–

UZ, genom J. Leuschner, Rechtsanwalt,

–

Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud,

–

Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

–

Frankrikes regering, av A.-L. Desjonquères och J. Illouz, båda i egenskap av ombud,

–

Österrikes regering, av A. Posch, M.-T. Rappersberger och J. Schmoll, samtliga i egenskap av ombud,

–

Polens regering, av B. Majczyna, i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 5, artikel 17.1 d, artikel 18.1 b, artikel 26 och artikel 30 i Europaparlamentets och rådets 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad GDPR).

2

Begäran har framställts i ett mål mellan tredjelandsmedborgaren UZ och Bundesrepublik Deutschland (Förbundsrepubliken Tyskland), företrädd av Bundesamt für Migration und Flüchtlinge (Federala migrations- och flyktingmyndigheten, Tyskland) (nedan kallad Bundesamt), angående handläggningen av UZ:s ansökan om internationellt skydd.

3

Skäl 52 i Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (omarbetning) (EUT L 180, 2013, s. 60), har följande lydelse:

”Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [EGT L 281, 1995, s. 31] reglerar den behandling av personuppgifter som utförs i medlemsstaterna i enlighet med det här direktivet.”

4

Skälen 1, 10, 40, 74, 79 och 82 i GDPR har följande lydelse:

…

…

…

…

…

5

Kapitel I i GDPR har rubriken ”Allmänna bestämmelser” och innehåller artiklarna 1–4.

6

Artikel 1 i förordningen, med rubriken ”Syfte”, har följande lydelse:

”1.   I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.   Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

…”

7

I artikel 4 i förordningen, med rubriken ”Definitioner”, anges följande i leden 2, 7 och 21:

…

…

…”

8

Kapitel II GDPR har rubriken ”Principer” och innehåller artiklarna 5–11.

9

I artikel 5 i förordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

10

Artikel 6 i förordningen har rubriken ”Laglig behandling av personuppgifter”. I artikel 6.1 föreskrivs följande:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.”

11

Artikel 7 i GDPR avser villkoren för samtycke, medan artikel 8 i förordningen avser villkoren vad gäller barns samtycke avseende informationssamhällets tjänster.

12

Artikel 9 i förordningen har rubriken ”Behandling av särskilda kategorier av personuppgifter”. Enligt den artikeln är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

13

Artikel 10 i GDPR, med rubriken ”Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”, avser behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i förordningen.

14

Kapitel III i GDPR har rubriken ”Den registrerades rättigheter”. Det kapitlet innehåller artiklarna 12–23.

15

Artikel 17 i förordningen, med rubriken ”Rätt till radering ('rätten att bli bortglömd')”, har följande lydelse:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

…

…

3.   Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

…

…

16

Artikel 18 i GDPR, med rubriken ”Rätt till begränsning av behandling”, har följande lydelse:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

…

…

2.   Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

…”

17

Kapitel IV i GDPR, med rubriken ”Personuppgiftsansvarig och personuppgiftsbiträde”, innehåller artiklarna 24–43.

18

Avsnitt 1 i detta kapital har rubriken ”Allmänna skyldigheter”. Artikel 26, med rubriken ”Gemensamt personuppgiftsansvariga” ingår i detta avsnitt och har följande lydelse:

”1.   ”Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.   Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.   Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på var och en av de personuppgiftsansvariga.”

19

I artikel 30 i förordningen, med rubriken ”Register över behandling”, föreskrivs följande:

”1.   Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

…

4.   På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

…”

20

Artikel 58 i GDPR har rubriken ”Befogenheter” och ingår i kapitel VI samma förordning med rubriken ”Oberoende tillsynsmyndigheter”. I artikel 58.2 föreskrivs följande:

”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

21

Kapitel VIII i förordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, innehåller artiklarna 77–84.

22

Artikel 77 i förordningen har rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”. I artikel 71.1 föreskrivs följande:

”Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.”

23

Artikel 82 i GDPR har rubriken ”Ansvar och rätt till ersättning”. I artikel 82.1 och 92.2. föreskrivs följande i punkterna 1 och 2:

”1.   Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.   Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.”

