EuGH Rechtssache C‑175/20

URTEIL DES GERICHTSHOFS (Fünfte Kammer)

24. Februar 2022(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 2 – Anwendungsbereich – Art. 4 – Begriff ‚Verarbeitung‘ – Art. 5 – Grundsätze der Verarbeitung – Zweckbindung – Datenminimierung – Art. 6 – Rechtmäßigkeit der Verarbeitung – Verarbeitung, die für die Wahrnehmung einer Aufgabe von öffentlichem Interesse, die dem für die Verarbeitung Verantwortlichen übertragen wurde, erforderlich ist – Verarbeitung, die für die Erfüllung einer rechtlichen Verpflichtung des für die Verarbeitung Verantwortlichen erforderlich ist – Art. 23 – Einschränkungen – Datenverarbeitung für steuerliche Zwecke – Ersuchen um Offenlegung von Informationen über Online-Verkaufsinserate für Fahrzeuge – Verhältnismäßigkeit“

In der Rechtssache C‑175/20

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Administratīvā apgabaltiesa (Regionales Verwaltungsgericht, Lettland) mit Entscheidung vom 11. März 2020, beim Gerichtshof eingegangen am 14. April 2020, in dem Verfahren

„SS“ SIA

gegen

Valsts ieņēmumu dienests

erlässt

DER GERICHTSHOF (Fünfte Kammer)

unter Mitwirkung des Kammerpräsidenten E. Regan, des Präsidenten des Gerichtshofs K. Lenaerts in Wahrnehmung der Aufgaben eines Richters der Fünften Kammer, des Präsidenten der Vierten Kammer C. Lycourgos sowie der Richter I. Jarukaitis und M. Ilešič (Berichterstatter),

Generalanwalt: M. Bobek,

Kanzler: A. Calot Escobar,

aufgrund des schriftlichen Verfahrens,

unter Berücksichtigung der Erklärungen

– der „SS“ SIA, vertreten durch M. Ruķers,

– der lettischen Regierung, vertreten zunächst durch K. Pommere, V. Soņeca und L. Juškeviča, dann durch K. Pommere als Bevollmächtigte,

– der belgischen Regierung, vertreten durch J.‑C. Halleux und P. Cottin als Bevollmächtigte im Beistand von C. Molitor, Avocat,

– der griechischen Regierung, vertreten durch E.‑M. Mamouna und O. Patsopoulou als Bevollmächtigte,

– der spanischen Regierung, vertreten zunächst durch J. Rodríguez de la Rúa Puig und S. Jiménez García, dann durch J. Rodríguez de la Rúa Puig als Bevollmächtigte,

– der Europäischen Kommission, vertreten zunächst durch H. Kranenborg, D. Nardi und I. Rubene, dann durch H. Kranenborg und I. Rubene als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 2. September 2021

folgendes

Urteil

1 Das Vorabentscheidungsersuchen betrifft die Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2016, L 314, S. 72, ABl. 2018, L 127, S. 2, und ABl. 2021, L 74, S. 35), insbesondere ihres Art. 5 Abs. 1.

2 Es ergeht im Rahmen eines Rechtsstreits zwischen der „SS“ SIA und dem Valsts ieņēmumu dienests (Steuerverwaltung, Lettland) (im Folgenden: lettische Steuerverwaltung) wegen eines Ersuchens um Offenlegung von Informationen über auf der Website von SS veröffentlichte Verkaufsinserate für Fahrzeuge.

Rechtlicher Rahmen

Unionsrecht

Verordnung 2016/679

3 Die Verordnung 2016/679, die auf Art. 16 AEUV gestützt ist, gilt nach ihrem Art. 99 Abs. 2 ab dem 25. Mai 2018.

4 In den Erwägungsgründen 1, 4, 10, 19, 26, 31, 39, 41 und 50 dieser Verordnung heißt es:

„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. …

(19) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates [vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89),] unterliegen. …

(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. … Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. …

(31) Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung – gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten – eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben, und sie sollten nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen. Die Verarbeitung personenbezogener Daten durch die genannten Behörden sollte den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen.

(39) … Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. …

(41) Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß der Verfassungsordnung des betreffenden Mitgliedstaats. Die entsprechende Rechtsgrundlage oder Gesetzgebungsmaßnahme sollte jedoch klar und präzise sein und ihre Anwendung sollte für die Rechtsunterworfenen gemäß der Rechtsprechung des Gerichtshofs … und des Europäischen Gerichtshofs für Menschenrechte vorhersehbar sein.

(50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten. Die im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.“

5 Art. 2 („Sachlicher Anwendungsbereich“) der Verordnung 2016/679 bestimmt:

„(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

…“

6 In Art. 4 („Begriffsbestimmungen“) der Verordnung 2016/679 heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. ,Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

6. ‚Dateisystem‘ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

9. ,Empfänger‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

…“

7 Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der Verordnung 2016/679 bestimmt:

„(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … (‚Zweckbindung‘);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; … (‚Speicherbegrenzung‘);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)[.]

