SCHLUSSANTRÄGE DES GENERALANWALTS

PRIIT PIKAMÄE

vom 16. März 2023(1)

Verbundene Rechtssachen C‑26/22 und C‑64/22

UF (C‑26/22),

AB (C‑64/22)

gegen

Land Hessen,

Beteiligte:

SCHUFA Holding AG

(Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden [Deutschland])

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 6 Abs. 1 Unterabs. 1 Buchst. f – Rechtmäßigkeit der Verarbeitung – Art. 17 Abs. 1 Buchst. d – Recht auf Löschung im Fall einer unrechtmäßigen Verarbeitung personenbezogener Daten – Art. 40 – Verhaltensregeln – Art. 77 Abs. 1 – Recht auf Beschwerde – Art. 78 Abs. 1 – Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde – Art. 7 und 8 der Charta der Grundrechte der Europäischen Union – Beschluss der Aufsichtsbehörde über eine Beschwerde – Umfang der gerichtlichen Überprüfung dieses Beschlusses – Private Wirtschaftsauskunftei – Speicherung von Daten aus einem öffentlichen Register – Berechtigtes Interesse – Dauer der Speicherung“

I.      Einleitung

1.        Die vorliegenden Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden (Deutschland) nach Art. 267 AEUV betreffen die Auslegung der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) sowie von Art. 6 Abs. 1 Unterabs. 1 Buchst. f, Art. 17 Abs. 1 Buchst. d, Art. 40, Art. 77 Abs. 1 und Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2) (im Folgenden: DSGVO).

2.        Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten, die erste zwischen UF (Rechtssache C‑26/22) und dem Land Hessen (Deutschland), vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), die zweite zwischen AB (Rechtssache C‑64/22) und ebenfalls dem HBDI, über Anträge von UF bzw. AB beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA Holding AG (im Folgenden: SCHUFA).

3.        Die beiden Rechtssachen werfen eine Vielzahl neuer Rechtsfragen auf, die u. a. die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle betreffen, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

II.    Rechtlicher Rahmen

A.      Unionsrecht

1.      Verordnung (EU) 2015/848

4.        Art. 79 Abs. 4 und 5 der Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Insolvenzverfahren(3) bestimmt:

„(4)      Es obliegt den Mitgliedstaaten gemäß der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31)], Daten zu erheben und in nationalen Datenbanken zu speichern und zu entscheiden, diese Daten im vernetzten Register, das über das Europäische Justizportal eingesehen werden kann, zugänglich zu machen.

(5)      Als Teil der Information, die betroffene Personen erhalten, um ihre Rechte und insbesondere das Recht auf Löschung von Daten wahrnehmen zu können, teilen die Mitgliedstaaten betroffenen Personen mit, für welchen Zeitraum ihre in Insolvenzregistern gespeicherten personenbezogenen Daten zugänglich sind.“

2.      DSGVO

5.        Art. 5 Abs. 1 DSGVO bestimmt:

„Personenbezogene Daten müssen

…

b)      für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … (,Zweckbindung‘);

…“

6.        Art. 6 Abs. 1 DSGVO sieht vor:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

f)      die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen …

…“

7.        Art. 17 Abs. 1 DSGVO bestimmt:

„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

…

c)      Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d)      Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

…“

8.        Art. 21 Abs. 1 DSGVO bestimmt:

„Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

9.        Art. 40 DSGVO bestimmt:

„(1)      Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.

(2)      Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:

a)      faire und transparente Verarbeitung;

b)      die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;

c)      Erhebung personenbezogener Daten;

…

(5)      Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist[,] und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.

…“

10.      Art. 77 Abs. 1 DSGVO sieht vor:

„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“

11.      Art. 78 DSGVO bestimmt:

„(1)      Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2)      Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Recht[s]behelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

…“

B.      Deutsches Recht

12.      § 9 Abs. 1 der Insolvenzordnung in seiner für die Ausgangsrechtsstreitigkeiten maßgeblichen Fassung bestimmt:

„Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.“

13.      § 3 Abs. 1 und 2 der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (im Folgenden: InsBekV) lautet:

„(1)      Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.

(2)      Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.“

III. Sachverhalt, Ausgangsverfahren und Vorlagefragen

14.      Im Rahmen der sie betreffenden Insolvenzverfahren wurde UF und AB mit gerichtlichen Beschlüssen vom 17. Dezember 2020 bzw. 23. März 2021 eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde gemäß § 9 Abs. 1 der Insolvenzordnung und § 3 Abs. 1 und 2 InsBekV im Internet veröffentlicht, und der Eintrag nach sechs Monaten gelöscht.

15.      SCHUFA, eine private Wirtschaftsauskunftei, speichert die veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung.

16.      Auf Antrag von UF bzw. AB, die die Löschung der sie betreffenden Eintragungen beantragten, teilte SCHUFA ihnen mit, dass ihre Tätigkeit unter Beachtung der DSGVO erfolge und dass die Löschungsfrist von sechs Monaten nach § 3 Abs. 1 InsBekV auf sie nicht anwendbar sei. UF und AB legten daraufhin eine Beschwerde beim HBDI als zuständige Aufsichtsbehörde ein.

17.      Der HBDI entschied über diese Beschwerden mit zwei Bescheiden vom 1. März 2021 und vom 9. Juli 2021. SCHUFA dürfe Negativeinträge über eine Restschuldbefreiung über den Zeitraum der Befreiung von der Forderung hinaus speichern.

18.      UF und AB erhoben beim Verwaltungsgericht Wiesbaden, dem vorlegenden Gericht, Klage gegen die Bescheide des HBDI. Sie machen geltend, dass der HBDI im Rahmen seiner Aufgaben und Befugnisse dazu verpflichtet sei, Maßnahmen zur Durchsetzung einer Löschung der sie betreffenden Eintragungen gegenüber SCHUFA zu ergreifen.

19.      Insoweit hält es das vorlegende Gericht erstens für erforderlich, die Rechtsnatur der Entscheidung zu klären, die die Aufsichtsbehörde auf eine Beschwerde nach Art. 77 Abs. 1 DSGVO erlässt. Das vorlegende Gericht führt aus, nach Ansicht des HBDI sei das in Art. 77 Abs. 1 vorgesehene Recht als Petitionsrecht ausgestaltet. Daher beschränke sich die gerichtliche Überprüfung darauf, dass sich die Aufsichtsbehörde mit der Beschwerde überhaupt befasse und ihren Verfasser über den Stand und das Ergebnis der Beschwerde unterrichte. Dagegen dürfe das Gericht nicht überprüfen, ob die Beschwerdeentscheidung inhaltlich zutreffend sei.

20.      Das vorlegende Gericht hat jedoch Zweifel an der Vereinbarkeit dieser Analyse mit der DSGVO. Art. 78 Abs. 1 dieser Verordnung verlange nämlich einen wirksamen gerichtlichen Rechtsbehelf. Im Hinblick auf das Ziel dieser Verordnung, in Umsetzung der Art. 7 und 8 der Charta einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, könne der Umgang mit dem Beschwerderecht nicht eng ausgelegt werden. Das vorlegende Gericht tendiere daher zu einer Auslegung dahin gehend, dass die Sachenscheidung der Aufsichtsbehörde vollinhaltlich vom Gericht zu überprüfen sei, wobei allerdings der Aufsichtsbehörde ein Beurteilungs- und ein Ermessensspielraum zustehe und sie nur dann zu einer Handlung verpflichtet werden könne, wenn rechtmäßige Alternativen nicht erkennbar seien.

21.      Zweitens fragt sich das vorlegende Gericht nach der Rechtmäßigkeit der Speicherung von Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien. Die Wirtschaftsauskunfteien erhielten vom Staat sämtliche Eintragungen aus den öffentlichen Registern, hier dem Schuldnerverzeichnis und dem Insolvenzverzeichnis. Der HBDI gehe davon aus, dass diese Daten der Beurteilung der Bonität dienten und so lange gespeichert werden dürften, wie dies für die Zwecke, für die sie gespeichert worden seien, erforderlich sei. Mangels einer Regelung durch den nationalen Gesetzgeber seien außerdem von den Aufsichtsbehörden mit dem Verband der Wirtschaftsauskunfteien Verhaltensregeln geschlossen worden, welche eine Löschung taggenau drei Jahre nach der Eintragung in der Datei der jeweiligen Wirtschaftsauskunftei vorsähen.

22.      Nach Ansicht des vorlegenden Gerichts stellt sich im Hinblick auf die Art. 7 und 8 der Charta die Frage, ob die Eintragungen aus den öffentlichen Verzeichnissen eins zu eins in privat geführte Verzeichnisse übertragen werden könnten, ohne dass ein konkreter Anlass zur Datenspeicherung vorliege. Es handele sich letztendlich um eine Vorratsdatenhaltung, vor allem, wenn in dem nationalen Register die Daten wegen Ablaufs der Speicherfrist schon gelöscht worden seien. Überdies sei SCHUFA nur eine von mehreren Auskunfteien, und damit würden die Daten vielfach in Deutschland auf diesem Wege vorgehalten, was einen massiven Eingriff in das Grundrecht aus Art. 7 der Charta bedeute.