24

Artikel 83 i förordningen har rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”. I artikel 83.4, 83.5 och 83.7 föreskrivs följande:

”4.   Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10000000 [euro] eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

…

5.   Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20000000 [euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

…

7.   Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.”

25

Artikel 94 i GDPR har rubriken ”Upphävande av direktiv 95/46/EG” och ingår kapitel XI i förordningen, med rubriken ”Slutbestämmelser”. I den artikeln föreskrivs följande:

”1.   Direktiv 95/46/EG upphöra att gälla med verkan från och med den 25 maj 2018.

2.   Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.”

26

§ 43 Bundesdatenschutzgesetz (federal dataskyddslagen) av den 20 december 1990 (BGBl. 1990 I, s. 2954), i den lydelse som är tillämplig i det nationella målet (nedan kallad BDSG), har rubriken ”Bestämmelser om administrativa sanktionsavgifter”. I § 43 stycke 3 BDSG föreskrivs följande:

”Administrativa sanktionsavgifter får inte åläggas myndigheter eller andra offentliga organ i den mening som avses i § 2 stycke 1 [BDSG].””

27

Den 7 maj 2019 lämnade klaganden i det nationella målet in en ansökan om internationellt skydd till Bundesamt som avslog ansökan.

28

När Bundesamt fattade sitt avslagsbeslut (nedan kallat det omtvistade beslutet) grundade sig myndigheten på den digitala ”MARIS”-akten. Denna akt hade upprättats av Bundesamt och innehåller personuppgifter avseende klaganden.

29

Klaganden överklagade det omtvistade beslutet till Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), som är hänskjutande domstol i förevarande mål. Den digitala ”MARIS”-akten överfördes då till den domstolen inom ramen för ett gemensamt förfarande enligt artikel 26 i GDPR. Överföringen skedde via den digitala domstols- och myndighetsbrevlådan Elektronisches Gerichts- und Verwaltungspostfach, vilken hanteras av ett offentligt organ som ingår i den verkställande makten.

30

Den hänskjutande domstolen har påpekat att det framgår av skäl 52 i direktiv 2013/32 att medlemsstaternas behandling av personuppgifter inom ramen för förfaranden för beviljande av internationellt skydd regleras av GDPR.

31

Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) hyser emellertid tvivel huruvida den digitala akt som upprättats av Bundesamt och överföringen av denna akt genom den digitala domstols- och myndighetsbrevlådan är förenliga med GDPR.

32

För det första, vad gäller förandet av den digitala akten är det enligt Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) inte visat att Bundesamt följer artikel 5.1 i GDPR, jämförd med artikel 30 i samma förordning. Bundesamt har inte, trots att den hänskjutande domstolen gjort en framställan härom, inkommit med något komplett register över behandling avseende akten. Ett sådant register borde ha upprättats vid den tidpunkt då personuppgifter avseende klaganden i det nationella målet behandlades, det vill säga den dag då han lämnade in sin ansökan om internationellt skydd. Bundesamt kommer att höras om sitt ansvar enligt artikel 5.2 i GDPR, efter det att EU-domstolen avgjort förevarande begäran om förhandsavgörande.

33

För det andra, vad gäller överföringen av den digitala akten via den digitala domstols- och myndighetsbrevlådan utgör denna överföring enligt Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) en ”behandling” av uppgifter, i den mening som avses i artikel 4 led 2 i GDPR, som måste vara förenlig med de principer som anges i artikel 5 i förordningen. I strid med artikel 26 i GDPR regleras inte detta förfarande för överföring mellan förvaltningsmyndigheter och domstolar av några nationella bestämmelser i vilka de gemensamt ansvariga för behandlingens respektive ansvar anges och något arrangemang med denna innebörd har inte lagts fram av Bundesamt, trots att den hänskjutande domstolen meddelat ett föreläggande härom. Den hänskjutande domstolen frågar sig därför huruvida överföringen av personuppgifter via den digitala domstols- och myndighetsbrevlådan är laglig.