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

8 Art. 6 („Rechtmäßigkeit der Verarbeitung“) der Verordnung 2016/679 sieht vor:

„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. … Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

9 Art. 13 Abs. 3 der Verordnung 2016/679 lautet:

„Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.“

10 In Art. 14 der Verordnung 2016/679 heißt es:

„(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist …

…“

11 Art. 23 Abs. 1 Buchst. e der Verordnung 2016/679 bestimmt:

„Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs‑, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

…“

12 Art. 25 Abs. 2 der Verordnung 2016/679 lautet:

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

Richtlinie 2016/680

13 In den Erwägungsgründen 10 und 11 der Richtlinie 2016/680 wird ausgeführt:

„(10) In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte spezifische Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen.

(11) Daher sollte diesen Bereichen durch eine Richtlinie Rechnung getragen werden, die spezifische Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, enthält, wobei den Besonderheiten dieser Tätigkeiten Rechnung getragen wird. Diese zuständigen Behörden können nicht nur staatliche Stellen wie die Justizbehörden, die Polizei oder andere Strafverfolgungsbehörden einschließen, sondern auch alle anderen Stellen oder Einrichtungen, denen durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse für die Zwecke dieser Richtlinie übertragen wurde. Wenn solche Stellen oder Einrichtungen jedoch personenbezogene Daten zu anderen Zwecken als denen dieser Richtlinie verarbeiten, gilt die Verordnung [2016/679]. Daher gilt die Verordnung [2016/679] in Fällen, in denen eine Stelle oder Einrichtung personenbezogene Daten zu anderen Zwecken erhebt und diese personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der sie unterliegt, weiterverarbeitet. …“

14 Art. 3 der Richtlinie 2016/680 bestimmt:

„Im Sinne dieser Richtlinie bezeichnet der Ausdruck:

7. ‚zuständige Behörde‘

a) eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist, oder

b) eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, übertragen wurde;

…“

Lettisches Recht

15 Nach Art. 15 Abs. 6 des Likums „Par nodokļiem un nodevām“ (Steuer- und Abgabengesetz, Latvijas Vēstnesis, 1995, Nr. 26) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Steuer- und Abgabengesetz) sind die Anbieter von Internet‑Inseratediensten verpflichtet, auf Anfrage der lettischen Steuerverwaltung die ihnen vorliegenden Informationen über Steuerpflichtige, die unter Nutzung dieser Dienste Inserate aufgegeben haben, bereitzustellen.

Ausgangsverfahren und Vorlagefragen

16 SS ist Anbieterin eines Internet‑Inseratedienstes mit Sitz in Lettland.

17 Am 28. August 2018 richtete die lettische Steuerverwaltung an SS ein Auskunftsersuchen nach Art. 15 Abs. 6 des Steuer- und Abgabengesetzes, in dem sie SS aufforderte, ihren zuvor bestehenden Zugang zu den Fahrgestellnummern der auf der Website von SS inserierten Fahrzeuge und den Telefonnummern der Verkäufer wiederherzustellen und ihr bis zum 3. September 2018 Informationen zu den Inseraten vorzulegen, die im Zeitraum vom 14. Juli bis zum 31. August 2018 auf der Website in der Rubrik „Pkw“ veröffentlicht wurden.

18 Im Auskunftsersuchen wurde näher ausgeführt, dass diese Informationen – nämlich der Link zum Inserat, der Text des Inserats, die Marke, das Modell, die Fahrgestellnummer und der Preis des Fahrzeugs sowie die Telefonnummer des Verkäufers – elektronisch in einem Format zu übermitteln waren, das eine Filterung oder Auswahl der Daten ermöglicht.

19 Außerdem wurde SS für den Fall, dass der Zugang zu den Informationen über die auf der betreffenden Website veröffentlichten Inserate nicht wiederhergestellt werden können sollte, ersucht, die Gründe dafür mitzuteilen und spätestens am dritten Tag eines jeden Monats die relevanten Informationen über die im Vormonat veröffentlichten Inserate bereitzustellen.

20 Da SS die Auffassung vertrat, dass das Auskunftsersuchen der lettischen Steuerverwaltung nicht mit den in der Verordnung 2016/679 verankerten Grundsätzen der Verhältnismäßigkeit und der Minimierung der personenbezogenen Daten vereinbar sei, reichte sie beim amtierenden Generaldirektor der lettischen Steuerverwaltung eine Beschwerde gegen dieses Auskunftsersuchen ein.

21 Mit Entscheidung vom 30. Oktober 2018 wies dieser die Beschwerde zurück und begründete dies insbesondere damit, dass die lettische Steuerverwaltung bei der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten die ihr gesetzlich übertragenen Befugnisse ausübe.

22 SS erhob beim Administratīvā rajona tiesa (Verwaltungsgericht erster Instanz, Lettland) eine Klage auf Nichtigerklärung dieser Entscheidung. Zusätzlich zu den Argumenten, die sie in ihrer Beschwerde vorgebracht hatte, machte sie darin geltend, dass diese Entscheidung entgegen Art. 5 Abs. 1 der Verordnung 2016/679 weder den konkreten Zweck der von der lettischen Steuerverwaltung geplanten Verarbeitung personenbezogener Daten noch die Menge der dafür erforderlichen Daten erkennen lasse.

