der Offenlegung im Register und der Veröffentlichung im nationalen Amtsblatt zu vermeiden. Das Erfordernis, die Kohärenz zwischen den verschiedenen Teilen des Registers und dem nationalen Amtsblatt zu wahren, sowie das Ziel der Rechtssicherheit, das einer solchen Anforderung zugrunde liegt, können jedoch meines Erachtens nicht rechtfertigen, dass personenbezogene Daten, deren Offenlegung nicht vorgeschrieben ist, ohne Einschränkungen und ohne zeitliche Begrenzung in im Register veröffentlichten Urkunden der Öffentlichkeit zugänglich gemacht werden, wenn die betroffene Person deren Löschung beantragt. Erstens wären nämlich die Änderungen dieser Urkunden, die für die Unkenntlichmachung dieser Daten erforderlich sind, identifizierbar und rückverfolgbar und würden in transparenter Weise erfolgen. Zweitens bezögen sich diese Änderungen auf Elemente dieser Urkunden, deren Offenlegung für die Erfüllung der dem Register übertragenen Aufgabe von öffentlichem Interesse nicht erforderlich ist. Drittens könnten die Integrität und die Echtheit dieser Urkunden gewahrt werden, indem das Original dieser Urkunden in der Akte aufbewahrt wird, zu der Dritte, die ein berechtigtes Interesse nachweisen, einen regulierten Zugang hätten.
76. Nach alledem bin ich der Ansicht, dass Verfahrensmodalitäten wie die im vorliegenden Fall von der Agentur angewandten nicht mit Art. 23 Abs. 1 DSGVO vereinbar sind.
V. Ergebnis
77. Nach alledem schlage ich dem Gerichtshof vor, die vierte und die fünfte Vorlagefrage des Varhoven administrativen sad (Oberstes Verwaltungsgericht, Bulgarien) wie folgt zu beantworten:
1. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
die mit der Führung des Handelsregisters eines Mitgliedstaats betraute Stelle, die nach den Rechtsvorschriften dieses Staates die Offenlegung der ihr im Rahmen eines Antrags auf Eintragung einer Gesellschaft in dieses Register übermittelten Urkunden sicherzustellen hat, alleiniger Verantwortlicher für die öffentliche Zugänglichmachung der in diesen Urkunden enthaltenen personenbezogenen Daten ist, auch wenn es sich um Daten handelt, deren Veröffentlichung nicht vorgeschrieben ist und die nach diesen Rechtsvorschriften vor ihrer Übermittlung an diese Stelle daraus hätten entfernt werden müssen.
2. Die Verordnung 2016/679, insbesondere Art. 17 und Art. 23 Abs. 1,
ist dahin auszulegen, dass
sie nationalen Rechtsvorschriften oder einer nationalen Praxis entgegensteht, die das Recht einer natürlichen Person, von der mit der Führung des Handelsregisters betrauten Stelle eines Mitgliedstaats die Löschung sie betreffender personenbezogener Daten zu erwirken, die in in diesem Register öffentlich zugänglich gemachten Urkunden enthalten sind, von Verfahrensmodalitäten abhängig machen, die die Vorlage einer Kopie der in Rede stehenden Urkunde verlangen, aus der diese Daten entfernt wurden. In ihrer Eigenschaft als für die Verarbeitung Verantwortlicher kann diese Stelle nicht allein deshalb von ihrer Verpflichtung befreit werden, einem solchen Antrag auf Löschung unverzüglich stattzugeben, weil sie keine solche Kopie erhalten hat.
3. Die Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts in der durch die Richtlinie (EU) 2019/1151 des Europäischen Parlaments und des Rates vom 20. Juni 2019 geänderten Fassung und insbesondere ihr Art. 16 Abs. 2 bis 4 kann im Licht des achten Erwägungsgrundes dieser Richtlinie
nicht dahin ausgelegt werden, dass
sie den Erlass solcher Verfahrensmodalitäten erlaubt. Diese Richtlinie hindert die mit der Führung des Handelsregisters eines Mitgliedstaats betraute Stelle nicht daran, einem Antrag auf Löschung nach den Rechtsvorschriften dieses Mitgliedstaats nicht erforderlicher personenbezogener Daten, die in einer in diesem Register öffentlich zugänglich gemachten Urkunde enthalten sind, stattzugeben, indem sie diese Daten selbst aus der Urkunde entfernt und eine Kopie der ungeschwärzten Fassung der Urkunde in der Akte nach Art. 16 Abs. 1 dieser Richtlinie aufbewahrt.