34

Enligt den hänskjutande domstolen måste det i synnerhet fastställas huruvida åsidosättandet av skyldigheterna enligt artiklarna 5, 26 och 30 i GDPR, av vilket det följer att behandlingen av personuppgifter är olaglig, ska beivras genom att uppgifterna i enlighet med artikel 17.1 d i GDPR raderas eller genom en begränsning av behandlingen i enlighet med artikel 18.1 b i GDPR. Sådana sanktioner bör åtminstone övervägas om den berörda personen begär det. I annat fall skulle den hänskjutande domstolen bli tvungen att delta i en olaglig behandling av personuppgifter i samband med domstolsprocessen. I ett sådant fall är det endast tillsynsmyndigheten som, med stöd av artikel 58 i GDPR, kan ingripa genom att ålägga de berörda myndigheterna en administrativ sanktionsavgift enligt artikel 83.5 a i samma förordning. Artikel 83.7 i GDPR genomförs i nationell rätt genom § 43 stycke 3 BDSG. Enligt sistnämnda bestämmelse går det emellertid inte att på nationell nivå ålägga myndigheter eller andra offentliga organ någon administrativ sanktionsavgift. Härav följer att varken direktiv 2013/32 eller GDPR iakttas.

35

Den hänskjutande domstolen anser dessutom att den behandling av personuppgifter som är aktuell i det nationella målet inte omfattas av artikel 17.3 e i GDPR, enligt vilken det är tillåtet att använda personuppgifter för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. I förevarande fall skulle personuppgifterna visserligen användas av Bundesamt för att i enlighet med artikel 17.3 b i GDPR uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Om denna bestämmelse tillämpades skulle detta emellertid innebära att en praxis som strider mot dataskyddslagstiftningen legaliserades varaktigt.

36

Den hänskjutande domstolen vill därför få klarhet i vilken utsträckning den, inom ramen för sin dömande verksamhet, får beakta personuppgifter som tillhandahållits inom ramen för ett sådant förfarande som omfattas av den verkställande makten. Om upprättandet av den digitala akten eller översändandet av denna via den digitala domstols- och myndighetsbrevlådan skulle kvalificeras som olaglig behandling enligt GDPR, skulle detta innebära att den hänskjutande domstolen, genom att sålunda beakta dessa uppgifter, blev delaktig i den aktuella olagliga behandlingen. Detta skulle strida mot det mål som eftersträvas med GDPR, vilket är att värna fysiska personer friheter och grundläggande rättigheter och synnerhet deras rätt till skydd av personuppgifter.

37

Den hänskjutande domstolen frågar sig i detta sammanhang dessutom huruvida den omständigheten att den registrerade har gett sitt uttryckliga samtycke eller har motsatt sig att vederbörandes personuppgifter använts i ett domstolsförfarande, kan påverka möjligheten att beakta uppgifterna. För det fall den hänskjutande domstolen, på grund av att förandet respektive överföringen av den digitala MARIS-akten är olagliga, inte skulle kunna beakta personuppgifter i den akten, saknas det rättslig grund – i avvaktan på att brister avseende lagenligheten avhjälps – för att fatta ett beslut om klaganden i det nationella målets ansökan om flyktingstatus. Som en följd härav skulle den hänskjutande bli tvungen att ogiltigförklara det omtvistade beslutet.

38

Mot denna bakgrund beslutade Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) att vilandeförklara målet och att ställa följande tolkningsfrågor till EU-domstolen:

39

Den tyska regeringen har, utan att formellt framställa någon invändning om rättegångshinder, uttryckt tvivel om tolkningsfrågornas relevans för utgången i det nationella målet. För det första framgår det enligt den tyska regeringen av beslutet om hänskjutande att det inte är slutligt utrett huruvida Bundesamt åsidosatt artikel 5.2 i GDPR. Detta är endast något som den hänskjutande domstolen utgår ifrån. Om det antas att det inte är tillåtet för den hänskjutande domstolen att använda Bundesamts akter, har den domstolen inte anfört att dessa akter är de enda som är avgörande för att kunna avsluta det nationella målet. Den hänskjutande domstolen har nämligen tillgång till andra informationskällor, vilka i enlighet med officialprincipen ska utnyttjas fullt ut när en myndighet inte lägger fram akter eller lägger fram ofullständiga akter. Slutligen är den tredje frågan uppenbart hypotetisk, eftersom det inte framgår av beslutet om hänskjutande att klaganden i det nationella målet har samtyckt till eller skulle samtycka till att den hänskjutande domstolen behandlar hans personuppgifter.