23 Mit Urteil vom 21. Mai 2019 wies das Administratīvā rajona tiesa (Verwaltungsgericht erster Instanz) die Klage im Wesentlichen mit der Begründung ab, dass die lettische Steuerverwaltung berechtigt sei, Zugang zu Informationen über jede Person in unbegrenzter Menge zu verlangen, es sei denn, diese Informationen seien nicht mit den Zielen der Steuererhebung vereinbar. Im Übrigen seien die Bestimmungen der Verordnung 2016/679 auf die lettische Steuerverwaltung nicht anwendbar.

24 SS legte gegen dieses Urteil beim vorlegenden Gericht Berufung ein und machte zum einen geltend, dass die lettische Steuerverwaltung den Bestimmungen der Verordnung 2016/679 unterliege, und zum anderen, dass die lettische Steuerverwaltung dadurch gegen den Grundsatz der Verhältnismäßigkeit verstoßen habe, dass sie monatlich und zeitlich unbegrenzt große Mengen personenbezogener Daten über eine unbegrenzte Anzahl von Inseraten verlange, ohne die Steuerpflichtigen zu benennen, gegen die eine Steuerprüfung eingeleitet worden sei.

25 Das vorlegende Gericht weist darauf hin, dass im Rahmen des Ausgangsrechtsstreits weder streitig sei, dass die Erledigung des fraglichen Auskunftsersuchens untrennbar mit einer Verarbeitung personenbezogener Daten verbunden sei, noch, dass die lettische Steuerverwaltung das Recht auf Informationen habe, die einem Anbieter eines Internet‑Inseratedienstes zur Verfügung stünden und für die Durchführung besonderer Maßnahmen im Bereich der Steuererhebung erforderlich seien.

26 Der Ausgangsrechtsstreit betreffe die Frage, wie viele und welche Art von Informationen von der lettischen Steuerverwaltung angefordert werden könnten, welche Grenzen insoweit bestünden und ob die Auskunftspflicht, der SS unterliege, zeitlich zu begrenzen sei.

27 Insbesondere obliege dem vorlegenden Gericht die Bestimmung, ob unter den Umständen des Ausgangsverfahrens im Sinne von Art. 5 Abs. 1 der Verordnung 2016/679 die Verarbeitung personenbezogener Daten in einer für die betroffenen Personen nachvollziehbaren Weise erfolge, ob die im fraglichen Auskunftsersuchen angegebenen Informationen für festgelegte, eindeutige und legitime Zwecke erhoben würden und ob die Verarbeitung personenbezogener Daten nur insoweit erfolge, als sie für die Wahrnehmung der Aufgaben der lettischen Steuerverwaltung tatsächlich erforderlich sei.

28 Zu diesem Zweck müssten die Kriterien festgelegt werden, anhand deren beurteilt werden könne, ob ein Auskunftsersuchen der lettischen Steuerverwaltung den Wesensgehalt der Grundrechte und Grundfreiheiten achte und ob das im Ausgangsverfahren in Rede stehende Auskunftsersuchen als in einer demokratischen Gesellschaft notwendig und verhältnismäßig angesehen werden könne, um den Schutz wichtiger Ziele der Union und der öffentlichen Interessen Lettlands im Haushalts- und Steuerbereich sicherzustellen.

29 Unter diesen Umständen hat das Administratīvā apgabaltiesa (Regionales Verwaltungsgericht, Lettland) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Sind die Anforderungen der Verordnung 2016/679 dahin auszulegen, dass ein Auskunftsersuchen der Steuerverwaltung wie das im vorliegenden Fall in Rede stehende, in dem um Informationen ersucht wird, die große Mengen personenbezogener Daten enthalten, den Anforderungen der Verordnung 2016/679 (insbesondere deren Art. 5 Abs. 1) genügen muss?

2. Sind die Anforderungen der Verordnung 2016/679 dahin auszulegen, dass die lettische Steuerverwaltung von Art. 5 Abs. 1 dieser Verordnung abweichen kann, auch wenn ihr die in Lettland geltenden Rechtsvorschriften keine solche Befugnis einräumen?

3. Kann in Auslegung der Anforderungen der Verordnung 2016/679 davon ausgegangen werden, dass es ein legitimes Ziel gibt, das die durch ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende auferlegte Verpflichtung rechtfertigt, alle angeforderten Informationen in einer unbegrenzten Menge und für einen unbegrenzten Zeitraum zu erteilen, ohne dass eine Frist für die Erledigung dieses Auskunftsersuchens gesetzt wird?

4. Kann in Auslegung der Anforderungen der Verordnung 2016/679 davon ausgegangen werden, dass es ein legitimes Ziel gibt, das die durch ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende auferlegte Verpflichtung, alle angeforderten Informationen zu erteilen, rechtfertigt, auch wenn das Auskunftsersuchen den Zweck der Offenlegung der Informationen nicht (oder nur unvollständig) angibt?