23.      Das vorlegende Gericht führt weiter aus, dass eine Verarbeitung und damit Speicherung der Daten nur zulässig sei, wenn eine der Voraussetzungen von Art. 6 Abs. 1 DSGVO vorliege, wobei vorliegend nur Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO in Betracht komme. Ein berechtigtes Interesse des Verantwortlichen, wie SCHUFA, nach dieser Bestimmung sei auch zweifelhaft. Eine Abfrage aus den öffentlichen Registern bei berechtigtem Interesse sei auf jeden Fall so lange für eine Wirtschaftsauskunftei möglich, wie die Daten dort gespeichert würden.

24.      Hinzu komme, dass der deutsche Gesetzgeber in § 3 InsBekV nur eine relativ kurze Speicherung von sechs Monaten der Eintragung über die Restschuldbefreiung im Insolvenzregister vorsehe. Diese Regelung habe wiederum ihre Grundlage in Art. 79 Abs. 5 der Verordnung 2015/848, wonach die Mitgliedstaaten betroffenen Personen mitteilen, für welchen Zeitraum ihre in Insolvenzregistern gespeicherten personenbezogenen Daten zugänglich sind, damit sie ihre Rechte und insbesondere das Recht auf Löschung von Daten wahrnehmen können. Dieses Recht entfalle hingegen bei einer Speicherung in einer Vielzahl privater Register, bei denen die Daten dann länger gespeichert würden.

25.      Soweit eine Zulässigkeit der Speicherung der Daten aus öffentlichen Registern bei privaten Wirtschaftsauskunfteien bejaht werde, stelle sich im Übrigen die Frage, ob die genehmigten Verhaltensregeln nach Art. 40 DSGVO, welche Löschfristen von drei Jahren nach der Eintragung über die Restschuldbefreiung vorsähen, in die Abwägung, die für die Beurteilung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO erforderlich sei, einzubeziehen seien.

26.      Unter diesen Umständen hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.      Ist Art. 77 Abs. 1 in Verbindung mit Art. 78 Abs. 1 DSGVO dahin gehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,

a)      den Charakter der Bescheidung einer Petition hat, dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DSGVO sich grundsätzlich darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat,

oder

b)      als eine behördliche Sachentscheidung zu verstehen ist, dies mit der Folge, dass eine aufsichtsbehördliche Beschwerdeentscheidung voll inhaltlich von dem Gericht nach Art. 78 Abs. 1 DSGVO zu überprüfen ist, wobei im Einzelfall – z. B. bei einer Ermessensreduzierung auf null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme im Sinne des Art. 58 DSGVO verpflichtet werden kann?

2.      Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ im Sinne des Art. 79 Abs. 4 und 5 der Verordnung 2015/848, ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit den Art. 7 und 8 der Charta vereinbar?

3.      a)      Sind private Paralleldatenbanken (insbesondere Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der Verordnung 2015/848 in Verbindung mit dem nationalen Recht geregelt, grundsätzlich zulässig?

b)      Falls Frage 3 a) zu bejahen ist, ergibt sich aus dem Recht auf Vergessenwerden nach Art. 17 Abs. 1 Buchst. d DSGVO, dass diese Daten zu löschen sind, wenn die für das öffentliche Register vorgesehene Verarbeitungsdauer abgelaufen ist?

4.      Soweit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5.      Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DSGVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorgegebene Abwägung suspendieren?

IV.    Verfahren vor dem Gerichtshof

27.      Der Vorlagebeschluss in der Rechtssache C‑26/22 vom 23. Dezember 2021 ist am 11. Januar 2022 bei der Kanzlei des Gerichtshofs eingegangen. Der Vorlagebeschluss in der Rechtssache C‑64/22 vom 31. Januar 2022 ist am 2. Februar 2022 bei der Kanzlei des Gerichtshofs eingegangen.

28.      Mit Beschluss des Gerichtshofs vom 11. Februar 2022 sind die Rechtssachen zu gemeinsamem schriftlichen und mündlichen Verfahren und zu gemeinsamem Urteil verbunden worden.

29.      Die Parteien des Ausgangsverfahrens, SCHUFA, die deutsche und die portugiesische Regierung sowie die Europäische Kommission haben innerhalb der in Art. 23 der Satzung des Gerichtshofs der Europäischen Union gesetzten Frist schriftliche Erklärungen eingereicht.

30.      In der Sitzung vom 26. Januar 2023 haben die Prozessbevollmächtigten der Parteien des Ausgangsverfahrens, von SCHUFA und die Bevollmächtigten der Kommission mündliche Ausführungen gemacht.

V.      Rechtliche Würdigung

A.      Vorbemerkungen

31.      Da das gegenseitige Vertrauen die Grundlage jeder vertraglichen Verpflichtung in einer Marktwirtschaft bildet, ist es aus unternehmerischer Sicht grundsätzlich verständlich, dass die Anbieter von Dienstleistungen und Waren ihre Kunden sowie die mit einer solchen vertraglichen Verpflichtung verbundenen Risiken kennen möchten. Die Auskunfteien können zur Bildung dieses gegenseitigen Vertrauens durch statistische Methoden beitragen, mit denen die Unternehmen feststellen können, ob bestimmte relevante Kriterien, einschließlich der Kreditwürdigkeit ihrer Kunden, im vorliegenden Fall erfüllt sind. Damit helfen sie den Unternehmen, verschiedenen Bestimmungen des Unionsrechts nachzukommen, das ihnen gerade für bestimmte Arten von Verträgen, u. a. für Kreditverträge, eine solche Verpflichtung auferlegt(4). Allerdings sind die Auskunfteien nicht die einzigen, die solche Dienstleistungen erbringen. Im Bewusstsein der Notwendigkeit, bei Finanztransaktionen eine gewisse Transparenz und Vorhersehbarkeit zu gewährleisten, verlangt der Unionsgesetzgeber von den Mitgliedstaaten, ein oder mehrere Register zu errichten und zu unterhalten, um Informationen über Insolvenzverfahren bekannt zu machen.

32.      Daraus folgt, dass mehrere Datenbanken parallel existieren, nämlich zum einen die von staatlichen Behörden verwalteten „öffentlichen“ Register und zum anderen die von privaten Unternehmen verwalteten Datenbanken. Diese Parallelität kann zu einem Wettbewerb zwischen den Systemen führen und sogar gesetzliche Konflikte hervorrufen, wenn die rechtlichen Regelungen, denen diese Register unterliegen, erheblich voneinander abweichen. Rechtliche Unterschiede können besonders problematisch sein, wenn sie den Datenschutz beeinträchtigen, denn unabhängig davon, welche öffentliche oder private Stelle das Register führt, muss diese das Interesse der betroffenen Personen hinsichtlich der Art und Weise, wie diese Daten verwaltet und gespeichert werden, wahren. Da die Informationen über die wirtschaftliche Lage einer Person nämlich durch ihre Sensibilität in Bezug auf die Wahrung des Rechts auf Schutz personenbezogener Daten und der Privatsphäre gekennzeichnet sind, ist besondere Wachsamkeit geboten.

33.      Die DSGVO, die seit dem 25. Mai 2018 gilt, hat einen rechtlichen Rahmen geschaffen, der darauf abzielt, den angeführten Interessen in der gesamten Union Rechnung zu tragen, u. a. indem sie die Verarbeitung personenbezogener Daten bestimmten Bedingungen unterwirft. So verlangt Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Mit anderen Worten muss sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssen. Die Aufsichtsbehörde, die nach Art. 77 Abs. 1 DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln hat, hat zu prüfen, ob diese Voraussetzungen erfüllt sind. Sollte diese Person schließlich gemäß Art. 78 Abs. 1 DSGVO einen Rechtsbehelf gegen den Beschluss der Aufsichtsbehörde einlegen, obliegt es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen.

34.      In den vorstehenden Nummern der vorliegenden Schlussanträge werden die verschiedenen rechtlichen Gesichtspunkte, die das vorlegende Gericht in seinen Vorabentscheidungsersuchen aufgeworfen hat, kurz zusammengefasst. Die erste Frage betrifft die Rechtsnatur einer Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Fragen 2 bis 5 betreffen im Wesentlichen die Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien. Die Vorlagefragen werden im Folgenden in der Reihenfolge geprüft, in der sie vom vorlegenden Gericht gestellt wurden.

B.      Zur ersten Vorlagefrage

35.      Da sich die erste Frage auf die beiden Stufen des verwaltungsrechtlichen Rechtsbehelfs bezieht, nämlich die Beschwerde bei der Aufsichtsbehörde und den gerichtlichen Rechtsbehelf bei einem Gericht, die in den Art. 77 und 78 DSGVO geregelt sind, halte ich es für angebracht, diese beiden Stufen kurz darzustellen und damit auf die rechtlichen Gesichtspunkte einzugehen, die das vorlegende Gericht aufwirft.

