CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:373

ARREST VAN HET HOF (Vijfde kamer)

4 mei 2023 (*)

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5 – Beginselen inzake verwerking – Verantwoordelijkheid voor de verwerking – Artikel 6 – Rechtmatigheid van de verwerking – Door een overheidsinstantie opgesteld elektronisch dossier betreffende een asielverzoek – Doorzending aan de bevoegde nationale rechterlijke instantie via een elektronische postbus – Schending van de artikelen 26 en 30 – Geen regeling met betrekking tot de gezamenlijke verantwoordelijkheid voor de verwerking en het bijhouden van het register van de verwerkingsactiviteiten – Gevolgen – Artikel 17, lid 1 – Recht op gegevenswissing (‚recht op vergetelheid’) – Artikel 18, lid 1 – Recht op beperking van de verwerking – Begrip ‚onrechtmatige verwerking’ – Inaanmerkingneming van het elektronisch dossier door een nationale rechterlijke instantie – Geen toestemming van de betrokkene”

In zaak C‑60/22,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Verwaltungsgericht Wiesbaden (bestuursrechter in eerste aanleg Wiesbaden, Duitsland) bij beslissing van 27 januari 2022, ingekomen bij het Hof op 1 februari 2022, in de procedure

tegen

Bundesrepublik Deutschland,

wijst

HET HOF (Vijfde kamer),

samengesteld als volgt: E. Regan (rapporteur), kamerpresident, D. Gratsias, M. Ilešič, I. Jarukaitis en Z. Csehi, rechters,

advocaat-generaal: T. Ćapeta,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:

– UZ, vertegenwoordigd door J. Leuschner, Rechtsanwalt,

– de Duitse regering, vertegenwoordigd door J. Möller en P.‑L. Krüger als gemachtigden,

– de Tsjechische regering, vertegenwoordigd door O. Serdula, M. Smolek en J. Vláčil als gemachtigden,

– de Franse regering, vertegenwoordigd door A.‑L. Desjonquères en J. Illouz als gemachtigden,

– de Oostenrijkse regering, vertegenwoordigd door A. Posch, M.‑T. Rappersberger en J. Schmoll als gemachtigden,

– de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde,

– de Europese Commissie, vertegenwoordigd door A. Bouchagiar, F. Erlbacher en H. Kranenborg als gemachtigden,

gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,

het navolgende

Arrest

1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 5, artikel 17, lid 1, onder d), artikel 18, lid 1, onder b), en de artikelen 26 en 30 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2 en PB 2021, L 74, blz. 35; hierna: „AVG”).

2 Dit verzoek is ingediend in het kader van een geding tussen UZ, een derdelander, en de Bundesrepublik Deutschland (Bondsrepubliek Duitsland), vertegenwoordigd door het Bundesamt für Migration und Flüchtlinge (federale dienst voor migratie en vluchtelingen; hierna: „Bundesamt”), over de behandeling van het door UZ ingediende verzoek om internationale bescherming.

Toepasselijke bepalingen

Unierecht

Richtlijn 2013/32

3 Overweging 52 van richtlijn 2013/32/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende gemeenschappelijke procedures voor de toekenning en intrekking van de internationale bescherming (PB 2013, L 180, blz. 60), luidt als volgt:

„Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [(PB 1995, L 281, blz. 31)] is van toepassing op de verwerking van persoonsgegevens in de lidstaten in het kader van deze richtlijn.”

AVG

4 De overwegingen 1, 10, 40, 74, 79 en 82 AVG zijn geformuleerd als volgt:

„(1) De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie […] en artikel 16, lid 1, [VWEU] heeft eenieder recht op bescherming van zijn persoonsgegevens.

[…]

(10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. […]

[…]

(40) Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Unierechtelijke of lidstaatrechtelijke bepalingen als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen.

[…]

(74) De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

[…]

(79) Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd.

[…]

(82) Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Elke verwerkingsverantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.”

5 Hoofdstuk I AVG, met als opschrift „Algemene bepalingen”, bevat de artikelen 1 tot en met 4.

6 Artikel 1 („Onderwerp en doelstellingen”) van deze verordening luidt als volgt:

„1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.

2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

[…]”

7 Artikel 4 („Definities”) van die verordening bepaalt in de punten 2, 7 en 21:

„2) ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[…]

7) ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

[…]

21) ‚toezichthoudende autoriteit’: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie;

[…]”

8 Hoofdstuk II AVG, met als opschrift „Beginselen”, bevat de artikelen 5 tot en met 11.

9 Artikel 5 van deze verordening („Beginselen inzake verwerking van persoonsgegevens”) bepaalt:

„1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (‚doelbinding’);

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‚juistheid’);

e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen (‚opslagbeperking’);

f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

10 Artikel 6 („Rechtmatigheid van de verwerking”) van die verordening bepaalt in lid 1:

„De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.”

11 Artikel 7 AVG heeft betrekking op de voorwaarden voor toestemming, terwijl artikel 8 van deze verordening de voorwaarden vaststelt voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij.