40

Enligt EU-domstolens fasta praxis presumeras frågor som rör unionsrätten vara relevanta. En tolkningsfråga från en nationell domstol får bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet, då EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den eller då frågorna är hypotetiska. I ett förfarande enligt artikel 267 FEUF, som vilar på en tydlig funktionsfördelning mellan de nationella domstolarna och EU-domstolen, är det dessutom den nationella domstolen som är ensam behörig att fastställa och bedöma omständigheterna i målet (se, bland annat, dom av den 24 mars 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punkterna 20 och 21 och där angiven rättspraxis).

41

Det framgår tydligt av artikel 267 andra stycket FEUF att det, inom ramen för det nära samarbetet mellan de nationella domstolarna och EU-domstolen, grundat på en funktionsfördelning dem emellan, ankommer på den hänskjutande domstolen att avgöra i vilket skede av förfarandet som en tolkningsfråga ska hänskjutas till EU-domstolen (dom av den 17 juli 2008, Coleman, C‑303/06, EU:C:2008:415, punkt 29 och där angiven rättspraxis).

42

Domstolen har i detta avseende redan slagit fast att den omständigheten att sakfrågor ännu inte har varit föremål för kontradiktoriskt bevisupptagning inte i sig innebär att en tolkningsfråga inte kan tas upp till prövning (se, för ett liknande resonemang, dom av den 11 september 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, punkt 19 och där angiven rättspraxis).

43

I förevarande fall framgår det visserligen av begäran om förhandsavgörande att den hänskjutande domstolen inte slutligt har avgjort frågan huruvida Bundesamt har åsidosatt sina skyldigheter enligt artikel 5.2 i GDPR, jämförda med artiklarna 26 och 30 i samma förordning, och att denna fråga enligt uppgifterna i nämnda begäran alltjämt ska bli föremål för ett kontradiktoriskt förfarande. Det förhåller sig dock så, att den hänskjutande domstolen konstaterat att Bundesamt, trots att myndigheten förelagts att göra detta, varken har lagt fram arrangemanget avseende gemensam behandling av personuppgifter eller registret över behandlingar, som regleras i de båda sistnämnda bestämmelserna.

44

Den hänskjutande domstolen är ensam behörig att utreda och bedöma de faktiska omständigheterna och det framgår av beslutet om hänskjutande att det uteslutande är den digitala akt som upprättats av Bundesamt som legat till grund för det omtvistade beslutet. Förandet och översändandet av denna akt kan strida mot reglerna i GDPR och det omtvistade beslutet kan därför komma att behöva ogiltigförklaras på denna grund.

45

Vad slutligen gäller klagandens samtycke till att hans personuppgifter används i domstolsförfarandet, räcker det att påpeka att den tredje tolkningsfrågan just syftar till att fastställa huruvida det i förevarande fall är nödvändigt att lämna ett sådant samtycke för att det ska vara tillåtet för den hänskjutande domstolen att beakta dessa uppgifter.

46

Mot denna bakgrund och då det således till EU-domstolen framställts en begäran om tolkning av unionsrätten som inte uppenbart saknar samband med de verkliga omständigheter eller med saken i det nationella målet och eftersom EU-domstolen förfogar över de uppgifter som den behöver för att på ett ändamålsenligt sätt kunna besvara de frågor som ställts med avseende på GDPR:s betydelse för det nationella målet, måste den besvara begäran utan att själv ta ställning till giltigheten av den presumtion angående de faktiska omständigheterna som den hänskjutande domstolen grundat sig på och som det ankommer den domstolen att senare kontrollera, om detta visar sig nödvändigt (se, analogt, dom av den 17 juli 2008, Coleman, C‑303/06, EU:C:2008:415, punkt 31 och där angiven rättspraxis).

47

EU-domstolen finner följaktligen att förevarande begäran om förhandsavgörande kan tas upp till prövning och att de frågor som ställts av den hänskjutande domstolen ska besvaras. Det ankommer emellertid på den hänskjutande domstolen att pröva huruvida Bundesamt har åsidosatt skyldigheterna i artiklarna 26 och 30 i GDPR.