36.      Wie ich in meinen Vorbemerkungen ausgeführt habe, soll die DSGVO den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gewährleisten, der in Art. 8 Abs. 1 der Charta und Art. 16 Abs. 1 AEUV als Grundrecht anerkannt wird. Da jede Verarbeitung personenbezogener Daten Auswirkungen auf die Privatsphäre haben kann, ist auch der durch Art. 7 der Charta gewährleistete Schutz zu erwähnen(5). Außerdem ergibt sich aus Art. 1 Abs. 2 DSGVO in Verbindung mit den Erwägungsgründen 10, 11 und 13, dass der Unionsgesetzgeber diese Aufgabe den Organen, Einrichtungen und sonstigen Stellen der Union sowie den zuständigen Behörden der Mitgliedstaaten, zu denen die Aufsichtsbehörden und die nationalen Gerichte gehören, überträgt(6).

1.      Die Rolle der Aufsichtsbehörden einschließlich der Verpflichtung zur Prüfung von Beschwerden

37.      Insoweit ist darauf hinzuweisen, dass nach Art. 8 Abs. 3 der Charta die Einhaltung der Vorschriften über den Schutz personenbezogener Daten von einer unabhängigen Stelle überwacht wird. Art. 57 Abs. 1 Buchst. a DSGVO setzt diese aus dem Primärrecht abgeleitete Verpflichtung um, indem er bestimmt, dass jede Aufsichtsbehörde die Aufgabe hat, die Anwendung dieser Verordnung zu überwachen und durchzusetzen. Sich mit Beschwerden einer betroffenen Person zu befassen, ist Teil ihrer Verantwortung, wie sich ausdrücklich aus Art. 57 Abs. 1 Buchst. f DSGVO ergibt.

38.      Der Gerichtshof hat entschieden, dass „jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f der DSGVO verpflichtet [ist], sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 der DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen“(7). In diesem Kontext ist darauf hinzuweisen, dass der Gerichtshof die Verpflichtung hervorgehoben hat, die der Aufsichtsbehörde obliegt, „eine solche Beschwerde mit aller gebotenen Sorgfalt [zu] bearbeiten“, um die Einhaltung der Bestimmungen der DSGVO sicherzustellen. Ferner ist festzustellen, dass im 141. Erwägungsgrund der DSGVO klargestellt wird, dass „[d]ie auf eine Beschwerde folgende Untersuchung … so weit gehen [sollte], wie dies im Einzelfall angemessen ist“ (Hervorhebung nur hier).

39.      All dies führt mich zu der Annahme, dass die Aufsichtsbehörde zwingend verpflichtet ist, Beschwerden einer betroffenen Person mit der im Einzelfall gebotenen Sorgfalt zu bearbeiten(8). Da jeder Verstoß gegen die DSGVO grundsätzlich eine Beeinträchtigung der Grundrechte darstellen kann, halte ich es für unvereinbar mit dem durch diese Verordnung geschaffenen System, der Aufsichtsbehörde ein Ermessen bei der Entscheidung einzuräumen, ob sie sich mit Beschwerden befasst oder nicht. Ein solcher Ansatz würde die ihr durch die DSGVO übertragene entscheidende Rolle in Frage stellen, die darin besteht, für die Einhaltung der Vorschriften über den Schutz personenbezogener Daten zu sorgen, und liefe folglich den vom Unionsgesetzgeber verfolgten Zielen zuwider(9). Letztlich darf nicht vergessen werden, dass die Beschwerden eine wertvolle Informationsquelle für die Aufsichtsbehörde darstellen, die es ihr ermöglicht, Verstöße aufzudecken(10).

40.      Diese Auslegung ist umso überzeugender, als Art. 57 Abs. 1 Buchst. f DSGVO der Aufsichtsbehörde eine Reihe von Anforderungen im Rahmen der Bearbeitung einer solchen Beschwerde auferlegt, nämlich die Verpflichtung, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist. Hinzu kommt die Verpflichtung nach Art. 77 Abs. 2 DSGVO, den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO zu unterrichten. Alle diese Anforderungen, die unter den Begriff „gute Verwaltung“ fallen, wobei diese speziell in Bezug auf die Tätigkeiten der Organe und Einrichtungen der Union in Art. 41 der Charta einen Ausdruck gefunden hat(11), sollen das Beschwerdeverfahren stärken, um daraus einen echten verwaltungsrechtlichen Rechtsbehelf zu machen.

41.      Auch wenn die Aufsichtsbehörde als Garantin für die Einhaltung der Bestimmungen der DSGVO verpflichtet ist, sich mit den bei ihr eingelegten Beschwerden zu befassen, sprechen mehrere Gesichtspunkte für eine Auslegung, wonach sie bei der Prüfung der Beschwerden über ein Ermessen sowie einen gewissen Handlungsspielraum bei der Wahl der geeigneten Mittel zur Erfüllung ihrer Aufgaben verfügt. Generalanwalt Saugmandsgaard Øe hat nämlich ausgeführt, dass Art. 58 Abs. 1 DSGVO „den Aufsichtsbehörden … weitgehende Untersuchungsbefugnisse ein[räumt]“ und dass diese nach Art. 58 Abs. 2 dieser Verordnung über eine „große Bandbreite von Mitteln … zur Erfüllung der ihr zugewiesenen Aufgabe“ verfügen, wobei er sich in diesem Zusammenhang auf die verschiedenen Befugnisse zum Erlass der in dieser Bestimmung aufgeführten Abhilfemaßnahmen bezieht(12). Der Generalanwalt hat sodann klargestellt, dass die zuständige Aufsichtsbehörde zwar „den ihr übertragenen Überwachungsauftrag umfassend erfüllen [muss]“, doch „[d]ie Wahl des wirksamsten Mittels … im Ermessen der zuständigen Aufsichtsbehörde unter Berücksichtigung aller Umstände [steht]“(13). Ich kann mich dieser Auslegung nur anschließen.

42.      Die detaillierte Beschreibung der Befugnis der Aufsichtsbehörden, Abhilfemaßnahmen zu erlassen, zeigt, dass der Unionsgesetzgeber nicht das Ziel verfolgt hat, das Beschwerdeverfahren zu einem petitionsähnlichen Verfahren zu machen. Vielmehr scheint es das Ziel des Gesetzgebers gewesen zu sein, einen Mechanismus zu schaffen, der geeignet ist, die Rechte und Interessen der Personen, die Beschwerden einlegen, wirksam zu wahren. Dies vorausgeschickt, scheint mir klar zu sein, dass dieser Handlungsspielraum nicht dahin ausgelegt werden kann, dass die Aufsichtsbehörde über eine unbegrenzte Befugnis verfügt und sie ermächtigt, willkürlich zu handeln. Vielmehr ist die Aufsichtsbehörde verpflichtet, diesen Handlungsspielraum unter Beachtung der ihr durch das Unionsrecht gesetzten Grenzen auszuüben. Aus diesem Grund kann auch nicht ausgeschlossen werden, dass die Aufsichtsbehörde als Verwaltungsbehörde aufgrund der besonderen Umstände des Einzelfalls gezwungen ist, eine bestimmte Maßnahme zu erlassen, insbesondere wenn die ernsthafte Gefahr einer Beeinträchtigung der Grundrechte der betroffenen Person besteht.

43.      Diese Auslegung, die der Aufsichtsbehörde einen gewissen Handlungsspielraum bei der Wahl der Mittel einräumt, wird durch Art. 58 Abs. 4 DSGVO bestätigt, wonach „[d]ie Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse … vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe [im Einklang mit Art. 47 der Charta erfolgt]“ (Hervorhebung nur hier). In Art. 78 Abs. 1 und 2 DSGVO wird zudem jeder Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf zuerkannt, wenn eine Aufsichtsbehörde einen sie betreffenden rechtsverbindlichen Beschluss erlassen oder sich nicht mit ihrer Beschwerde befasst hat.

44.      Dies führt mich zu der Frage nach der Rechtsnatur der Entscheidungen der Aufsichtsbehörde, die das vorlegende Gericht in seinen Vorabentscheidungsersuchen aufgeworfen hat. Insoweit ist auf den 141. Erwägungsgrund der DSGVO hinzuweisen, wonach „[j]ede betroffene Person … das Recht haben [sollte], bei einer … Aufsichtsbehörde … eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist“ (Hervorhebung nur hier). Dieser Erwägungsgrund trägt dem Umstand Rechnung, dass ein Beschluss der Aufsichtsbehörde die betroffene Person beschweren kann, insbesondere wenn sie zu dem Ergebnis gelangt, dass die Beschwerde unbegründet ist, dass kein Verstoß gegen die DSGVO vorliegt, und wenn sie daher keine Maßnahmen ergreift, um die Situation zu korrigieren, die zu der Beschwerde geführt hat. Der Unionsgesetzgeber erkennt die rechtsverbindliche Wirkung eines solchen Beschlusses an und eröffnet damit dem Beschwerdeführer einen Rechtsbehelf vor einem nationalen Gericht.

45.      Ebenso ist darauf hinzuweisen, dass es der Aufsichtsbehörde nicht freisteht, nicht zu reagieren, da sich aus Art. 78 Abs. 2 DSGVO ergibt, dass „[j]ede betroffene Person … unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Recht[s]behelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf [hat], wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat“. Dies verbietet es, das Beschwerdeverfahren einer Petition gleichzustellen.