12 Artikel 9 van deze verordening, met als opschrift „Verwerking van bijzondere categorieën van persoonsgegevens”, verbiedt de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

13 Artikel 10 van die verordening, met als opschrift „Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten”, ziet op de verwerking op grond van artikel 6, lid 1, AVG van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

14 Hoofdstuk III AVG heeft als opschrift „Rechten van de betrokkene” en bevat de artikelen 12 tot en met 23.

15 Artikel 17 [„Recht op gegevenswissing (‚recht op vergetelheid’)”] van deze verordening is geformuleerd als volgt:

„1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

[…]

d) de persoonsgegevens zijn onrechtmatig verwerkt;

[…]

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

[…]

b) voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

[…]

e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.”

16 Artikel 18 („Recht op beperking van de verwerking”) luidt als volgt:

„1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:

[…]

b) de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;

[…]

2. Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.

[…]”

17 Hoofdstuk IV AVG heeft als opschrift „Verwerkingsverantwoordelijke en verwerker” en bevat de artikelen 24 tot en met 43.

18 Artikel 26 („Gezamenlijke verwerkingsverantwoordelijken”) van deze verordening, dat deel uitmaakt van afdeling 1 („Algemene verplichtingen”) van dat hoofdstuk, is geformuleerd als volgt:

„1. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.

2. Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.

3. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens ieder van de verwerkingsverantwoordelijken uitoefenen.”

19 Artikel 30 („Register van de verwerkingsactiviteiten”) van die verordening bepaalt:

„1. Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

b) de verwerkingsdoeleinden;

c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

[…]

4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.

[…]”

20 Artikel 58 AVG, met als opschrift „Bevoegdheden”, is opgenomen in hoofdstuk VI van deze verordening, met als opschrift „Onafhankelijke toezichthoudende autoriteiten”, en bepaalt in lid 2:

„Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten op grond van deze verordening in te willigen;

d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;

g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;

h) een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;

i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en

j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.”

21 Hoofdstuk VIII van deze verordening heeft als opschrift „Beroep, aansprakelijkheid en sancties” en bevat de artikelen 77 tot en met 84.

22 Artikel 77 („Recht om een klacht in te dienen bij een toezichthoudende autoriteit”) van die verordening bepaalt in lid 1:

„Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.”

23 Artikel 82 AVG, met als opschrift „Recht op schadevergoeding en aansprakelijkheid”, bepaalt in de leden 1 en 2:

„1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

2. Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.”

24 Artikel 83 („Algemene voorwaarden voor het opleggen van administratieve geldboeten”) van deze verordening bepaalt in de leden 4, 5 en 7:

„4. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt:

a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43;

[…]

5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt:

a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;

[…]

7. Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.”

25 Artikel 94 („Intrekking van richtlijn [95/46]”) van die verordening is opgenomen in hoofdstuk XI („Slotbepalingen”) ervan en bepaalt:

„1. Richtlijn [95/46] wordt met ingang van 25 mei 2018 ingetrokken.

„2. Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van richtlijn [95/46] is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.”

Duits recht

26 § 43 („Bepalingen inzake administratieve geldboeten”) van het Bundesdatenschutzgesetz (federale gegevensbeschermingswet) van 20 december 1990 (BGBl. 1990 I, blz. 2954), in de versie die van toepassing is op het hoofdgeding (hierna: „BDSG”), bepaalt in lid 3:

„Aan overheidsinstanties of andere overheidsorganen in de zin van § 2, lid 1, [BDSG] worden geen geldboeten opgelegd.”

Hoofdgeding en prejudiciële vragen

27 Op 7 mei 2019 heeft verzoeker in het hoofdgeding een verzoek om internationale bescherming ingediend bij het Bundesamt, dat het verzoek heeft afgewezen.

28 Het Bundesamt heeft zich voor de vaststelling van zijn afwijzingsbesluit (hierna: „bestreden besluit”) gebaseerd op het door hem opgestelde elektronisch dossier „MARIS”, dat de persoonsgegevens van verzoeker in het hoofdgeding bevat.

29 Verzoeker in het hoofdgeding heeft tegen het bestreden besluit beroep ingesteld bij het Verwaltungsgericht Wiesbaden (bestuursrechter in eerste aanleg Wiesbaden, Duitsland), de verwijzende rechter in de onderhavige zaak. Daarop is het elektronisch dossier „MARIS” in het kader van een gezamenlijke procedure overeenkomstig artikel 26 AVG aan die rechterlijke instantie toegezonden via de gerechtelijke en bestuurlijke elektronische postbus (Elektronisches Gerichts- und Verwaltungspostfach), die wordt beheerd door een overheidsorgaan dat tot de uitvoerende macht behoort.

30 De verwijzende rechter merkt op dat uit overweging 52 van richtlijn 2013/32 volgt dat de AVG van toepassing is op de verwerking van persoonsgegevens door de lidstaten in het kader van procedures voor toekenning van internationale bescherming.