5. Kann in Auslegung der Anforderungen der Verordnung 2016/679 davon ausgegangen werden, dass es ein legitimes Ziel gibt, das die durch ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende auferlegte Verpflichtung, alle angeforderten Informationen zu erteilen, rechtfertigt, auch wenn sich diese Verpflichtung in der Praxis ausnahmslos auf alle betroffenen Personen bezieht, die Inserate in der Rubrik „Pkw“ einer Website geschaltet haben?

6. Anhand welcher Kriterien ist zu prüfen, ob die Steuerverwaltung als für die Verarbeitung Verantwortliche ordnungsgemäß sicherstellt, dass die Datenverarbeitung (einschließlich der Sammlung von Informationen) den Anforderungen der Verordnung 2016/679 entspricht?

7. Anhand welcher Kriterien ist zu prüfen, ob ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende ordnungsgemäß mit Gründen versehen ist und gelegentlichen Charakter hat?

8. Anhand welcher Kriterien ist zu prüfen, ob die Verarbeitung personenbezogener Daten im erforderlichen Umfang und in einer Art und Weise erfolgt, die mit den Anforderungen der Verordnung 2016/679 vereinbar ist?

9. Anhand welcher Kriterien ist zu prüfen, ob die Steuerverwaltung als für die Verarbeitung Verantwortliche sicherstellt, dass die Datenverarbeitung im Einklang mit den Anforderungen nach Art. 5 Abs. 1 der Verordnung 2016/679 erfolgt (Rechenschaftspflicht)?

Zu den Vorlagefragen

Zur ersten Frage

30 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Bestimmungen der Verordnung 2016/679 dahin auszulegen sind, dass die Erhebung von Informationen, die große Mengen personenbezogener Daten enthalten, durch die Steuerverwaltung eines Mitgliedstaats bei einem Wirtschaftsteilnehmer den Anforderungen dieser Verordnung, insbesondere deren Art. 5 Abs. 1, genügen muss.

31 Um diese Frage beantworten zu können, ist als Erstes zu prüfen, ob ein solches Ersuchen in den sachlichen Anwendungsbereich der Verordnung 2016/679, wie er in deren Art. 2 Abs. 1 definiert ist, fällt, und als Zweites, ob es nicht zu den Fällen der Verarbeitung personenbezogener Daten gehört, die nach Art. 2 Abs. 2 dieser Verordnung von ihrem Anwendungsbereich ausgenommen sind.

32 Als Erstes gilt die Verordnung 2016/679 gemäß ihrem Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

33 Nach Art. 4 Nr. 1 der Verordnung 2016/679 sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, d. h. auf eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der 26. Erwägungsgrund dieser Verordnung stellt insoweit klar, dass für die Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.

34 Im Rahmen des Ausgangsrechtsstreits steht fest, dass die Informationen, um die die lettische Steuerverwaltung ersucht, personenbezogene Daten im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 darstellen.

35 Nach Art. 4 Nr. 2 dieser Verordnung sind das Erheben, das Abfragen, die Offenlegung durch Übermittlung sowie jede andere Form der Bereitstellung personenbezogener Daten eine „Verarbeitung“ im Sinne dieser Verordnung. Aus dem Wortlaut dieser Bestimmung, insbesondere aus dem Ausdruck „jeder Vorgang“, ergibt sich, dass der Unionsgesetzgeber den Begriff „Verarbeitung“ weit fassen wollte. Diese Auslegung wird dadurch bestätigt, dass die Aufzählung der Vorgänge in der genannten Bestimmung nicht abschließend ist, was durch die Wendung „wie“ zum Ausdruck kommt.

36 Im vorliegenden Fall verlangt die lettische Steuerverwaltung vom betreffenden Wirtschaftsteilnehmer, dass er den Zugang ihrer Dienststellen zu den Fahrgestellnummern der auf seiner Website inserierten Fahrzeuge wiederherstellt und ihr Informationen über die dort veröffentlichten Inserate erteilt.

37 Ein solches Ersuchen, mit dem die Steuerverwaltung eines Mitgliedstaats von einem Wirtschaftsteilnehmer die Offenlegung und Bereitstellung personenbezogener Daten verlangt, die dieser nach den nationalen Rechtsvorschriften dieses Mitgliedstaats erteilen und der Steuerverwaltung zur Verfügung stellen muss, leitet ein Verfahren zum „Erheben“ dieser Daten im Sinne von Art. 4 Nr. 2 der Verordnung 2016/679 ein.

38 Im Übrigen liegt in der Offenlegung und Bereitstellung der Daten durch den betreffenden Wirtschaftsteilnehmer an die Steuerverwaltung eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 dieser Verordnung.

39 Als Zweites ist zu prüfen, ob der Vorgang, mit dem die Steuerverwaltung eines Mitgliedstaats bei einem Wirtschaftsteilnehmer personenbezogene Daten über bestimmte Steuerpflichtige erheben möchte, nach Art. 2 Abs. 2 der Verordnung 2016/679 als von deren Anwendungsbereich ausgenommen angesehen werden kann.