48

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 17.1 d och artikel 18.1 b i GDPR ska tolkas så, att den personuppgiftsansvariges åsidosättande av skyldigheterna i artiklarna 26 och 30 i den förordningen avseende ingåendet av ett arrangemang för att fastställa det gemensamma ansvaret för behandlingen av personuppgifter respektive förandet av ett register över behandlingen, utgör en olaglig behandling som ger den registrerade rätten att kräva radering eller begränsning av behandling, eftersom ett sådant åsidosättande utgör ett åsidosättande av den personuppgiftsansvarige av principen om ansvarsskyldighet i artikel 5.2 i samma förordning.

49

Enligt domstolens fasta praxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (se, för ett liknande resonemang, bland annat dom av den 12 januari 2023, Nemeth Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 32 och där angiven rättspraxis).

50

Vad gäller lydelsen av de relevanta unionsbestämmelserna, erinrar domstolen om att enligt artikel 17.1 d i GDPR har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få personuppgifter som rör honom eller henne raderade, och den personuppgiftsansvarige är skyldig att utan onödigt dröjsmål radera dessa uppgifter om de har behandlats på ett ”olagligt sätt”.

51

Enligt artikel 18.1 b i GDPR har den registrerade, om han eller hon motsätter sig radering av sådana uppgifter och i stället kräver en begränsning av deras användning, rätt att av den personuppgiftsansvarige utverka en begränsning av behandlingen om ”behandlingen är olaglig”.

52

De bestämmelser som nämns i de båda föregående punkterna ska jämföras med artikel 5.1 i GDPR, enligt vilken behandlingen av personuppgifter ska följa ett antal principer som anges i denna bestämmelse, däribland principen i artikel 5.1 a i förordningen att personuppgifter ska behandlas ”på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade”.

53

Enligt artikel 5.2 i GDPR är det den personuppgiftsansvarige som, i kraft av principen om ansvarighet som anges i samma bestämmelse, som är ansvarig för att punkt 1 i samma artikel efterlevs och som ska kunna visa att den punkten efterlevs (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 77, 78 och 81).

54

Av detta följer att det enligt artikel 5.2 i GDPR, jämförd med artikel 5.1 a i samma förordning, är den registeransvarige som ska försäkra sig om att den behandling av personuppgifter som denne utför är ”laglig”.

55

Lagenligheten av behandlingen av personuppgifter regleras i artikel 6 i GDPR, vilket framgår av dess rubrik. Enligt den artikeln är, såsom även framgår av skäl 40 i GDPR, behandlingen laglig endast om minst ett av villkoren i punkt 1 första stycket a–f i är uppfyllt, det vill säga att den registrerade antingen har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål eller att behandlingen är nödvändig för något av de i bestämmelsen angivna ändamålen, vilka avser fullgörandet av ett avtal i vilket den registrerade är part eller åtgärder som vidtagits på begäran av den registrerade innan avtalet ingås, fullgörandet av en rättslig förpliktelse som åvilar den registeransvarige, skyddet av intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, utförandet av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den registeransvarige eller en tredje part, om inte den registrerades intressen eller grundläggande fri- och rättigheter väger tyngre.

56

Denna förteckning över de fall där en behandling av personuppgifter kan anses som laglig är uttömmande och begränsande, vilket innebär att en behandling måste omfattas av något av fallen i artikel 6.1 första stycket i GDPR för att kunna anses vara laglig (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 99 och där angiven rättspraxis, och dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning), C‑180/21, EU:C:2022:967, punkt 83).

57

Enligt domstolen fasta praxis ska all behandling av personuppgifter stå i överensstämmelse med de principer som anges i artikel 5.1 i GDPR, dels uppfylla de laglighetsvillkor som anges i artikel 6 i samma förordning (se, bland annat dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 208, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 96, och dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkterna 49 och 56).

58

Eftersom artiklarna 7–11 i GDPR, vilka i likhet med artiklarna 5 och 6 ingår i förordningens kapitel II om principer, syftar till att precisera omfattningen av den personuppgiftsansvariges skyldigheter enligt artikel 5.1 a och artikel 6.1 i förordningen, måste behandlingen av personuppgifter för att vara laglig, såsom framgår av domstolens praxis, även iaktta dessa övriga bestämmelser, vilka i princip avser samtycke, behandlingen av särskilda kategorier av känsliga personuppgifter och behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkterna 72–75, och dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkterna 100, 102 och 106).