31 De verwijzende rechter betwijfelt echter of het strookt met deze verordening dat het door het Bundesamt opgestelde elektronisch dossier is bijgehouden en via de gerechtelijke en bestuurlijke elektronische postbus aan hem is doorgezonden.

32 Wat om te beginnen het bijhouden van het elektronisch dossier betreft, is niet aangetoond dat het Bundesamt voldoet aan artikel 5, lid 1, juncto artikel 30 AVG. Ondanks dat de verwijzende rechter daarom had verzocht, heeft het Bundesamt namelijk geen volledig register van de verwerkingsactiviteiten met betrekking tot dit dossier overgelegd. Een dergelijk register had echter moeten worden opgesteld ten tijde van het verwerken van de persoonsgegevens van verzoeker in het hoofdgeding, namelijk op de datum van de indiening van zijn verzoek om internationale bescherming. Nadat het Hof uitspraak heeft gedaan over het onderhavige verzoek om een prejudiciële beslissing, zal het Bundesamt moeten worden gehoord over de kwestie van zijn verantwoordelijkheid uit hoofde van artikel 5, lid 2, AVG.

33 Voorts vormt de doorzending van het elektronisch dossier via de gerechtelijke en bestuurlijke postbus een „verwerking” van gegevens in de zin van artikel 4, punt 2, AVG, die in overeenstemming moet zijn met de beginselen van artikel 5 van deze verordening. In strijd met artikel 26 van die verordening bestaat er geen nationale regeling voor deze procedure voor doorzending tussen bestuurlijke en rechterlijke instanties door de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken vast te stellen, en het Bundesamt heeft geen regeling in die zin overgelegd, ofschoon de verwijzende rechter daarom had verzocht. De verwijzende rechter vraagt zich dan ook af of deze overdracht van gegevens via de gerechtelijke en bestuurlijke postbus rechtmatig is.

34 Volgens de verwijzende rechter moet met name worden nagegaan of de niet-nakoming van de verplichtingen van de artikelen 5, 26 en 30 AVG en de daaruit voortvloeiende onrechtmatigheid van de verwerking van persoonsgegevens moeten worden gesanctioneerd met de wissing van deze gegevens overeenkomstig artikel 17, lid 1, onder d), van deze verordening of met beperking van de verwerking overeenkomstig artikel 18, lid 1, onder b), ervan. Die sancties moeten op zijn minst worden overwogen indien de betrokkene daarom verzoekt. Anders zou die rechter verplicht zijn om in het kader van de gerechtelijke procedure deel te nemen aan een onrechtmatige verwerking van die gegevens. In een dergelijk geval zou alleen de toezichthoudende autoriteit krachtens artikel 58 AVG kunnen optreden door de betrokken overheidsinstanties een administratieve geldboete op grond van artikel 83, lid 5, onder a), van deze verordening op te leggen. Overeenkomstig § 43, lid 3, BDSG, waarbij artikel 83, lid 7, van die verordening is omgezet, kunnen er op nationaal niveau echter geen administratieve geldboeten worden opgelegd aan overheidsinstanties of andere overheidsorganen. In dat geval zou noch richtlijn 2013/32, noch de AVG in acht worden genomen.

35 Voorts is de verwijzende rechter van oordeel dat de in het hoofdgeding aan de orde zijnde verwerking niet valt onder artikel 17, lid 3, onder e), AVG, op grond waarvan persoonsgegevens door de verwerende partij kunnen worden gebruikt voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Het is juist dat de gegevens in casu door het Bundesamt worden gebruikt om overeenkomstig artikel 17, lid 3, onder b), van deze verordening een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting na te komen die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Indien deze bepaling zou worden toegepast, zou dit echter erop neerkomen dat een met de gegevensbeschermingswetgeving strijdige praktijk duurzaam wordt gelegaliseerd.

36 De verwijzende rechter vraagt zich derhalve af in hoeverre hij in het kader van zijn rechterlijke werkzaamheden persoonsgegevens in aanmerking mag nemen die hem in het kader van een dergelijke tot de uitvoerende macht behorende procedure zijn verstrekt. Indien het bijhouden van het elektronisch dossier of de doorzending ervan via de gerechtelijke en bestuurlijke postbus moet worden gekwalificeerd als onrechtmatige verwerking in de zin van de AVG, zou die rechter door die inaanmerkingneming namelijk deelnemen aan de betrokken onrechtmatige verwerking, hetgeen in strijd zou zijn met de doelstelling van deze verordening om de fundamentele vrijheden en de grondrechten van natuurlijke personen te beschermen, en met name hun recht op bescherming van persoonsgegevens.

37 In dit verband vraagt de verwijzende rechter zich ook af of de omstandigheid dat de betrokkene zijn uitdrukkelijke toestemming heeft gegeven of zich verzet tegen het gebruik van zijn persoonsgegevens in het kader van een gerechtelijke procedure, van invloed kan zijn op de mogelijkheid om die gegevens in aanmerking te nemen. Indien die rechter de in het elektronisch dossier „MARIS” vervatte gegevens niet in aanmerking zou kunnen nemen vanwege de onrechtmatigheden bij het bijhouden en de doorzending van dit dossier, zou er in afwachting van een eventuele regularisatie van die onrechtmatigheden geen rechtsgrondslag bestaan om een beslissing te nemen over het verzoek van verzoeker in het hoofdgeding om hem de vluchtelingenstatus toe te kennen. De verwijzende rechter zou het bestreden besluit derhalve nietig moeten verklaren.