40 Insoweit ist zunächst darauf hinzuweisen, dass diese Vorschrift Ausnahmen vom Anwendungsbereich der Verordnung – wie in deren Art. 2 Abs. 1 definiert – vorsieht, die eng auszulegen sind (Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 84).

41 Insbesondere findet die Verordnung 2016/679 ihrem Art. 2 Abs. 2 Buchst. d zufolge keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung.

42 Wie sich aus dem 19. Erwägungsgrund dieser Verordnung ergibt, beruht diese Ausnahme darauf, dass für die Verarbeitung personenbezogener Daten zu solchen Zwecken und durch die zuständigen Behörden ein spezifischer Rechtsakt der Union gilt, nämlich die Richtlinie 2016/680, die am selben Tag wie die Verordnung 2016/679 erlassen wurde und in ihrem Art. 3 Nr. 7 definiert, was unter „zuständige Behörde“ zu verstehen ist, wobei diese Definition auf Art. 2 Abs. 2 Buchst. d dieser Verordnung entsprechend anzuwenden ist (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 69).

43 Aus dem zehnten Erwägungsgrund der Richtlinie 2016/680 geht hervor, dass der Begriff „zuständige Behörde“ im Zusammenhang mit dem Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu verstehen ist, unter Berücksichtigung der spezifischen Regelungen, die sich insoweit aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen können. Außerdem heißt es im elften Erwägungsgrund dieser Richtlinie, dass die Verordnung 2016/679 für die Verarbeitung personenbezogener Daten gilt, die von einer „zuständigen Behörde“ im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680, aber zu anderen als den in ihr vorgesehenen Zwecken vorgenommen wird (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 70).

44 Wenn also die Steuerverwaltung eines Mitgliedstaats von einem Wirtschaftsteilnehmer verlangt, ihr zum Zweck der Steuererhebung und der Bekämpfung von Steuerbetrug personenbezogene Daten über bestimmte Steuerpflichtige offenzulegen, ist nicht ersichtlich, dass sie als „zuständige Behörde“ im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680 angesehen werden könnte, und folglich auch nicht, dass solche Auskunftsersuchen unter die in Art. 2 Abs. 2 Buchst. d der Verordnung 2016/679 vorgesehene Ausnahme fallen könnten.

45 Zudem ist – obgleich nicht ausgeschlossen ist, dass die im Ausgangsverfahren in Rede stehenden personenbezogenen Daten bei Steuerstraftaten im Rahmen möglicher Strafverfolgungsmaßnahmen gegen einige der betreffenden Personen genutzt werden – nicht ersichtlich, dass diese Daten spezifisch zu dem Zweck, solche Strafverfolgungsmaßnahmen durchzuführen, oder im Rahmen von Tätigkeiten des Staates im strafrechtlichen Bereich erhoben werden (vgl. in diesem Sinne Urteil vom 27. September 2017, Puškár, C‑73/16, EU:C:2017:725, Rn. 40).

46 Folglich fällt die Erhebung personenbezogener Daten über auf der Website eines Wirtschaftsteilnehmers veröffentlichte Verkaufsinserate für Fahrzeuge durch die Steuerverwaltung eines Mitgliedstaats in den sachlichen Anwendungsbereich der Verordnung 2016/679 und muss somit insbesondere den in Art. 5 dieser Verordnung genannten Grundsätzen für die Verarbeitung personenbezogener Daten entsprechen.

47 Nach alledem ist auf die erste Frage zu antworten, dass die Bestimmungen der Verordnung 2016/679 dahin auszulegen sind, dass die Erhebung von Informationen, die große Mengen personenbezogener Daten enthalten, durch die Steuerverwaltung eines Mitgliedstaats bei einem Wirtschaftsteilnehmer den Anforderungen dieser Verordnung, insbesondere deren Art. 5 Abs. 1, genügen muss.

Zur zweiten Frage

48 Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Bestimmungen der Verordnung 2016/679 dahin auszulegen sind, dass die Steuerverwaltung eines Mitgliedstaats von Art. 5 Abs. 1 dieser Verordnung abweichen kann, obwohl ihr das nationale Recht dieses Mitgliedstaats keine solche Befugnis einräumt.

49 Vorab ist darauf hinzuweisen, dass die Verordnung 2016/679 ausweislich ihres zehnten Erwägungsgrundes insbesondere darauf abzielt, ein hohes Datenschutzniveau für natürliche Personen in der Union zu gewährleisten.

50 Zu diesem Zweck enthalten die Kapitel II und III der Verordnung 2016/679 die Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen. Insbesondere muss jede Verarbeitung personenbezogener Daten u. a. mit den in Art. 5 der Verordnung aufgestellten Grundsätzen für die Verarbeitung solcher Daten im Einklang stehen (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 208).

51 Art. 23 der Verordnung 2016/679 ermächtigt die Union und die Mitgliedstaaten jedoch, „Gesetzgebungsmaßnahmen“ zu erlassen, die die u. a. in Art. 5 dieser Verordnung vorgesehenen Pflichten und Rechte, insofern sie den in den Art. 12 bis 22 dieser Verordnung vorgesehenen Rechten und Pflichten entsprechen, beschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder des betreffenden Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses, etwa im Haushalts- und Steuerbereich, sicherstellt.

52 Insoweit geht aus dem 41. Erwägungsgrund der Verordnung 2016/679 hervor, dass die Bezugnahme auf eine „Gesetzgebungsmaßnahme“ in dieser Verordnung nicht notwendigerweise bedeutet, dass ein von einem Parlament angenommener Gesetzgebungsakt erforderlich ist.

53 Vor diesem Hintergrund ist darauf hinzuweisen, dass die Verordnung 2016/679 ihrem vierten Erwägungsgrund zufolge im Einklang mit allen Grundrechten steht und alle Freiheiten und Grundsätze achtet, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere den Schutz personenbezogener Daten.

54 Nach Art. 52 Abs. 1 Satz 1 der Charta muss jedoch jede Einschränkung der Ausübung der in ihr anerkannten Rechte und Freiheiten, zu denen u. a. das durch Art. 7 der Charta garantierte Recht auf Achtung des Privat- und Familienlebens und das in Art. 8 der Charta verankerte Recht auf Schutz personenbezogener Daten gehören, gesetzlich vorgesehen sein, was insbesondere bedeutet, dass die gesetzliche Grundlage für den Eingriff in die Grundrechte den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen muss (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, Rn. 65 und die dort angeführte Rechtsprechung).

55 Insoweit hat der Gerichtshof außerdem entschieden, dass die Regelung, die eine Maßnahme enthält, die einen solchen Eingriff ermöglicht, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss, damit die Personen, deren personenbezogene Daten übermittelt worden sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken ermöglichen (vgl. in diesem Sinne Urteil vom 2. März 2021, Prokuratuur [Voraussetzungen für den Zugang zu Daten über die elektronische Kommunikation], C‑746/18, EU:C:2021:152, Rn. 48 und die dort angeführte Rechtsprechung).

56 Folglich muss jede nach Art. 23 der Verordnung 2016/679 erlassene Maßnahme, wie der Unionsgesetzgeber im Übrigen im 41. Erwägungsgrund dieser Verordnung hervorgehoben hat, klar und präzise und ihre Anwendung für die Rechtsunterworfenen vorhersehbar sein. Insbesondere müssen diese in der Lage sein, die Umstände und Voraussetzungen zu erkennen, unter denen der Umfang der Rechte, die ihnen diese Verordnung verleiht, eingeschränkt werden kann.

57 Aus den vorstehenden Erwägungen ergibt sich, dass die Steuerverwaltung eines Mitgliedstaats nicht von Art. 5 der Verordnung 2016/679 abweichen darf, wenn es keine klare und präzise Rechtsgrundlage im Unionsrecht oder im nationalen Recht gibt, deren Anwendung für die Rechtsunterworfenen vorhersehbar ist und die die Umstände und Voraussetzungen enthält, unter denen der Umfang der im genannten Art. 5 vorgesehenen Pflichten und Rechte eingeschränkt werden kann.

58 Daher ist auf die zweite Frage zu antworten, dass die Bestimmungen der Verordnung 2016/679 dahin auszulegen sind, dass die Steuerverwaltung eines Mitgliedstaats von Art. 5 Abs. 1 dieser Verordnung nicht abweichen darf, wenn ihr ein solches Recht nicht durch eine Gesetzgebungsmaßnahme im Sinne von Art. 23 Abs. 1 dieser Verordnung eingeräumt worden ist.

Zu den Fragen 3 bis 9

59 Mit seinen Fragen 3 bis 9, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob die Bestimmungen der Verordnung 2016/679 dahin auszulegen sind, dass sie es der Steuerverwaltung eines Mitgliedstaats verwehren, einen Anbieter eines Internet‑Inseratedienstes zu verpflichten, ihr auf unbestimmte Zeit Informationen über alle Steuerpflichtigen, die in einer der Rubriken seiner Website Inserate aufgegeben haben, offenzulegen, ohne dass ihm der Zweck für das Auskunftsersuchen mitgeteilt würde.

60 Vorab ist darauf hinzuweisen, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden zwei Verarbeitungen personenbezogener Daten stattfinden können. Wie sich oben aus den Rn. 37 und 38 ergibt, handelt es sich um die Erhebung personenbezogener Daten durch die Steuerverwaltung beim betreffenden Dienstanbieter und in diesem Rahmen um die Offenlegung durch Übermittlung dieser Daten durch den Dienstanbieter an die Steuerverwaltung.

61 Wie aus der oben in Rn. 50 angeführten Rechtsprechung hervorgeht, muss jeder dieser Verarbeitungsvorgänge, vorbehaltlich der nach Art. 23 der Verordnung 2016/679 zulässigen Ausnahmen, den in Art. 5 dieser Verordnung genannten Grundsätzen über die Verarbeitung personenbezogener Daten sowie den in den Art. 12 bis 22 dieser Verordnung verankerten Rechten der betroffenen Person entsprechen.

62 Im vorliegenden Fall stellt das vorlegende Gericht insbesondere den Umstand in Frage, dass zum einen die oben in Rn. 60 erwähnten Verarbeitungen Informationen in unbegrenzter Menge betreffen, die sich auf einen unbestimmten Zeitraum beziehen, und dass zum anderen der Zweck dieser Verarbeitungen im Auskunftsersuchen nicht angegeben wird.

63 Insoweit ist als Erstes darauf hinzuweisen, dass nach Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 personenbezogene Daten insbesondere für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen.

64 Zunächst müssen die Zwecke der Verarbeitung festgelegt sein, was ausweislich des 39. Erwägungsgrundes dieser Verordnung bedeutet, dass diese spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen müssen.

65 Sodann müssen die Zwecke der Verarbeitung eindeutig sein, was bedeutet, dass sie klar angegeben sein müssen.

66 Schließlich müssen diese Zwecke legitim sein. Sie müssen daher eine rechtmäßige Verarbeitung im Sinne von Art. 6 Abs. 1 der genannten Verordnung gewährleisten.

67 Die oben in Rn. 60 genannten Verarbeitungen werden durch das Ersuchen um Offenlegung personenbezogener Daten eingeleitet, das die lettische Steuerbehörde an den Anbieter eines Internet‑Inseratedienstes richtet. Dabei ist dieser Anbieter ausweislich von Art. 15 Abs. 6 des Steuer- und Abgabengesetzes verpflichtet, einem solchen Ersuchen Folge zu leisten.

68 In Anbetracht der oben in den Rn. 64 und 65 ausgeführten Erwägungen ist es erforderlich, dass die Zwecke dieser Verarbeitungen in diesem Ersuchen klar angegeben werden.

69 Sofern die in diesem Ersuchen so angegebenen Zwecke für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Steuerverwaltung übertragen wurde, genügt dieser Umstand, wie sich aus Art. 6 Abs. 1 Unterabs. 1 am Anfang und Buchst. e in Verbindung mit Art. 6 Abs. 3 Unterabs. 2 der Verordnung 2016/679 ergibt, damit diese Verarbeitungen auch dem oben in Rn. 66 genannten Erfordernis der Rechtmäßigkeit genügen.

70 Insoweit ist darauf hinzuweisen, dass die Steuererhebung und die Bekämpfung von Steuerbetrug als im öffentlichen Interesse liegende Aufgaben im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. e der Verordnung 2016/679 anzusehen sind (vgl. entsprechend Urteil vom 27. September 2017, Puškár, C‑73/16, EU:C:2017:725, Rn. 108).

71 Daraus folgt, dass in einem Fall, in dem die Offenlegung der betreffenden personenbezogenen Daten nicht unmittelbar auf die Rechtsvorschrift gestützt ist, die ihre Grundlage bildet, sondern auf einem Ersuchen der zuständigen Behörde beruht, in diesem Ersuchen die spezifischen Zwecke dieser Datenerhebung im Hinblick auf die im öffentlichen Interesse liegende Aufgabe oder die Ausübung öffentlicher Gewalt angegeben werden müssen, damit sich der Adressat des Ersuchens vergewissern kann, dass die Übermittlung der betreffenden personenbezogenen Daten rechtmäßig ist, und damit die nationalen Gerichte die Rechtmäßigkeit der betreffenden Verarbeitungen überprüfen können.

72 Als Zweites müssen die personenbezogenen Daten nach Art. 5 Abs. 1 Buchst. c der Verordnung 2016/679 dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

73 Insoweit ist darauf hinzuweisen, dass sich die Ausnahmen und Einschränkungen hinsichtlich des Grundsatzes des Schutzes solcher Daten nach ständiger Rechtsprechung auf das absolut Notwendige beschränken müssen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 110 und die dort angeführte Rechtsprechung).

74 Daraus folgt, dass der für die Verarbeitung Verantwortliche – auch wenn er im Rahmen der ihm übertragenen im öffentlichen Interesse liegenden Aufgabe handelt – nicht allgemein und unterschiedslos personenbezogene Daten erheben darf und dass er von der Erhebung von Daten absehen muss, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind.

75 Im vorliegenden Fall ist festzustellen, dass die lettische Steuerverwaltung, wie sich oben aus den Rn. 17 bis 19 ergibt, den betreffenden Wirtschaftsteilnehmer ersuchte, ihr Daten über die zwischen dem 14. Juli und dem 31. August 2018 auf seiner Website veröffentlichten Verkaufsinserate für Personenkraftwagen bereitzustellen und, falls der Zugang zu diesen Informationen nicht wiederhergestellt werden können sollte, ihr – auf unbestimmte Dauer – spätestens am dritten Tag eines jeden Monats die Daten über die im Vormonat auf seiner Website veröffentlichten Verkaufsinserate für Personenkraftwagen bereitzustellen.

76 In Anbetracht der oben in Rn. 74 dargelegten Erwägungen obliegt es dem vorlegenden Gericht, zu prüfen, ob der Zweck der Erhebung dieser Daten erreicht werden kann, ohne dass die lettische Steuerverwaltung auf die Daten über sämtliche auf der Website des genannten Wirtschaftsteilnehmers veröffentlichten Verkaufsinserate für Personenkraftwagen zugreifen kann, und insbesondere, ob es denkbar ist, dass die lettische Steuerverwaltung mittels spezifischer Kriterien auf bestimmte Inserate abzielt.

77 In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatz der Rechenschaftspflicht nachweisen können muss, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält.

78 Folglich obliegt es der lettischen Steuerverwaltung, nachzuweisen, dass sie gemäß Art. 25 Abs. 2 dieser Verordnung versucht hat, die Menge der zu erhebenden personenbezogenen Daten so gering wie möglich zu halten.

79 Hinsichtlich des Umstands, dass das Auskunftsersuchen der lettischen Steuerverwaltung für den Fall, dass der betreffende Anbieter von Inseratediensten den Zugang zu den in dem vom Ersuchen umfassten Zeitraum veröffentlichten Inseraten nicht wiederherstellt, keine zeitliche Begrenzung vorsieht, ist darauf hinzuweisen, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung auch verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.

80 Daher darf der Zeitraum, auf den sich die Erhebung bezieht, nicht länger sein, als dies zur Erreichung des Ziels von allgemeinem Interesse unbedingt notwendig ist.

81 Wie sich oben aus Rn. 77 ergibt, obliegt die Beweislast insoweit der lettischen Steuerverwaltung.

82 Allerdings lässt der Umstand, dass diese Daten erhoben werden, ohne dass die lettische Steuerverwaltung im Auskunftsersuchen selbst eine zeitliche Grenze für eine solche Verarbeitung festgelegt hat, für sich genommen nicht den Schluss zu, dass die Dauer der Verarbeitung das zur Erreichung des angestrebten Ziels absolut notwendige Maß überschreitet.

83 In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass, um dem Erfordernis der Verhältnismäßigkeit zu genügen, das in Art. 5 Abs. 1 Buchst. c der Verordnung 2016/679 zum Ausdruck gebracht wird (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 98 und die dort angeführte Rechtsprechung), die der Verarbeitung zugrunde liegende Regelung klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken ermöglichen. Die Regelung muss nach nationalem Recht bindend sein und insbesondere Angaben dazu enthalten, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass sich der Eingriff auf das absolut Notwendige beschränkt (Urteil vom 6. Oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, Rn. 68 und die dort angeführte Rechtsprechung).

84 Daraus folgt, dass sich die nationale Regelung, die ein Auskunftsersuchen wie das im Ausgangsverfahren in Rede stehende betrifft, bei der Festlegung der Umstände und Voraussetzungen, unter denen ein Anbieter von Online-Diensten verpflichtet ist, personenbezogene Daten über seine Nutzer zu übermitteln, auf objektive Kriterien stützen muss (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, Rn. 78 und die dort angeführte Rechtsprechung).

85 Nach alledem ist auf die Fragen 3 bis 9 zu antworten, dass die Bestimmungen der Verordnung 2016/679 dahin auszulegen sind, dass sie es der Steuerverwaltung eines Mitgliedstaats nicht verwehren, einen Anbieter eines Internet‑Inseratedienstes zu verpflichten, ihr Informationen über die Steuerpflichtigen, die in einer der Rubriken seiner Website Inserate aufgegeben haben, offenzulegen, soweit insbesondere diese Daten für die spezifischen Zwecke, für die sie erhoben werden, notwendig sind und der Zeitraum, auf den sich die Datenerhebung bezieht, nicht länger ist, als dies zur Erreichung des angestrebten Ziels von allgemeinem Interesse unbedingt notwendig ist.

Kosten

86 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Fünfte Kammer) für Recht erkannt:

1. Die Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass die Erhebung von Informationen, die große Mengen personenbezogener Daten enthalten, durch die Steuerverwaltung eines Mitgliedstaats bei einem Wirtschaftsteilnehmer den Anforderungen dieser Verordnung, insbesondere deren Art. 5 Abs. 1, genügen muss.

2. Die Bestimmungen der Verordnung 2016/679 sind dahin auszulegen, dass die Steuerverwaltung eines Mitgliedstaats von Art. 5 Abs. 1 dieser Verordnung nicht abweichen darf, wenn ihr ein solches Recht nicht durch eine Gesetzgebungsmaßnahme im Sinne von Art. 23 Abs. 1 dieser Verordnung eingeräumt worden ist.

3. Die Bestimmungen der Verordnung 2016/679 sind dahin auszulegen, dass sie es der Steuerverwaltung eines Mitgliedstaats nicht verwehren, einen Anbieter eines Internet‑Inseratedienstes zu verpflichten, ihr Informationen über die Steuerpflichtigen, die in einer der Rubriken seiner Website Inserate aufgegeben haben, offenzulegen, soweit insbesondere diese Daten für die spezifischen Zwecke, für die sie erhoben werden, notwendig sind und der Zeitraum, auf den sich die Datenerhebung bezieht, nicht länger ist, als dies zur Erreichung des angestrebten Ziels von allgemeinem Interesse unbedingt notwendig ist.

Unterschriften

* Verfahrenssprache: Lettisch.

Diesen Beitrag teilen