46.      Im vorliegenden Fall hat die Aufsichtsbehörde, wie das vorlegende Gericht in seinen Vorlagebeschlüssen ausgeführt hat, gegenüber den Klägern der Ausgangsverfahren rechtsverbindliche Beschlüsse erlassen. Sie stellte im Wesentlichen fest, dass die Verarbeitung der personenbezogenen Daten der Kläger durch SCHUFA nach Art. 6 Abs. 1 Unterabs. 1 Buchst. b und f DSGVO zulässig sei, und hat daher implizit den Rückgriff auf eine Untersuchungs- oder Abhilfemaßnahme ausgeschlossen.

2.      Der Umfang der gerichtlichen Kontrolle  des Beschlusses der Aufsichtsbehörde

47.      Der in Art. 78 DSGVO vorgesehene gerichtliche Rechtsbehelf stellt die zweite Stufe des in dieser Verordnung vorgesehenen verwaltungsrechtlichen Rechtsbehelfs dar. In diesem Zusammenhang ist darauf hinzuweisen, dass sowohl die „Beschwerde“ bei der Aufsichtsbehörde als auch der „gerichtliche Rechtsbehelf“ der betroffenen Person als „Rechte“ der betroffenen Person konzipiert sind, was völlig verständlich ist, wenn man davon ausgeht, dass mit den Art. 77 bis 79 DSGVO das in Art. 47 der Charta verankerte Recht auf einen wirksamen Rechtsbehelf umgesetzt werden soll. Wie bereits ausgeführt(14), lässt sich dieses Ziel anhand von Art. 58 Abs. 4 in Verbindung mit Art. 78 DSGVO im Licht des 141. Erwägungsgrundes dieser Verordnung klar erkennen(15).

48.      Zum Umfang der gerichtlichen Überprüfung des Beschlusses der Aufsichtsbehörde ist darauf hinzuweisen, dass im Rahmen der Verfahrensautonomie im Allgemeinen die nationalen Vorschriften über das Verwaltungsverfahren anzuwenden sind, vorbehaltlich der Grundsätze der Äquivalenz und der Effektivität(16). Ich bin jedoch der Ansicht, dass ein Rechtsbehelf nur dann „wirksam“ im Sinne von Art. 47 der Charta und Art. 78 Abs. 1 DSGVO sein kann, wenn das zuständige nationale Gericht befugt und verpflichtet ist, die Sachentscheidung der Aufsichtsbehörde einer umfassenden gerichtlichen Überprüfung zu unterziehen, um festzustellen, ob die Aufsichtsbehörde die DSGVO ordnungsgemäß angewandt hat.

49.      Wie der Gerichtshof in seiner Rechtsprechung festgestellt hat, „verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent“(17).

50.      Um den Umfang der gerichtlichen Kontrolle des Beschlusses der Aufsichtsbehörde zu bestimmen, halte ich es für relevant, zunächst den 141. Erwägungsgrund der DSGVO zu erwähnen, aus dem hervorgeht, dass „[d]ie auf eine Beschwerde folgende Untersuchung … vorbehaltlich gerichtlicher Überprüfung so weit gehen [sollte], wie dies im Einzelfall angemessen ist“ (Hervorhebung nur hier). Sodann ist auf den 143. Erwägungsgrund der DSGVO hinzuweisen, in dem es heißt, dass „jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben [sollte], der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs‑, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden“ (Hervorhebung nur hier). Meines Erachtens sind diese Passagen dahin zu verstehen, dass die vom nationalen Gericht nach Art. 78 DSGVO vorzunehmende gerichtliche Kontrolle umfassend sein muss, d. h., sie muss sich auf alle relevanten Aspekte erstrecken, die in das Ermessen der Aufsichtsbehörde im Rahmen der Prüfung des Beschwerdegegenstands sowie ihres Ermessens bei der Wahl der Untersuchungsmaßnahmen und der Abhilfemaßnahmen fallen.

51.      Das Ziel des Unionsgesetzgebers, eine umfassende gerichtliche Kontrolle jedes Beschlusses einer Aufsichtsbehörde sicherzustellen, die gegenüber der betroffenen Person, die bei dieser eine Beschwerde eingelegt hat, rechtliche Wirkung entfaltet, wird besonders deutlich, wenn man eine weitere Passage des 143. Erwägungsgrundes der DSGVO berücksichtigt, in der es heißt, dass „Verfahren gegen eine Aufsichtsbehörde … bei den Gerichten des Mitgliedstaats angestrengt werden [sollten], in dem die Aufsichtsbehörde ihren Sitz hat, und … im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden [sollten]. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt“ (Hervorhebung nur hier)(18). Meines Erachtens genügt nur eine solche gerichtliche Kontrolle den Anforderungen von Art. 47 der Charta(19).

52.      Dagegen erscheinen mir die Argumente von SCHUFA und des HBDI, die für eine beschränkte gerichtliche Kontrolle der Beschlüsse der Aufsichtsbehörden sprechen, nicht überzeugend. Erstens soll die der Aufsichtsbehörde nach Art. 52 DSGVO zuerkannte „Unabhängigkeit“, die das in Art. 8 Abs. 3 der Charta aufgestellte Erfordernis konkretisiert, diese Behörde vor jedem ungerechtfertigten Eingriff schützen, befreit sie aber nicht von der Verpflichtung, ihre Aufgaben und Befugnisse unter voller Wahrung des Unionsrechts auszuüben und, wie jede andere nationale Behörde, ihre Beschlüsse einer wirksamen gerichtlichen Kontrolle zu unterwerfen. Zweitens schließt das in Art. 79 DSGVO vorgesehene Recht auf einen gerichtlichen Rechtsbehelf gegen den Verantwortlichen nicht das Recht aus, einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde nach Art. 78 DSGVO einzulegen. Diese Rechtsbehelfe bestehen unabhängig und ohne ein Subsidiaritätsverhältnis nebeneinander, so dass sie parallel eingelegt werden können(20). Den Klägern kann daher keine rechtswidrige Handlung bei der Verteidigung ihrer durch die DSGVO geschützten Rechte vorgeworfen werden, weil sie einem bestimmten Rechtsbehelf den Vorzug gegeben hätten. Folglich ist dieses Vorbringen zurückzuweisen.

53.      Nach alledem ist auf die erste Vorlagefrage zu antworten, dass Art. 78 Abs. 1 DSGVO dahin auszulegen ist, dass sich aus dieser Bestimmung ergibt, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache unterliegt.

C.      Zu den Vorlagefragen 2 bis 5

54.      Die Vorlagefragen 2 bis 5 betreffen im Wesentlichen die Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien. Die Fragen des vorlegenden Gerichts werfen eine Reihe rechtlicher Probleme im Zusammenhang mit dieser Praxis auf, die in strukturierter Weise zu prüfen sind. Aus Gründen der Klarheit halte ich es für zweckmäßig, die Fragen nach Themen zusammenzufassen und sie in dieser Reihenfolge zu behandeln.

55.      Um dem vorlegenden Gericht eine für die Entscheidung des bei ihm anhängigen Rechtsstreits sachdienliche Antwort zu geben, wird der Gerichtshof mehrere Bestimmungen der DSGVO auszulegen haben, die, obwohl sie in den Fragen nicht ausdrücklich angeführt sind, gleichwohl einschlägig erscheinen. Ein solcher Ansatz ist möglich, da der Gerichtshof nach ständiger Rechtsprechung aus dem gesamten vom vorlegenden Gericht vorgelegten Material, insbesondere der Begründung der Vorlageentscheidung, diejenigen Normen und Grundsätze des Unionsrechts herausarbeiten kann, die unter Berücksichtigung des Gegenstands des Rechtsstreits einer Auslegung bedürfen(21).

56.      Eine solche eingehende Analyse scheint mir umso notwendiger zu sein, als sich das vorlegende Gericht in seinen Fragen manchmal ausschließlich auf die Art. 7 und 8 der Charta bezieht, obwohl diese Bestimmungen, wie der Gerichtshof ausgeführt hat, nicht isoliert anzuwenden sind, sondern im Rahmen der in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorgesehenen Abwägung zu berücksichtigen sind(22). Außerdem ist in diesem Zusammenhang daran zu erinnern, dass, soweit mit den Bestimmungen der DSGVO die in Rede stehenden Grundrechte umgesetzt werden, die Auslegung des abgeleiteten Rechts logischerweise den Ausgangspunkt jeder Interpretation darstellt, wobei diese im Licht des Primärrechts zu sehen ist, dessen Bestandteil die Charta ist(23). Ich werde daher alle Bestimmungen, die mir relevant erscheinen, in die folgende Prüfung einbeziehen.