59

Domstolen konstaterar emellertid, i likhet med samtliga regeringar som har inkommit med skriftliga yttranden och Europeiska kommissionen, att den personuppgiftsansvariges iakttagande av skyldigheten enligt artikel 26 i GDPR att ingå ett arrangemang som fastställer det gemensamma ansvaret för behandlingen av personuppgifter och skyldigheten enligt artikel 30 i GDPR att föra ett register över behandling, inte ingår bland de krav för att behandlingen ska vara laglig som anges i artikel 6.1 första stycket i GDPR.

60

Till skillnad från artiklarna 7–11 i GDPR syftar artiklarna 26 och 30 i samma förordning inte till att precisera räckvidden av de krav som anges i artikel 5.1 a och artikel 6.1.

61

Det följer således direkt av lydelsen i artikel 5.1 a och artikel 6.1 första stycket i GDPR att den personuppgiftsansvariges åsidosättande av de skyldigheter som föreskrivs i artiklarna 26 och 30 i förordningen inte utgör ”olaglig behandling”, i den mening som avses i artikel 17.1 d och artikel 18.1 b i förordningen, till följd av att den personuppgiftsansvarige har åsidosatt ansvarighetsprincipen i artikel 5.2 i förordningen.

62

Denna tolkning stöds av det sammanhang i vilket dessa olika bestämmelser ingår. Det framgår nämligen tydligt av strukturen och systematiken i GDPR att förordningen skiljer mellan, å ena sidan, ”principerna” i förordningens kapitel II (i vilket bland annat artiklarna 5 och 6 ingår), och, å andra sidan, de ”allmänna skyldigheterna” i avsnitt 1 i förordningens kapitel IV, vilka rör personuppgiftsansvariga (bland vilka skyldigheterna i artiklarna 26 och 30 ingår).

63

Denna uppdelning återspeglas för övrigt i kapitel VIII i GDPR rörande sanktioner. Överträdelser av artiklarna 26 och 30 i förordningen, å ena sidan, och överträdelser av artiklarna 5 och 6 i förordningen, å andra sidan, kan enligt artikel 83.4 respektive 83.5 i förordningen bli föremål för administrativa sanktionsavgifter som kan uppgå till ett visst belopp, vilket varierar beroende på dessa överträdelsers respektive svårhetsgrad, som bestämts av unionslagstiftaren.

64

Slutligen stöds den bokstavstolkning av GDPR som det redogjorts för i punkt 61 ovan av förordningens syfte, vilket framgår av artikel 1 samt skälen 1 och 10 och som bland annat består i att säkerställa en hög skyddsnivå av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privat- och familjelivet med avseende på behandling av personuppgifter, vilken är stadfäst i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16.1 FEUF (se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 125 och där angiven rättspraxis).

65

Den omständigheten att det inte finns något arrangemang som fastställer gemensamt ansvar enligt artikel 26 i GDPR eller något register över behandling, i den mening som avses i artikel 30 i GDPR, räcker inte i sig för att fastställa att det föreligger en kränkning av den grundläggande rätten till skydd av personuppgifter. Även om det, såsom framgår av skälen 79 och 82 i GDPR, är riktigt att en tydlig ansvarsfördelning mellan gemensamt personuppgiftsansvariga samt ett register över behandling utgör medel för att säkerställa att personuppgiftsansvariga iakttar de garantier som föreskrivs i förordningen till skydd för de registrerades fri- och rättigheter, visar inte avsaknaden av ett sådant register eller ett sådant arrangemang i sig att dessa fri- och rättigheter har kränkts.

66

Härav följer att en personuppgiftsansvarigs åsidosättande av artiklarna 26 och 30 i GDPR inte utgör en ”olaglig behandling”, i den mening som avses i artikel 17.1 d eller artikel 18.1 b i den förordningen, jämförda med artikel 5.1 a och artikel 6.1 första stycket i samma förordning, som ger den registrerade rätt till radering eller begränsning av behandling.