38 Tegen deze achtergrond heeft het Verwaltungsgericht Wiesbaden de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1) Heeft het feit dat een verwerkingsverantwoordelijke zijn verantwoordingsplicht uit hoofde van artikel 5 [AVG] niet nakomt – bijvoorbeeld doordat er geen of een onvolledig register van de verwerkingsactiviteiten in de zin van artikel 30 AVG wordt bijgehouden of doordat een regeling betreffende een gezamenlijke procedure overeenkomstig artikel 26 AVG ontbreekt – tot gevolg dat de gegevensverwerking onrechtmatig is in de zin van artikel 17, lid 1, onder d), AVG en artikel 18, lid 1, onder b), [van deze verordening], zodat de betrokkene een recht op gegevenswissing of op beperking van de verwerking heeft?

2) Indien de eerste vraag bevestigend wordt beantwoord: [h]eeft het bestaan van een recht op gegevenswissing of een recht op beperking van verwerking tot gevolg dat de verwerkte gegevens niet in aanmerking mogen worden genomen in een gerechtelijke procedure? Geldt dit in elk geval wanneer de betrokkene zich verzet tegen het gebruik van de gegevens in de gerechtelijke procedure?

3) Indien de eerste vraag ontkennend wordt beantwoord: [h]eeft een inbreuk door een verwerkingsverantwoordelijke op artikel 5, artikel 30 of artikel 26 AVG voor de vraag inzake het gebruik van de gegevensverwerking in een gerechtelijke procedure tot gevolg dat een nationale rechter die gegevens slechts in aanmerking mag nemen indien de betrokkene daarvoor uitdrukkelijk toestemming geeft?”

Beantwoording van de prejudiciële vragen

Ontvankelijkheid

39 Zonder formeel een exceptie van niet-ontvankelijkheid op te werpen, betwijfelt de Duitse regering of de prejudiciële vragen relevant zijn voor de uitkomst van het hoofdgeding. Om te beginnen blijkt uit de verwijzingsbeslissing dat niet definitief vaststaat dat het Bundesamt artikel 5, lid 2, AVG heeft geschonden, aangezien de verwijzende rechter dat enkel veronderstelt. Voorts heeft die rechter niet aangegeven dat alleen de dossiers van het Bundesamt, gesteld dat hij ze niet mag gebruiken, beslissend zijn voor de beslechting van dit geding. De verwijzende rechter beschikt namelijk ook over andere informatiebronnen, die op grond van het beginsel van ambtshalve onderzoek ten volle moeten worden benut wanneer een instantie geen dossiers of onvolledige dossiers indient. Ten slotte is de derde vraag kennelijk hypothetisch, aangezien uit de verwijzingsbeslissing niet blijkt dat verzoeker in het hoofdgeding heeft ingestemd of zou instemmen met het gebruik van de verwerking van zijn persoonsgegevens door de verwijzende rechter.

40 Volgens vaste rechtspraak van het Hof geldt een vermoeden van relevantie voor vragen over het Unierecht. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechter wanneer de gevraagde uitlegging van het Unierecht kennelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het Hof niet beschikt over de juridische of feitelijke gegevens die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen, of wanneer het vraagstuk van hypothetische aard is. Verder is in het kader van de procedure van artikel 267 VWEU, die op een duidelijke afbakening van de taken van de nationale rechterlijke instanties en van het Hof berust, de nationale rechter bij uitsluiting bevoegd om de feiten van het hoofdgeding vast te stellen en te beoordelen (zie met name arrest van 24 maart 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punten 20 en 21 en aldaar aangehaalde rechtspraak).

41 Zoals duidelijk blijkt uit artikel 267, tweede alinea, VWEU, staat het in het kader van de nauwe samenwerking tussen de nationale rechterlijke instanties en het Hof, die berust op een onderlinge taakverdeling, aan de verwijzende rechter om te beslissen in welke stand van het geding hij het Hof een prejudiciële vraag dient voor te leggen (arrest van 17 juli 2008, Coleman, C‑303/06, EU:C:2008:415, punt 29 en aldaar aangehaalde rechtspraak).

42 In dit verband heeft het Hof met name reeds geoordeeld dat de omstandigheid dat feitenkwesties nog niet zijn behandeld tijdens een contradictoire procedure van bewijsvoering als zodanig er niet toe leidt dat een prejudiciële vraag niet-ontvankelijk is (zie in die zin arrest van 11 september 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, punt 19 en aldaar aangehaalde rechtspraak).

43 Ook al blijkt in casu uit het verzoek om een prejudiciële beslissing dat de verwijzende rechter niet definitief uitspraak heeft gedaan over de vraag of het Bundesamt de verplichtingen niet is nagekomen die op hem rusten krachtens artikel 5, lid 2, AVG, gelezen in samenhang met de artikelen 26 en 30 van deze verordening, en dat er volgens de gegevens in dat verzoek nog een debat op tegenspraak over dit aspect van het hoofdgeding moet worden gevoerd, neemt dat niet weg dat die rechter heeft vastgesteld dat noch de regeling over de gezamenlijke verwerking van de gegevens, noch het register van de verwerkingsactiviteiten, waarop deze laatste twee bepalingen betrekking hebben, is overgelegd door het Bundesamt in zijn hoedanigheid van verwerkingsverantwoordelijke, hoewel de verwijzende rechter hem daarom had verzocht.

44 Voorts blijkt uit de verwijzingsbeslissing dat het bestreden besluit volgens de verwijzende rechter – die bij uitsluiting bevoegd is om de feiten vast te stellen en te beoordelen – is vastgesteld op de enkele grondslag van het door het Bundesamt opgestelde elektronisch dossier, waarvan het bijhouden en de doorzending mogelijkerwijs in strijd zijn met de regels van die verordening, zodat dit besluit om die reden wellicht nietig moet worden verklaard.

45 Wat ten slotte de toestemming van verzoeker in het hoofdgeding voor het gebruik van zijn persoonsgegevens in het kader van de gerechtelijke procedure betreft, volstaat de opmerking dat de verwijzende rechter met zijn derde prejudiciële vraag juist wil vernemen of het in casu noodzakelijk is dat dergelijke toestemming tot uitdrukking wordt gebracht om die gegevens in aanmerking te mogen nemen.

46 Waar het Hof dus vragen van uitlegging van het Unierecht zijn gesteld waarvan niet is gebleken dat deze kennelijk geen verband houden met een reëel geschil of met het voorwerp van het hoofdgeding, en gelet op het feit dat het Hof over de nodige gegevens beschikt om een nuttig antwoord te kunnen geven op de hem gestelde vragen over de invloed van de AVG op het hoofdgeding, moet het die vragen beantwoorden zonder zich bezig te houden met de juistheid van de feiten waarvan de verwijzende rechter is uitgegaan, welke feiten, indien nodig, later door laatstgenoemde rechter zullen moeten worden geverifieerd (zie naar analogie arrest van 17 juli 2008, Coleman, C‑303/06, EU:C:2008:415, punt 31 en aldaar aangehaalde rechtspraak).

47 Bijgevolg moet worden geoordeeld dat het onderhavige verzoek om een prejudiciële beslissing ontvankelijk is en dat de vragen van de verwijzende rechter moeten worden beantwoord. Daarbij staat het evenwel aan de verwijzende rechter om na te gaan of het Bundesamt de verplichtingen van de artikelen 26 en 30 AVG niet is nagekomen.

Ten gronde

Eerste vraag

48 Met zijn eerste vraag wenst de verwijzende rechter in essentie te vernemen of artikel 17, lid 1, onder d), en artikel 18, lid 1, onder b), AVG aldus moeten worden uitgelegd dat de niet-nakoming door de verwerkingsverantwoordelijke van de verplichtingen uit hoofde van de artikelen 26 en 30 van deze verordening om respectievelijk een regeling met betrekking tot hun gezamenlijke verantwoordelijkheid voor de verwerking vast te stellen en een register van de verwerkingsactiviteiten bij te houden, een geval van onrechtmatige verwerking vormt die de betrokkene een recht op gegevenswissing of op beperking van de verwerking verleent, aangezien een dergelijke niet-nakoming impliceert dat de verwerkingsverantwoordelijke de „verantwoordingsplicht” van artikel 5, lid 2, van die verordening niet naleeft.

49 Volgens vaste rechtspraak van het Hof moet voor de uitlegging van een Unierechtelijke bepaling niet alleen rekening worden gehouden met de bewoordingen van deze bepaling, maar ook met de context ervan en met de doelstellingen van de regeling waarvan zij deel uitmaakt (zie in die zin met name arrest van 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punt 32 en aldaar aangehaalde rechtspraak).

50 Wat in de eerste plaats de bewoordingen van de relevante Unierechtelijke bepalingen betreft, zij eraan herinnerd dat artikel 17, lid 1, onder d), AVG bepaalt dat de betrokkene het recht heeft van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en dat de verwerkingsverantwoordelijke verplicht is die persoonsgegevens zonder onredelijke vertraging te wissen wanneer zij „onrechtmatig [zijn] verwerkt”.

51 Voorts heeft de betrokkene die zich tegen het wissen van die gegevens verzet en in plaats daarvan om beperking van het gebruik ervan verzoekt, krachtens artikel 18, lid 1, onder b), AVG het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen wanneer de „verwerking […] onrechtmatig” is.

52 De in de twee voorgaande punten genoemde bepalingen moeten worden gelezen in samenhang met artikel 5, lid 1, van deze verordening, waarin is bepaald dat de verwerking van persoonsgegevens moet voldoen aan een aantal in deze bepaling genoemde beginselen, waaronder het beginsel in artikel 5, lid 1, onder a), van die verordening dat persoonsgegevens moeten worden verwerkt „op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”.

53 Volgens artikel 5, lid 2, AVG is de verwerkingsverantwoordelijke overeenkomstig de in deze bepaling genoemde verantwoordingsplicht verantwoordelijk voor de naleving van lid 1 van dit artikel en moet hij kunnen aantonen dat hij aan elk van de in lid 1 vervatte beginselen voldoet, zodat de bewijslast ter zake bij hem rust [zie in die zin arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punten 77, 78 en 81].

54 Hieruit volgt dat de verwerkingsverantwoordelijke zich krachtens artikel 5, lid 2, gelezen in samenhang met artikel 5, lid 1, onder a), van die verordening, ervan moet vergewissen dat zijn gegevensverwerking „rechtmatig” is.

55 Vastgesteld moet echter worden dat de rechtmatigheid van de verwerking juist aan de orde is in artikel 6 AVG, zoals blijkt uit het opschrift ervan, dat bepaalt dat de verwerking alleen rechtmatig is indien aan ten minste een van de voorwaarden van artikel 6, lid 1, eerste alinea, onder a) tot en met f), AVG is voldaan, namelijk – zoals ook blijkt uit overweging 40 van deze verordening – wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden, of wanneer de verwerking noodzakelijk is voor een van de genoemde doeleinden, namelijk de uitvoering van een overeenkomst waarbij de betrokkene partij is of de vaststelling van maatregelen op diens verzoek vóór de sluiting van een overeenkomst, de nakoming van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, de bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, en de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen dan die belangen.

56 Deze lijst van gevallen waarin de verwerking van persoonsgegevens kan worden geacht rechtmatig te zijn, is uitputtend en limitatief, zodat de verwerking moet vallen onder een van de gevallen van artikel 6, lid 1, eerste alinea, AVG om rechtmatig te kunnen worden geacht [zie in die zin arresten van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 99 en aldaar aangehaalde rechtspraak, en 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Doeleinden van de verwerking van persoonsgegevens – Strafrechtelijk onderzoek), C‑180/21, EU:C:2022:967, punt 83].

57 Volgens de rechtspraak van het Hof moet elke verwerking van persoonsgegevens derhalve in overeenstemming zijn met de in artikel 5, lid 1, van deze verordening geformuleerde beginselen inzake gegevensverwerking en voldoen aan de in artikel 6 van die verordening genoemde voorwaarden voor de rechtmatigheid van de verwerking [zie met name arresten van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 208; 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 96, en 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punten 49 en 56].

58 Aangezien de artikelen 7 tot en met 11 AVG – die net als de artikelen 5 en 6 AVG zijn opgenomen in hoofdstuk II van deze verordening, dat betrekking heeft op de beginselen – tot doel hebben de omvang te preciseren van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van artikel 5, lid 1, onder a), en artikel 6, lid 1, van die verordening, is de verwerking van persoonsgegevens bovendien slechts rechtmatig indien zij ook in overeenstemming is met die andere bepalingen van dat hoofdstuk, die in wezen betrekking hebben op de toestemming, de verwerking van bijzondere categorieën van gevoelige persoonsgegevens en de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, zoals uit de rechtspraak van het Hof blijkt [zie in die zin arresten van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens), C‑136/17, EU:C:2019:773, punten 72‑75, en 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punten 100, 102 en 106].

59 In navolging van de regeringen die schriftelijke opmerkingen hebben ingediend en de Europese Commissie moet echter worden vastgesteld dat de naleving door de verwerkingsverantwoordelijke van de verplichting uit hoofde van artikel 26 AVG om een regeling vast te stellen waarbij de gezamenlijke verantwoordelijkheid voor de verwerking wordt vastgesteld, en van de verplichting uit hoofde van artikel 30 van deze verordening om een register van de verwerkingsactiviteiten bij te houden, niet behoort tot de in artikel 6, lid 1, eerste alinea, van die verordening geformuleerde gronden voor rechtmatigheid van de verwerking.

60 Voorts hebben de artikelen 26 en 30 AVG, anders dan de artikelen 7 tot en met 11 van deze verordening, niet tot doel de omvang te preciseren van de vereisten van artikel 5, lid 1, onder a), en artikel 6, lid 1, van die verordening.

61 Uit de bewoordingen van artikel 5, lid 1, onder a), en artikel 6, lid 1, eerste alinea, AVG moet derhalve worden geconcludeerd dat de niet-nakoming door de verwerkingsverantwoordelijke van de verplichtingen uit hoofde van de artikelen 26 en 30 van deze verordening geen „onrechtmatige verwerking” vormt in de zin van artikel 17, lid 1, onder d), en artikel 18, lid 1, onder b), ervan, die zou voortvloeien uit de niet-naleving door de verwerkingsverantwoordelijke van de in artikel 5, lid 2, AVG genoemde „verantwoordingsplicht”.

62 Deze uitlegging vindt in de tweede plaats steun in de context van deze bepalingen. Uit de structuur zelf van de AVG, en dus uit de opzet ervan, blijkt namelijk duidelijk dat daarin een onderscheid wordt gemaakt tussen, enerzijds, de „beginselen”, waarop hoofdstuk II ervan ziet, dat onder meer de artikelen 5 en 6 van deze verordening bevat, en, anderzijds, de „algemene verplichtingen”, die deel uitmaken van afdeling 1 van hoofdstuk IV van die verordening, betreffende de verwerkingsverantwoordelijken, waaronder de verplichtingen van de artikelen 26 en 30 AVG.

63 Dit onderscheid komt overigens tot uiting in hoofdstuk VIII AVG, dat betrekking heeft op de sancties, aangezien schendingen van de artikelen 26 en 30 van deze verordening en schendingen van de artikelen 5 en 6 ervan respectievelijk in de leden 4 en 5 van artikel 83 van die verordening zijn onderworpen aan administratieve geldboeten die kunnen oplopen tot een bepaald bedrag, dat naargelang van het betrokken lid verschilt wegens de door de Uniewetgever erkende graad van ernst van deze respectieve schendingen.

64 In de derde en laatste plaats wordt de letterlijke uitlegging van de AVG in punt 61 van het onderhavige arrest bevestigd door het doel van deze verordening, dat blijkt uit artikel 1 en de overwegingen 1 en 10 ervan en dat er met name in bestaat een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen te waarborgen, in het bijzonder van hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, dat is neergelegd in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie en in artikel 16, lid 1, VWEU (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 125 en aldaar aangehaalde rechtspraak).

65 Het ontbreken van een regeling met betrekking tot hun gezamenlijke verantwoordelijkheid overeenkomstig artikel 26 AVG of van een register van de verwerkingsactiviteiten in de zin van artikel 30 van deze verordening volstaat op zich namelijk niet om aan te tonen dat er sprake is van een inbreuk op het grondrecht op bescherming van persoonsgegevens. In het bijzonder blijkt uit de overwegingen 79 en 82 van die verordening weliswaar dat de duidelijke toewijzing van de verantwoordelijkheden tussen de gezamenlijke verwerkingsverantwoordelijken en het register van de verwerkingsactiviteiten middelen zijn die ervoor zorgen dat deze verwerkingsverantwoordelijken de in die verordening bedoelde waarborgen ter bescherming van de rechten en vrijheden van de betrokkenen in acht nemen, maar dat neemt niet weg dat het ontbreken van een dergelijk register of een dergelijke regeling op zich niet aantoont dat die rechten en vrijheden zijn geschonden.

66 Hieruit volgt dat schending van de artikelen 26 en 30 AVG door een verwerkingsverantwoordelijke geen „onrechtmatige verwerking” vormt in de zin van artikel 17, lid 1, onder d), of artikel 18, lid 1, onder b), van deze verordening, gelezen in samenhang met artikel 5, lid 1, onder a), en artikel 6, lid 1, eerste alinea, ervan, die de betrokkene een recht op gegevenswissing of op beperking van de verwerking verleent.

67 Zoals de regeringen die schriftelijke opmerkingen hebben ingediend en de Commissie hebben betoogd, moet een dergelijke schending dus worden verholpen door gebruik te maken van andere maatregelen waarin de AVG voorziet, zoals de vaststelling door de toezichthoudende autoriteit van „corrigerende maatregelen” in de zin van artikel 58, lid 2, van deze verordening, met name door overeenkomstig punt d) van deze bepaling te gelasten verwerkingen in overeenstemming te brengen, door overeenkomstig artikel 77, lid 1, van die verordening een klacht in te dienen bij de toezichthoudende autoriteit, of door de schade die eventueel door de verwerkingsverantwoordelijke is veroorzaakt, krachtens artikel 82 AVG te vergoeden.

68 Gelet op de twijfels die de verwijzende rechter heeft geuit, moet tot slot nog worden gepreciseerd dat de omstandigheid dat in casu de oplegging van een administratieve geldboete op grond van artikel 58, lid 2, onder i), en artikel 83 AVG uitgesloten is, omdat het nationale recht een dergelijke sanctie voor het Bundesamt verbiedt, niet in de weg staat aan de effectieve toepassing van deze verordening. Dienaangaande volstaat het namelijk op te merken dat artikel 83, lid 7, van die verordening de lidstaten uitdrukkelijk de mogelijkheid biedt te bepalen of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan overheidsinstanties of overheidsorganen. Afgezien daarvan maken de verschillende alternatieve maatregelen van de AVG, die in het vorige punt in herinnering zijn gebracht, een dergelijke effectieve toepassing mogelijk.

69 Bijgevolg moet op de eerste vraag worden geantwoord dat artikel 17, lid 1, onder d), en artikel 18, lid 1, onder b), AVG aldus moeten worden uitgelegd dat de niet-nakoming door een verwerkingsverantwoordelijke van de verplichtingen uit hoofde van de artikelen 26 en 30 van deze verordening om respectievelijk een regeling met betrekking tot hun gezamenlijke verantwoordelijkheid voor de verwerking vast te stellen en een register van de verwerkingsactiviteiten bij te houden, geen onrechtmatige verwerking vormt die de betrokkene een recht op gegevenswissing of op beperking van de verwerking verleent, aangezien een dergelijke niet-nakoming als zodanig niet impliceert dat de verwerkingsverantwoordelijke de „verantwoordingsplicht” van artikel 5, lid 2, gelezen in samenhang met artikel 5, lid 1, onder a), en artikel 6, lid 1, eerste alinea, van die verordening, niet naleeft.

Tweede vraag

70 Gelet op het antwoord op de eerste vraag hoeft de tweede vraag niet te worden beantwoord.

Derde vraag

71 Met zijn derde vraag wenst de verwijzende rechter in essentie te vernemen of het Unierecht aldus moet worden uitgelegd dat wanneer de verantwoordelijke voor de verwerking van persoonsgegevens de verplichtingen niet is nagekomen die krachtens de artikelen 26 of 30 AVG op hem rusten, de rechtmatigheid van de inaanmerkingneming van die gegevens door een nationale rechterlijke instantie afhangt van de voorwaarde dat de betrokkene daarmee instemt.

72 In dit verband moet worden vastgesteld dat uit de bewoordingen zelf van artikel 6, lid 1, eerste alinea, van deze verordening duidelijk blijkt dat de in punt a) van die alinea bedoelde toestemming van de betrokkene slechts een van de gronden voor rechtmatigheid van de verwerking vormt. De toestemming van de betrokkene wordt daarentegen niet verlangd door de andere rechtmatigheidsgronden, die zijn opgenomen in de punten b) tot en met f) van die alinea en in wezen zijn ontleend aan het feit dat de verwerking noodzakelijk is om bepaalde doeleinden te verwezenlijken (zie naar analogie arrest van 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punt 41).

73 Wanneer een rechterlijke instantie de rechterlijke bevoegdheden uitoefent die haar krachtens het nationale recht zijn toegekend, moet ervan uit worden gegaan dat de door die rechterlijke instantie uit te voeren verwerking van persoonsgegevens noodzakelijk is voor het in artikel 6, lid 1, eerste alinea, onder e), van die verordening geformuleerde doeleinde betreffende de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

74 Aangezien het voor een rechtmatige verwerking van persoonsgegevens volstaat dat is voldaan aan een van de voorwaarden van artikel 6, lid 1, AVG en voorts schending van de artikelen 26 en 30 van deze verordening geen onrechtmatige verwerking vormt, zoals in punt 61 van het onderhavige arrest is vastgesteld, hangt de inaanmerkingneming door de verwijzende rechter van persoonsgegevens die het Bundesamt in strijd met de in deze laatste artikelen vastgestelde verplichtingen zou hebben verwerkt, niet af van de voorwaarde dat de betrokkene daarmee instemt.

75 Bijgevolg moet op de derde vraag worden geantwoord dat het Unierecht aldus moet worden uitgelegd dat wanneer de verantwoordelijke voor de verwerking van persoonsgegevens de verplichtingen niet is nagekomen die krachtens artikel 26 of artikel 30 AVG op hem rusten, de rechtmatigheid van de inaanmerkingneming van die gegevens door een nationale rechterlijke instantie niet afhangt van de voorwaarde dat de betrokkene daarmee instemt.

Kosten

76 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Vijfde kamer) verklaart voor recht:

1) Artikel 17, lid 1, onder d), en artikel 18, lid 1, onder b), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming),

moeten aldus worden uitgelegd dat

de niet-nakoming door een verwerkingsverantwoordelijke van de verplichtingen uit hoofde van de artikelen 26 en 30 van deze verordening om respectievelijk een regeling met betrekking tot hun gezamenlijke verantwoordelijkheid voor de verwerking vast te stellen en een register van de verwerkingsactiviteiten bij te houden, geen onrechtmatige verwerking vormt die de betrokkene een recht op gegevenswissing of op beperking van de verwerking verleent, aangezien een dergelijke niet-nakoming als zodanig niet impliceert dat de verwerkingsverantwoordelijke de „verantwoordingsplicht” van artikel 5, lid 2, gelezen in samenhang met artikel 5, lid 1, onder a), en artikel 6, lid 1, eerste alinea, van die verordening, niet naleeft.

2) Het Unierecht moet aldus worden uitgelegd dat wanneer de verantwoordelijke voor de verwerking van persoonsgegevens de verplichtingen niet is nagekomen die krachtens artikel 26 of artikel 30 van verordening 2016/679 op hem rusten, de rechtmatigheid van de inaanmerkingneming van die gegevens door een nationale rechterlijke instantie niet afhangt van de voorwaarde dat de betrokkene daarmee instemt.

ondertekeningen

* Procestaal: Duits.