1.      Zur Vereinbarkeit der Praxis von Wirtschaftsauskunfteien mit den in der DSGVO verankerten Grundsätzen für die Verarbeitung personenbezogener Daten

57.      Kapitel II („Grundsätze“) der DSGVO legt die Grundsätze für die Verarbeitung personenbezogener Daten fest. Im Folgenden werde ich prüfen, ob die Praxis der Wirtschaftsauskunfteien, personenbezogene Daten aus öffentlichen Registern für die Dauer von drei Jahren zu speichern, mit den Grundsätzen in Einklang steht, die mir im vorliegenden Zusammenhang am relevantesten erscheinen, nämlich den Grundsätzen der Rechtmäßigkeit, der Zweckbindung und der Datenminimierung.

58.      Im Rahmen der Prüfung werde ich mich auf die Angaben des vorlegenden Gerichts und von SCHUFA stützen, wobei ich dennoch betonen werde, dass es dieser als für die Verarbeitung Verantwortlichen obliegt, im Einklang mit dem in Art. 5 Abs. 2 DSGVO aufgestellten Grundsatz der Rechenschaftspflicht nachzuweisen, dass die oben angeführten Grundsätze eingehalten worden sind.

a)      Zur Vereinbarkeit mit dem Grundsatz der Rechtmäßigkeit (Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO)

59.      Nach Art. 5 Abs. 1 Buchst. a DSGVO sind personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die einen der dort aufgezählten Gründe betreffende Bedingung erfüllt ist. Wie der Gerichtshof entschieden hat, handelt es sich um eine erschöpfende und abschließende Liste der Fälle, in denen eine solche Verarbeitung als rechtmäßig angesehen werden kann(24). Das vorlegende Gericht möchte im Wesentlichen wissen, ob Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO es einer privaten Wirtschaftsauskunftei gestattet, personenbezogene Daten aus öffentlichen Registern zu speichern, um diese Daten einem Kunden bei einer Anfrage zur Verfügung zu stellen.

60.      Nach der Rechtsprechung des Gerichtshofs(25) ist nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Zwar ist es Sache des vorlegenden Gerichts, zu beurteilen, ob diese Voraussetzungen erfüllt sind, doch muss der Gerichtshof es bei dieser Beurteilung leiten und die aufgeworfenen Rechtsfragen klären.

1)      Das Bestehen eines „berechtigten Interesses“

61.      Was zunächst die Wahrnehmung eines berechtigten Interesses betrifft, weise ich darauf hin, dass die DSGVO und die Rechtsprechung ein breites Spektrum von Interessen anerkennen, die als berechtigt gelten(26), wobei ich darauf hinweise, dass es gemäß Art. 13 Abs. 1 Buchst. c DSGVO dem für die Verarbeitung Verantwortlichen obliegt, die im Rahmen von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung verfolgten berechtigten Interessen anzugeben.

62.      SCHUFA macht geltend, die in Rede stehende Datenverarbeitung diene der Wahrnehmung gewichtiger berechtigter Interessen. Insbesondere verarbeiteten die Kreditauskunfteien Daten, die zur Beurteilung der Bonität von Personen oder Unternehmen erforderlich seien, um sie ihren Vertragspartnern zur Verfügung stellen zu können. Dies schütze auch die wirtschaftlichen Interessen der Unternehmen, die kreditrelevante Verträge eingehen wollten. Außerdem bildeten die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft. Die Tätigkeit von Kreditauskunfteien helfe auch, Geschäftswünsche der Interessenten an kreditrelevanten Geschäften zu realisieren, da die Auskünfte eine schnelle und unbürokratische Prüfung ermöglichten.

63.      Meines Erachtens gibt es grundsätzlich keinen objektiven Grund, ein berechtigtes Interesse von SCHUFA, ihren Kunden die vorstehend beschriebene kommerzielle Dienstleistung zu erbringen, oder das Interesse der Kunden von SCHUFA, ihre Dienstleistungen in Anspruch zu nehmen, um die Zahlungsfähigkeit potenzieller Geschäftspartner in dem angegebenen Sinne zu beurteilen, in Zweifel zu ziehen. Zwar dient die Erbringung derartiger Dienstleistungen dazu, eine Vergütung zu erhalten, und stellt damit das Geschäftsmodell einer privaten Gesellschaft dar, doch reicht dieser Umstand allein nicht aus, um die Tatsache in Frage zu stellen, dass die erste in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO genannte Voraussetzung im vorliegenden Fall erfüllt ist.

64.      Hinzu kommt, dass das mit der fraglichen Dienstleistung verfolgte Ziel im Wesentlichen dem Ziel entspricht, das der Unionsgesetzgeber mit dem Erlass von Art. 24 der Verordnung 2015/848 verfolgt hat, der die Mitgliedstaaten verpflichtet, in ihrem Hoheitsgebiet ein oder mehrere Register zu errichten und zu unterhalten, um Informationen über Insolvenzerfahren bekannt zu machen. Wie sich aus dem 76. Erwägungsgrund dieser Verordnung ergibt, besteht das Ziel dieser öffentlichen Register darin, „eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten und die Eröffnung von Parallelverfahren zu verhindern“. Die von SCHUFA angebotene Dienstleistung scheint mir keinen anderen Zweck zu haben. Die Frage, ob die Parallelität der Systeme zu rechtlichen Konflikten führen kann, wird weiter unten geprüft. In diesem Stadium der Prüfung genügt die Feststellung, dass davon auszugehen ist, dass die Datenverarbeitung durch SCHUFA angesichts dieser Identität von Zielen einem berechtigten Interesse im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dient.

2)      Die „Erforderlichkeit“ der Verarbeitung zur Erreichung des berechtigten Interesses

65.      Was sodann die Voraussetzung der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, müssen sich nach der Rechtsprechung des Gerichtshofs die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken(27). Daher muss eine enge Verbindung zwischen der Verarbeitung und dem wahrgenommenen Interesse bestehen, wenn es keine den Schutz personenbezogener Daten weniger beeinträchtigenden alternativen Lösungen gibt, weil es nicht ausreicht, dass die Verarbeitung für den für die Verarbeitung Verantwortlichen lediglich von Nutzen ist.

66.      Im vorliegenden Fall müsste nachgewiesen werden, dass die Sammlung personenbezogener Daten über die Insolvenz aus öffentlichen Registern und ihre private Speicherung die einzige Möglichkeit für SCHUFA darstellen, ihren Kunden diese genauen Informationen zu gewerblichen Zwecken anzubieten. Es lässt sich nicht ausschließen, dass SCHUFA die Möglichkeit hat, die kommerzielle Dienstleistung anzubieten und Informationen über die Kreditwürdigkeit der Personen mittels anderer verfügbarer Daten zu erteilen. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob diese Möglichkeit es SCHUFA noch ermöglichen würde, ihren Kunden diese kommerzielle Dienstleistung in sachdienlicher Weise anzubieten.

67.      SCHUFA hält die Datenverarbeitung für erforderlich. Würde eine Kreditauskunftei auf eine konkrete Anfrage warten, bevor sie mit der Erhebung der Daten beginne, wäre eine zeitnahe Erteilung einer Auskunft unmöglich. Ob die Daten für eine gewisse Zeit (auch) öffentlich zugänglich seien, habe weder Einfluss auf die berechtigten Interessen der Kreditauskunfteien noch auf die Erforderlichkeit der Verarbeitung.

68.      Wäre die Speicherung personenbezogener Daten aus öffentlichen Registern nicht erforderlich, um SCHUFA zu gestatten, ihren Kunden ihre kommerziellen Dienstleistungen anzubieten, könnte diese Verarbeitung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtmäßig sein. Wenn dagegen die zweite Voraussetzung dieser Bestimmung erfüllt wäre, müsste das vorlegende Gericht noch die dritte und letzte kumulative Voraussetzung dieser Bestimmung prüfen.

3)      Abwägung der verschiedenen betroffenen Interessen

69.      Soweit es schließlich um die Abwägung zum einen der Interessen des für die Verarbeitung Verantwortlichen gegen zum anderen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person geht, ist es nach der Rechtsprechung des Gerichtshofs Sache des vorlegenden Gerichts, eine Abwägung zwischen den betroffenen Interessen vorzunehmen(28). In den Leitlinien der früheren Artikel-29-Datenschutzgruppe, jetzt „Europäischer Datenschutzausschuss“, dessen Aufgaben in Art. 70 DSGVO festgelegt sind, werden folgende Kriterien aufgezählt, die bei dieser Abwägung zu berücksichtigen sind: i) die Bewertung des berechtigten Interesses des für die Verarbeitung Verantwortlichen, ii) die Folgen für die betroffenen Personen, iii) das vorläufige Gleichgewicht und iv) die von dem für die Verarbeitung Verantwortlichen angewendeten zusätzlichen Schutzmaßnahmen zur Verhinderung unangemessener Folgen für die betroffenen Personen(29). Im Interesse einer eingehenden und logischen Analyse schlage ich vor, diese Kriterien auf die Ausgangsverfahren anzuwenden. Ein solcher Ansatz wird überdies zu einer kohärenteren Anwendung der DSGVO im Einklang mit den vom Unionsgesetzgeber verfolgten Zielen beitragen.

i)      Bewertung des „berechtigten Interesses“ des für die Verarbeitung Verantwortlichen

70.      Zum ersten Kriterium ist festzustellen, dass das Interesse sowohl von SCHUFA als auch von ihren Kunden rein wirtschaftlicher Natur ist. Private Gesellschaften speichern personenbezogene Daten, die aus öffentlichen Registern importiert werden, um ihren Kunden die Dienstleistung anzubieten, die darin besteht, Informationen über die Kreditwürdigkeit der betroffenen Person zu liefern, indem sie sich insbesondere dieser Daten bedienen. Wie ich bereits ausgeführt habe(30), scheint ein solches Interesse im Rahmen der vorliegenden Prüfung legitim zu sein.

ii)    Folgen der Verarbeitung für die betroffenen Personen

71.      In Bezug auf das zweite Kriterium, d. h. die Folgen der Verarbeitung für die betroffene Person, scheint die Löschungsfrist der maßgebliche Faktor zu sein. Je länger die Daten in Datenbanken privater Wirtschaftsauskunfteien gespeichert werden, desto größer sind die Folgen für die betroffene Person. Im vorliegenden Fall wurden die personenbezogenen Daten der Kläger der Ausgangsverfahren im öffentlichen Register verarbeitet, um „eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten und die Eröffnung von Parallelverfahren zu verhindern“, wie es der 76. Erwägungsgrund der Verordnung 2015/848 verlangt. Bei der Abwägung der verschiedenen Interessen ging der deutsche Gesetzgeber davon aus, dass der Zeitraum, in dem die Veröffentlichung von Daten über ein Insolvenzverfahren in solchen öffentlichen Registern zur Erreichung dieses Ziels erforderlich war, sechs Monate betrug. Die Speicherung der personenbezogenen Daten über diesen Zeitraum von sechs Monaten hinaus scheint daher a priori erhebliche negative Folgen für die betroffene Person zu haben.

72.      Aus der Rechtsprechung des Gerichtshofs ergibt sich, dass es andere Faktoren gibt, die im Rahmen der Prüfung zu berücksichtigen sind, nämlich die Zugangsmodalitäten der Datenbanken und die bestehenden Möglichkeiten für die Verbreitung der personenbezogenen Daten(31). Einfach gesagt, je leichter die Information für die Öffentlichkeit zugänglich ist, desto stärker ist der Eingriff in die Grundrechte der betroffenen Person. Dies gilt insbesondere dann, wenn die Zahl der Nutzer, die Zugang zu den Daten der betroffenen Person haben, hoch ist(32). Daher scheint es mir offensichtlich zu sein, dass, auch wenn die Daten bereits während dieser sechs Monate in öffentlichen Registern verfügbar sind, der Umstand, dass sie parallel in den Datenbanken privater Wirtschaftsauskunfteien gespeichert und verfügbar sind, eine zusätzliche Auswirkung auf das Privatleben des Einzelnen hat, die zu den negativen Folgen der Verfügbarkeit dieser Daten in öffentlichen Registern hinzukommt.

73.      Ein weiterer Faktor, der bei der Analyse zu berücksichtigen ist, ist die möglicherweise sensible Natur der in Rede stehenden Daten(33). Allgemein lässt sich sagen, dass die Folgen für die betroffene Person je nach Sensibilität der personenbezogenen Daten zunehmen. Insoweit ist darauf hinzuweisen, dass nach der Rechtsprechung des Gerichtshofs personenbezogene Daten über die Beitreibung von Forderungen tatsächlich sensible Daten für das Privatleben der betroffenen Person sind(34). Die Zugänglichmachung solcher Daten für eine grundsätzlich unbegrenzte Zahl von Nutzern ist daher als erheblicher Eingriff in die Grundrechte dieser Person anzusehen(35).

74.      Schließlich halte ich es für unerlässlich, auch den Zeitfaktor zu berücksichtigen. Selbst eine rechtmäßige Datenverarbeitung kann nämlich im Lauf der Zeit nicht mehr mit der DSGVO vereinbar sein, wenn diese Daten dem Zweck, für den sie ursprünglich erhoben wurden, nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Unter diesem Blickwinkel frage ich mich ernsthaft, wie die Speicherung personenbezogener Daten für eine Dauer von drei Jahren gerechtfertigt sein könnte, während der nationale Gesetzgeber der Ansicht ist, dass eine Speicherfrist von sechs Monaten, d. h. eine deutlich kürzere Dauer, weitgehend ausreicht, um den geschäftlichen Interessen der Wirtschaftsteilnehmer Rechnung zu tragen. SCHUFA ist nicht in der Lage gewesen, diese Frage klar und überzeugend zu beantworten(36), obwohl sie nach Art. 5 Abs. 2 DSGVO die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen muss(37).

iii) Vorläufiges Gleichgewicht

75.      Eine Würdigung aller in den vorstehenden Absätzen genannten Gesichtspunkte führt mich zu dem Ergebnis, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben wird, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext ist hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen(38). Die Kläger der Ausgangsverfahren und die Kommission haben in der mündlichen Verhandlung auch auf diesen Gesichtspunkt hingewiesen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht wurden.

iv)    Zusätzliche Schutzmaßnahmen

76.      Was schließlich die vom für die Verarbeitung Verantwortlichen gegebenenfalls angewendeten zusätzlichen Schutzmaßnahmen zur Verhinderung unangemessener Folgen für die betroffenen Personen anbelangt, enthalten der Vorlagebeschluss oder die Erklärungen von SCHUFA nichts, was solche Schutzmaßnahmen erkennen lässt.

4)      Zwischenergebnis

77.      Nach alledem bin ich der Ansicht, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtmäßig sein kann, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden sind.

78.      Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar sind, ist es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtmäßig ist.

b)      Zur Vereinbarkeit mit den Grundsätzen der Zweckbindung und der Datenminimierung (Art. 5 Abs. 1 Buchst. b und c DSGVO)

79.      Nach dem in Art. 5 Abs. 1 Buchst. b DSGVO niedergelegten Grundsatz der Zweckbindung muss sichergestellt werden, dass personenbezogene Daten, die für einen festgelegten Zweck erhoben werden, nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Im vorliegenden Fall wurden die Daten über die Insolvenz und die Restschuldbefreiung von Behörden in Erfüllung ihrer gesetzlichen Verpflichtungen verarbeitet.

80.      Für die Weiterverwendung der Daten durch ein privates Unternehmen muss jedoch im Hinblick auf die DSGVO anhand der in Art. 6 Abs. 4 dieser Verordnung festgelegten Kriterien geprüft werden, ob der verfolgte Zweck mit dem ursprünglichen Zweck vereinbar ist. Die Buchst. a, b und d dieser Bestimmung sind im vorliegenden Fall besonders relevant. Sie stellen folgende Kriterien auf: i) die Verbindung zwischen dem ursprünglichen Zweck und dem weiteren Zweck, ii) den Zusammenhang, in dem die Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, sowie iii) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person.

81.      Erstens scheint die Verbindung zwischen den Zwecken bereits deshalb schwach zu sein, weil der ursprüngliche Zweck gesetzlich vorgesehen ist, konkreter durch das Unionsrecht, das die Mitgliedstaaten verpflichtet, Register zu errichten und zu unterhalten(39), und weil der für die Verarbeitung Verantwortliche eine Behörde ist, die im Rahmen der ihr gesetzlich übertragenen Aufgaben tätig wird, während der weitere Zweck von einer privaten Einrichtung im Rahmen einer gewerblichen Tätigkeit verfolgt wird, die in der Bereitstellung wirtschaftlicher Informationen über Personen besteht.

82.      Zweitens ist zum Zusammenhang, in dem die Daten erhoben wurden, festzustellen, dass zwischen dem für die Verarbeitung Verantwortlichen und der betroffenen Person keine Verbindung besteht, da die Erhebung der Daten mittelbar über Register erfolgt und die betroffene Person daher weder davon Kenntnis hat, dass ihre Daten weiterverwendet werden können, noch von wem oder zu welchem Zweck. Dieser Aspekt erscheint mir unter dem Gesichtspunkt des Schutzes personenbezogener Daten besonders schwerwiegend, da in der Regel niemand vernünftigerweise mit einer Weiterverarbeitung seiner personenbezogenen Daten rechnen kann(40). Der Umstand, dass das Gesetz eine bestimmte Dauer für die Speicherung der Daten in öffentlichen Registern vorschreibt, lässt bei vernünftiger Betrachtung den Schluss zu, dass die fraglichen Daten nach Ablauf dieses Zeitraums gelöscht werden.

83.      Drittens ist im Hinblick auf mögliche Folgen, die die Weiterverarbeitung der Daten für die betroffenen Personen haben kann, darauf hinzuweisen, dass die Informationen über Insolvenzverfahren bei einer zukünftigen Beurteilung der Bonität und der Zahlungsfähigkeit der betreffenden natürlichen Person immer als negativer Faktor herangezogen werden, was erhebliche Auswirkungen auf die Rechte dieser Person hat. Ein falsches Bild ihrer wirtschaftlichen Situation kann nachteilige Auswirkungen auf die betroffene Person haben, indem es die Ausübung ihrer Freiheiten spürbar erschwert oder sie sogar in der Gesellschaft stigmatisiert. Soweit die betroffene Person mit der Verweigerung von Waren und Dienstleistungen konfrontiert sein kann, kann sie Opfer einer ungerechtfertigten Diskriminierung werden.

84.      Im Hinblick auf diese drei Kriterien, die erfüllt sein müssen, damit die Verwendung personenbezogener Daten dem ursprünglichen Zweck entspricht, wie es Art. 6 Abs. 4 DSGVO verlangt, erscheint es zweifelhaft, dass die weitere Nutzung dieser Daten diesem Zweck entsprechen kann.

85.      Außerdem ist festzustellen, dass der nationale Gesetzgeber durch die Festlegung einer Höchstfrist von sechs Monaten, innerhalb derer die Insolvenz und die gerichtliche Entscheidung über die Restschuldbefreiung veröffentlicht werden, wenn die rechtlichen Voraussetzungen gegeben sind, bereits der Befriedigung des öffentlichen Interesses Rechnung getragen und eine Abwägung zwischen dem Interesse der Gläubiger und den Interessen und Rechten der insolventen Personen vorgenommen hat(41). Die Verarbeitung personenbezogener Daten durch private Unternehmen über einen Zeitraum, der sechsmal länger ist als der gesetzlich vorgesehene Zeitraum für die öffentlichen Register, erscheint überzogen und stellt für die betroffene Person de facto eine Strafmaßnahme dar, die das Gesetz eindeutig nicht vorsieht. Wie ich bereits ausgeführt habe, soll nämlich die gewährte Restschuldbefreiung dem Begünstigten gestatten, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden sind(42). Mangels Beweises des Gegenteils ist zu befürchten, dass die Voraussetzungen für den Zugang zur Datenbank möglicherweise in der Absicht geschaffen wurden, die nationalen Rechtsvorschriften zu umgehen, die der Mitgliedstaat erlassen hat, um seine unionsrechtlichen Verpflichtungen zu erfüllen(43).

86.      Im Übrigen erscheint es unverhältnismäßig, eine vergangene und bereits rechtlich geklärte Situation wie die Restschuldbefreiung in künftigen Bewertungen „wieder zu verwenden“, statt zum Zeitpunkt der Risikoanalyse aktualisierte Faktoren heranzuziehen, um eine genauere und objektive Beurteilung der wirtschaftlichen Situation der betroffenen Person zu gewährleisten. Man kann sich nämlich fragen, welchen Wert eine Information über die wirtschaftliche Situation einer Person hat, die mehrere Jahre alt ist. Personenbezogene Daten im Zusammenhang mit einem Umstand, der eine gewisse Zeit zurückliegt, werden kaum zuverlässige Informationen über die aktuelle wirtschaftliche Situation der betroffenen Person liefern. Der deutsche Gesetzgeber scheint dieses Problem anerkannt und die richtigen Schlussfolgerungen gezogen zu haben, indem er sich für eine wesentlich kürzere Speicherung der Daten entschieden hat.

87.      Schließlich scheint mir die Vorgehensweise der Wirtschaftsauskunfteien gegen den in Art. 5 Abs. 1 Buchst. c DSGVO verankerten Grundsatz der Datenminimierung zu verstoßen, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Insoweit stellt sich tatsächlich die Frage, welchen Sinn es hat, personenbezogene Daten zur Verfügung zu stellen, die bereits in den von den Mitgliedstaaten errichteten Registern öffentlich zugänglich sind. Eine solche Tätigkeit scheint mir vielmehr zu einer Verbreitung sensibler Informationen führen zu können, die nicht zwingend erforderlich ist, um den geschäftlichen Interessen der Wirtschaftsteilnehmer zu entsprechen(44).

88.      Aus den oben dargelegten Gründen bin ich der Ansicht, dass die Speicherung dieser Daten durch eine private Wirtschaftsauskunftei keine Praxis darstellt, die mit den in Art. 5 Abs. 1 Buchst. b und c DSGVO verankerten Grundsätzen der Zweckbindung und der Datenminimierung im Einklang steht.

c)      Zwischenergebnis

89.      Die vorstehende Analyse führt mich zu dem Ergebnis, dass die Praxis der Wirtschaftsauskunfteien, personenbezogene Daten aus öffentlichen Registern für die Dauer von drei Jahren zu speichern, mit den in der DSGVO verankerten Grundsätzen für die Verarbeitung personenbezogener Daten nicht in Einklang steht. Dies vorausgeschickt, ist klarzustellen, dass sich diese Schlussfolgerung auf eine Tatsachenwürdigung stützt, die letztlich Sache des vorlegenden Gerichts ist, das den Rechtsstreit zu entscheiden hat.

2.      Zur Geltendmachung des Rechts auf Löschung (Art. 17 Abs. 1 DSGVO)

90.      Das vorlegende Gericht möchte auch wissen, ob das in Art. 17 DSGVO verankerte „Recht auf Vergessenwerden“ impliziert, dass die personenbezogenen Daten aus den Datenbanken einer privaten Wirtschaftsauskunftei gelöscht werden, die parallel zu den öffentlichen Registern bestehen und dieselben Daten enthalten. Das vorlegende Gericht unterscheidet zwischen dem Zeitraum, in dem die personenbezogenen Daten auch im öffentlichen Register verfügbar sind, und dem Zeitraum, in dem diese Daten dort nicht mehr verfügbar sind.

91.      Art. 17 Abs. 1 Buchst. d DSGVO sieht das absolute Recht der betroffenen Person vor, dass ihre personenbezogenen Daten gelöscht werden, wenn sie unrechtmäßig verarbeitet worden sind(45). Sollte das vorlegende Gericht unter Berücksichtigung des Ergebnisses, zu dem ich im Rahmen meiner Würdigung gelangt bin(46), der Auffassung sein, dass SCHUFA die personenbezogenen Daten der Kläger nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtmäßig verarbeiten konnte, wäre eine solche Verarbeitung folglich rechtswidrig, wenn kein anderer in Art. 6 Abs. 1 DSGVO genannter Grund anwendbar wäre. In einem solchen Fall wäre SCHUFA verpflichtet, die personenbezogenen Daten der Kläger zu löschen, und diese hätten ein entsprechendes Recht, und zwar unabhängig davon, ob diese beantragt hätten, die Daten im Zeitraum vor oder nach Löschung dieser Daten aus dem öffentlichen Register zu löschen. Ein solches Ergebnis scheint auch mit den Anforderungen von Art. 5 Abs. 1 Buchst. e DSGVO vereinbar zu sein, wonach personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Hervorhebung nur hier).

92.      Insoweit möchte ich auf Art. 79 Abs. 5 der Verordnung 2015/848 hinweisen, der die Bedeutung hervorhebt, die der Unionsgesetzgeber dem Recht auf Löschung beigemessen hat, insbesondere wenn die Behörden personenbezogene Daten verarbeiten, die eine besondere Sensibilität aufweisen, wie die Daten im Zusammenhang mit der Zahlungsfähigkeit der betroffenen Personen. Nach dieser Bestimmung „[teilen die Mitgliedstaaten a]ls Teil der Information, die betroffene Personen erhalten, um ihre Rechte und insbesondere das Recht auf Löschung von Daten wahrnehmen zu können, … betroffenen Personen mit, für welchen Zeitraum ihre in Insolvenzregistern gespeicherten personenbezogenen Daten zugänglich sind“ (Hervorhebung nur hier). Der Unionsgesetzgeber hat offenkundig die Notwendigkeit anerkannt, diese Art von Daten zu löschen, wenn ihre Speicherung nicht mehr gerechtfertigt ist.

93.      Obwohl sich die Vorabentscheidungsersuchen nur auf die Auslegung von Art. 17 Abs. 1 Buchst. d DSGVO beziehen, bin ich der Ansicht, dass auch Art. 17 Abs. 1 Buchst. c für das in den vorliegenden Rechtssachen zu erlassende Urteil relevant sein kann, nämlich für den Fall, dass das vorlegende Gericht entgegen der Schlussfolgerung, zu der ich auf der Grundlage der verfügbaren Informationen gelangt bin, davon ausgehen sollte, dass SCHUFA die personenbezogenen Daten der Kläger nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtmäßig verarbeiten konnte. Diese Bestimmung sieht das Recht auf Löschung personenbezogener Daten vor, wenn die betroffene Person gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Diese Formulierung impliziert, dass jeder „vorrangige berechtigte Grund für die Verarbeitung“ eine Ausnahme vom Recht der betroffenen Person darstellt, Widerspruch gegen die Verarbeitung einzulegen und die Löschung ihrer personenbezogenen Daten zu erwirken. Folglich wird vermutet, dass die betroffene Person über ein Recht verfügt, Widerspruch gegen die Verarbeitung einzulegen, und über ein Recht auf Löschung verfügt, es sei denn, es liegen vorrangige berechtigte Gründe vor(47).

94.      Ich bin der Ansicht, dass es im Interesse eines wirksamen Schutzes personenbezogener Daten keine erheblichen Hindernisse für die Ausübung des Rechts auf Löschung geben sollte, insbesondere wenn es auf dem Markt mehrere Wirtschaftsauskunfteien gibt, die Daten parallel zum öffentlichen Register speichern. Sollte die Ausübung dieses Rechts durch eine enge Auslegung von Art. 17 Abs. 1 DSGVO übermäßig erschwert werden, so bestünde die Gefahr, dass der Schutz, den die DSGVO bieten soll, von Wettbewerbern umgangen wird. Es ist jedoch darauf hinzuweisen, dass der Unionsgesetzgeber das Ziel verfolgt hat, dass „[d]ie Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten … unionsweit gleichmäßig und einheitlich angewandt werden [sollten]“ (Hervorhebung nur hier), wie sich aus dem zehnten Erwägungsgrund der DSGVO ergibt. Daher muss die betroffene Person in der Lage sein, ihre Rechte gegenüber allen Unternehmen geltend zu machen, die gegen diese Regeln verstoßen. Da SCHUFA nur eine der zahlreichen großen Wirtschaftsauskunfteien in Deutschland ist, wird festgestellt werden müssen, ob die Speicherung der personenbezogenen Daten parallel zum öffentlichen Register eine verbreitete Praxis unter diesen Unternehmen darstellt.

95.      In diesem Stadium der Prüfung ist daher festzuhalten, dass sich die Kläger grundsätzlich auf ein Recht auf Löschung nach Art. 17 Abs. 1 DSGVO berufen können. Das Ergebnis wäre nur dann anders, wenn eine private Wirtschaftsauskunftei im Sinne von Art. 21 Abs. 1 DSGVO „zwingende schutzwürdige Gründe für die Verarbeitung nachweisen [kann], die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen“. Da die verfügbaren Informationen es nicht erlauben, die zwingenden Gründe, die im Ausgangsrechtsstreit möglicherweise vorliegen, erkennen zu lassen, ist es Sache des vorlegenden Gerichts, den Sachverhalt festzustellen und gegebenenfalls eine Abwägung der betroffenen Interessen vorzunehmen.

96.      Nach alledem ist Art. 17 Abs. 1 Buchst. d DSGVO dahin auszulegen, dass die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn diese Daten gemäß Art. 6 Abs. 1 DSGVO unrechtmäßig verarbeitet worden sind. Art. 17 Abs. 1 Buchst. c DSGVO ist dahin auszulegen, dass die betroffene Person grundsätzlich das Recht hat, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn sie gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gibt.

3.      Zum Rückgriff auf Verhaltensregeln im Sinne von Art. 40 DSGVO, um Prüf- und Löschfristen vorzusehen, die über die Speicherfristen öffentlicher Register hinausgehen

97.      Das vorlegende Gericht möchte auch wissen, ob es mit dem Unionsrecht vereinbar ist, in Verhaltensregeln im Sinne von Art. 40 DSGVO Prüf- und Löschfristen vorzusehen, die über die Speicherfristen öffentlicher Register hinausgehen, ohne dass es erforderlich wäre, die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorgegebene Abwägung vorzunehmen.

98.      Insoweit ist zunächst darauf hinzuweisen, dass es dem vorlegenden Gericht zufolge derzeit keine nationale Regelung gibt, mit der eine Löschfrist für die Datenbanken von Wirtschaftsauskunfteien festgelegt wird. Es scheint jedoch, dass die Beteiligten die von den Aufsichtsbehörden gemeinsam mit dem Verband der Wirtschaftsauskunfteien geschlossenen Verhaltensregeln als eine Art „Rechtsgrundlage“ verstehen, die geeignet ist, die oben beschriebene Praxis zu rechtfertigen. Eine solche Auffassung erscheint mir aus den folgenden Gründen rechtlich zu beanstanden zu sein.

99.      Rechtlich stellen solche Verhaltensregeln nur eine freiwillige Verpflichtung derjenigen dar, die sie ausgearbeitet und angenommen haben, d. h. des genannten Verbands und seiner Mitglieder. Ebenso bedeutet der Umstand, dass die Verhaltensregeln von einer Aufsichtsbehörde genehmigt wurden, nur, dass diese als Verwaltungsbehörde sich an diese Verhaltensregeln gebunden ansieht. Es scheint mir jedoch offensichtlich, dass sie nach dem Rechtsgrundsatz pacta tertiis nec nocent nec prosunt gegenüber Dritten keine Bindungswirkung haben. Andernfalls wären nicht nur die natürlichen Personen betroffen, deren Daten verarbeitet würden, sondern auch die Unternehmen, die an der Ausarbeitung solcher Verhaltensregeln nicht mitgewirkt hätten.

100. Definitionsgemäß haben Verhaltensregeln in einer Rechtsordnung keine normative Bedeutung, sondern sollen vielmehr die Bestimmungen einer Rechtsnorm präzisieren, um deren Anwendung zu erleichtern. Diese Auslegung wird durch Art. 40 Abs. 1 und 2 DSGVO gestützt, aus dem hervorgeht, dass die Verhaltensregeln, die die Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, ausarbeiten können, zum einen „zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen“ und zum anderen „mit [ih]nen die Anwendung dieser Verordnung … präzisiert wird“ (Hervorhebung nur hier). Da sich die Funktion der in Rede stehenden Verhaltensregeln darauf beschränkt, die ordnungsgemäße Anwendung der DSGVO in einem bestimmten Sektor sicherzustellen, können sie daher für sich genommen nicht die Rechtsgrundlage darstellen, die eine Verarbeitung personenbezogener Daten rechtfertigt(48).

101. Die Rechtsgrundlage für eine solche Verarbeitung kann sich nur in Art. 6 DSGVO oder, wenn eine anwendbare Öffnungsklausel besteht, im nationalen Recht finden. Ich habe in den vorliegenden Schlussanträgen bereits dargelegt, dass Art. 6 DSGVO eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann(49). Folglich könnten die Bestimmungen der Verhaltensregeln nicht zur Erweiterung dieser Liste führen, ohne zugleich gegen das Unionsrecht zu verstoßen.

102. Genau dies ist meines Erachtens der Fall, wenn, wie im vorliegenden Fall, diese Regeln den Wirtschaftsauskunfteien die Verpflichtung auferlegen, die Daten der betroffenen Personen für die Dauer von drei Jahren zu speichern, d. h. für einen längeren Zeitraum, der nach den in der DSGVO verankerten Grundsätzen für die Verarbeitung personenbezogener Daten nicht gerechtfertigt werden kann. Insbesondere kann, wie ich im Rahmen meiner Analyse gezeigt habe, die Speicherung dieser Daten auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO für den Zeitraum nach der Löschung der personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern nicht als rechtmäßig angesehen werden(50).

103. In diesem Stadium der Prüfung ist daher festzustellen, dass Verhaltensregeln, die zu einem anderen Ergebnis führen würden als demjenigen, das nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO erzielt worden wäre, bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden könnten. Als „Verantwortliche[r]“ im Sinne von Art. 4 Nr. 7 DSGVO können Wirtschaftsauskunfteien sich nicht hinter den Bestimmungen der Verhaltensregeln verschanzen, die sie selbst aufgestellt haben, um sich wirksam von ihren Verpflichtungen aus der DSGVO zu befreien.

104. Nach alledem bin ich der Ansicht, dass Art. 40 Abs. 2 und 5 DSGVO dahin auszulegen ist, dass Verhaltensregeln, die gemäß diesen Bestimmungen ausgearbeitet und gegebenenfalls von der Aufsichtsbehörde genehmigt werden, die Bedingungen für eine rechtmäßige Verarbeitung personenbezogener Daten, die von den in Art. 6 Abs. 1 DSGVO festgelegten Bedingungen abweichen, nicht rechtlich verbindlich festlegen können.

VI.    Ergebnis

105. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

1.      Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

sich aus dieser Bestimmung ergibt, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache unterliegt.

2.      Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung 2016/679

ist dahin auszulegen, dass

er einer Speicherung personenbezogener Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ im Sinne von Art. 79 Abs. 4 und 5 der Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Insolvenzverfahren, durch eine private Wirtschaftsauskunftei über einen Zeitraum, der über denjenigen hinausgeht, in dem die Daten im öffentlichen Register gespeichert werden, entgegensteht. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob die Speicherung der Daten während des für das öffentliche Register zulässigen Zeitraums die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung 2016/679 erfüllt.

3.      Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679

ist dahin auszulegen, dass

die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn diese Daten gemäß Art. 6 Abs. 1 dieser Verordnung unrechtmäßig verarbeitet worden sind.

Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679

ist dahin auszulegen, dass

die betroffene Person grundsätzlich das Recht hat, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gibt.

4.      Art. 40 Abs. 2 und 5 der Verordnung 2016/679

ist dahin auszulegen, dass

Verhaltensregeln, die gemäß diesen Bestimmungen ausgearbeitet und gegebenenfalls von der Aufsichtsbehörde genehmigt werden, die Bedingungen für eine rechtmäßige Verarbeitung personenbezogener Daten, die von den in Art. 6 Abs. 1 dieser Verordnung festgelegten Bedingungen abweichen, nicht rechtlich verbindlich festlegen können.

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---