67

Såsom samtliga regeringar som har inkommit med skriftliga yttranden och kommissionen har gjort gällande, ska ett sådant åsidosättande således avhjälpas genom andra åtgärder som föreskrivs i GDPR, såsom tillsynsmyndighetens antagande av ”korrigerande åtgärder”, i den mening som avses i artikel 58.2 i förordningen, bland annat ett föreläggande om att behandlingen ska uppfylla kraven i förordningen (artikel 58.2 d), inlämnande av ett klagomål till tillsynsmyndigheten i enlighet med artikel 77.1 i förordningen eller ersättning enligt artikel 82 i förordningen för den skada som den personuppgiftsansvarige eventuellt har orsakat.

68

Med avseende på de farhågor som den hänskjutande domstolen uttryckt beträffande den omständigheten att det, i förevarande fall, inte skulle vara möjligt att påföra Bundesamt någon administrativ sanktionsavgift i enlighet med artikel 58.2 i och artikel 83 i GDPR, preciserar EU-domstolen att denna omständighet inte kan hindra en effektiv tillämpning av förordningen. Det räcker i detta avseende att påpeka att artikel 83.7 i GDPR uttryckligen ger medlemsstaterna möjlighet att föreskriva om och i vilken utsträckning sådana avgifter kan åläggas offentliga myndigheter eller organ. De olika alternativa åtgärder som föreskrivs i GDPR, vilka det erinrats om i föregående punkt, gör det för övrigt möjligt att säkerställa en sådan effektiv tillämpning.

69

Den första frågan ska således besvaras enligt följande. Artikel 17.1 d och artikel 18.1 b i GDPR ska tolkas så, att den personuppgiftsansvariges åsidosättande av skyldigheterna i artiklarna 26 och 30 i den förordningen avseende ingåendet av ett arrangemang för att fastställa det gemensamma ansvaret för behandlingen av personuppgifter respektive förandet av ett register över behandling, utgör inte en olaglig behandling som ger den registrerade rätten att kräva radering eller begränsing av behandling, eftersom ett sådant åsidosättande inte utgör ett åsidosättande av den personuppgiftsansvarige av principen om ansvarsskyldighet i artikel 5.2 i GDPR, jämförd med artikel 5.1 a och artikel 6.1 första stycket i samma förordning.

70

Med hänsyn till svaret på den första frågan saknas anledning att besvara den andra frågan.

71

Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida unionsrätten ska tolkas så, att när den personuppgiftsansvarige har åsidosatt sina skyldigheter enligt artiklarna 26 eller 30 i GDPR, krävs det då att den registrerade gett sitt samtycke för att en nationell domstols beaktande av dessa uppgifter ska vara lagligt.

72

Domstolen konstaterar att det tydligt framgår av lydelsen i artikel 6.1 första stycket i GDPR att den registrerades samtycke, som avses i led a i detta stycke, endast utgör en av grunderna för att en behandling ska vara laglig. Ett sådant samtycke krävs däremot inte beträffande de övriga grunder för laglighet som anges i leden b–f i nämnda stycke, vilka i huvudsak avser behovet av behandlingen för bestämda syften (se, analogt, dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punkt 41).

73

När en domstol utövar sin behörighet enligt nationell rätt ska den behandling av personuppgifter som den domstolen gör anses nödvändig för det syfte som anges i artikel 6.1 första stycket e i GDPR, vilket är att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

74

Eftersom det, för det första, räcker att ett av villkoren i artikel 6.1 i GDPR är uppfyllt för att en behandling av personuppgifter kan anses vara laglig och, eftersom, för det andra, såsom det konstaterats i punkt 61 ovan, ett åsidosättande av artiklarna 26 och 30 i förordningen inte utgör olaglig behandling, kräver den hänskjutande domstolens beaktande av personuppgifter som av Bundesamt behandlats i strid med skyldigheterna enligt nämnda artiklar inte att den registrerade gett sitt samtycke.

75

Den tredje frågan ska således besvaras så, att när den personuppgiftsansvarige har åsidosatt sina skyldigheter enligt artiklarna 26 eller 30 i GDPR, krävs det inte att den registrerade gett sitt samtycke för att en nationell domstols beaktande av dessa personuppgifter ska vara lagligt.

76

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (femte avdelningen) följande: