lagen.
EU-domstolen

Domstolens dom (första avdelningen) den 7 december 2023

CELEX
62022CJ0026
Typ
EU-domstolen
Datum
20211223
ECLI
ECLI:EU:C:2023:958

Källa

Hänvisat till av

Förarbeten
Begäran om förhandsavgörandeSkydd för fysiska personer med avseende på behandling av personuppgifterFörordning (EU) 2016/679Artikel 5.1 aPrincipen om laglighetArtikel 6.1 första stycket fBehandlingens nödvändighet för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressenArtikel 17.1 dRätt till radering om personuppgifterna har behandlats på olagligt sättArtikel 40UppförandekoderArtikel 78.1Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslutTillsynsmyndighetens beslut angående ett klagomålDomstolsprövningens räckvidd avseende detta beslutKreditupplysningsföretagLagring av uppgifter från ett offentligt register angående skuldsanering som beviljats en personLagringstid

I de förenade målen C‑26/22 och C‑64/22, angående beslut att begära förhandsavgörande enligt artikel 267 FEUF, från Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), av den 23 december 2021 och den 31 januari 2022, som inkom till domstolen den 11 januari 2022 och den 2 februari 2022, i målen

DOMSTOLEN (första avdelningen), sammansatt av avdelningsordföranden A. Arabadjiev samt domarna T. von Danwitz, P.G. Xuereb, A. Kumin (referent) och I. Ziemele, generaladvokat: P. Pikamäe, justitiesekreterare: handläggaren K. Hötzel,

efter det skriftliga förfarandet och förhandlingen den 26 januari 2023,

med beaktande av de yttranden som avgetts av: UF och AB, genom R. Rohrmoser och S. Tintemann, Rechtsanwälte, Land Hessen, genom M. Kottmann och G. Ziegenhorn, Rechtsanwälte, SCHUFA Holding AG, genom G. Thüsing och U. Wuermeling, Rechtsanwalt, Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud, Portugals regering, genom P. Barros da Costa, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud, Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher, H. Kranenborg och W. Wils, samtliga i egenskap av ombud,

och efter att den 16 mars 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Tillämpliga bestämmelser

Unionsrätt

Direktiv 2008/48/EG

Direktiv 2014/17/EU

Förordning (EU) 2015/848

Dataskyddsförordningen

Tysk rätt

Målet vid den nationella domstolen och tolkningsfrågorna

Prövning av tolkningsfrågorna

Fråga 1

Frågorna 2, 3, 4 och 5

Artikel 5.1 a i dataskyddsförordningen

Artikel 17 i dataskyddsförordningen

Rättegångskostnader

1 Respektive begäran om förhandsavgörande avser tolkningen av artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) samt av artikel 6.1 första stycket f, artikel 17.1 d, artikel 40, artikel 77.1 och artikel 78.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2 Respektive begäran har framställts i två mål mellan å ena sidan UF (mål C‑26/22) och AB (mål C‑64/22) och å andra sidan Land Hessen (delstaten Hessen, Tyskland). Målen rör beslut som fattats av Hessischer Beauftragter für Datenschutz und Informationsfreiheit (myndighet med ansvar för dataskydd och informationsfrihet för delstaten Hessen, Tyskland) (nedan kallad HBDI) att inte ålägga SCHUFA Holding AG (nedan kallat Schufa) att radera uppgifter som bolaget har lagrat avseende skuldsanering som beviljats UF och AB.

3 I skälen 26 och 28 i Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG (EUT L 133, 2008, s. 66) anges följande:

4 Artikel 8 i direktivet har rubriken Skyldighet att bedöma konsumentens kreditvärdighet. I punkt 1 i denna artikel föreskrivs följande:

5 I skälen 55 och 59 i Europaparlamentets och rådets direktiv 2014/17/ЕU av den 4 februari 2014 om konsumentkreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010 (EUT L 60, 2014, s. 34) anges följande:

6 Artikel 18 i detta direktiv har rubriken Skyldighet att bedöma konsumentens kreditvärdighet. I punkt 1 i denna artikel föreskrivs följande:

7 I artikel 21 i direktivet, med rubriken Åtkomst till databaser, föreskrivs följande i punkterna 1 och 2:

8 Skäl 76 i Europaparlamentets och rådets förordning (EU) 2015/848 av den 20 maj 2015 om insolvensförfaranden (EUT L 141, 2015, s. 19) har följande lydelse:

9 Artikel 79 i förordningen har rubriken Medlemsstaternas ansvar avseende behandlingen av personuppgifter i nationella insolvensregister. I punkterna 4 och 5 i den artikeln föreskrivs följande:

10 Skälen 10, 11, 47, 50, 98, 141 och 143 i dataskyddsförordningen har följande lydelse:

11 Artikel 5 i dataskyddsförordningen, med rubriken Principer för behandling av personuppgifter, har följande lydelse:

12 I artikel 6 i nämnda förordning, med rubriken Laglig behandling av personuppgifter, föreskrivs följande:

13 I artikel 17 i dataskyddsförordningen, med rubriken ”Rätt till radering (’rätten att bli bortglömd’), föreskrivs följande i punkt 1:

14 I artikel 21 i förordningen, med rubriken Rätt att göra invändningar, föreskrivs följande i punkterna 1 och 2:

15 I artikel 40 i nämnda förordning, med rubriken Uppförandekoder, föreskrivs följande i punkterna 1, 2 och 5:

16 Artikel 51 i dataskyddsförordningen har rubriken Tillsynsmyndighet. I punkt 1 i denna artikel föreskrivs följande:

17 I artikel 52 i förordningen, som har rubriken Oberoende, föreskrivs följande i punkterna 1, 2 och 4:

18 I artikel 57 i nämnda förordning, med rubriken Uppgifter, föreskrivs följande i punkt 1:

19 I artikel 58 i dataskyddsförordningen, med rubriken Befogenheter, anges i punkt 1 de utredningsbefogenheter som varje tillsynsmyndighet ska ha och i punkt 2 de korrigerande åtgärder som myndigheten kan vidta.

20 I artikel 77 i förordningen, med rubriken Rätt att lämna in klagomål till en tillsynsmyndighet, föreskrivs följande:

21 I artikel 78 i samma förordning, med rubriken Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut, föreskrivs följande i punkterna 1 och 2:

22 I artikel 79 i förordningen, med rubriken Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, föreskrivs följande i punkt 1:

23 I 9 § stycke 1 i Insolvenzordnung (insolvenslagen) av den 5 oktober 1994 (BGBl. 1994 I, s. 2866), i den lydelse som är tillämplig på omständigheterna i de nationella målen (nedan kallad InsO), föreskrivs följande:

24 I 3 § i Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im internet (förordning om officiella tillkännagivanden på internet inom ramen för insolvensförfaranden) av den 12 februari 2002 (BGBl. I, s. 677) (nedan kallad InsoBekV) föreskrivs följande i styckena 1 och 2:

25 Inom ramen för insolvensförfaranden rörande UF och AB beviljades dessa personer skuldsanering genom domstolsbeslut av den 17 december 2020 respektive den 23 mars 2021. I enlighet med 9 § stycke 1 InsO och 3 § styckena 1 och 2 InsoBekV raderades det officiella tillkännagivandet av dessa beslut på internet efter sex månader räknat från nämnda beslut.

26 Schufa är ett privat bolag som tillhandahåller kreditupplysningar och som i egna databaser registrerar och lagrar uppgifter från offentliga register, däribland uppgifter om skuldsanering. Schufa ska radera sistnämnda uppgifter inom tre år efter registreringen, i enlighet med den uppförandekod som i Tyskland utarbetats av sammanslutningen av kreditupplysningsföretag och som godkänts av den behöriga tillsynsmyndigheten.

27 UF och AB vände sig till Schufa och begärde att Schufa skulle radera uppgifterna om besluten om skuldsanering. Bolaget avslog deras begäran efter att ha förklarat att dess verksamhet bedrivs i enlighet med dataskyddsförordningen och att den tidsfrist på sex månader för radering som föreskrivs i 3 § stycke 1 InsoBekV inte var tillämplig på bolaget.

28 UF och AB framställde därefter var sitt klagomål till HBDI som är behörig tillsynsmyndighet.

29 I beslut av den 1 mars 2021 respektive den 9 juli 2021 fann HBDI att Schufas behandling av personuppgifter var laglig.

30 Såväl UF som AB överklagade HBDI:s beslut till Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), som är den hänskjutande domstolen. Till stöd för sin talan gjorde de gällande att HBDI, inom ramen för sitt uppdrag och sina befogenheter, var skyldig att vidta åtgärder mot Schufa för att ålägga bolaget att radera de uppgifter som rörde dem.

31 HBDI yrkade i sitt svaromål att talan skulle ogillas.

32 För det första gjorde HBDI gällande att rätten att lämna in ett klagomål, som föreskrivs i artikel 77.1 i dataskyddsförordningen, endast är utformad som en rätt att inge framställningar. HBDI är således endast föremål för en begränsad domstolsprövning som begränsar sig till att kontrollera att tillsynsmyndigheten har handlagt klagomålet och informerat den som ingett klagomålet om hur detta klagomål fortskrider och om resultatet av detta. Det ankommer däremot inte på den domstol vid vilken talan har väckts att pröva huruvida det beslut som fattats efter ett klagomål är riktigt i sak.

33 För det andra underströk HBDI att de uppgifter som kreditupplysningsföretag har tillgång till får lagras så länge som det är nödvändigt för de ändamål för vilka uppgifterna har lagrats. I avsaknad av bestämmelser som föreskrivs av den nationella lagstiftaren har uppförandekoder antagits av tillsynsmyndigheterna, och de uppförandekoder som utarbetats av sammanslutningen av kreditupplysningsföretag föreskriver att dessa uppgifter ska raderas på dagen tre år efter införandet i registret.

34 Den hänskjutande domstolen anser att det, för det första, är nödvändigt att klargöra den rättsliga karaktären av det beslut som tillsynsmyndigheten fattar efter att ha mottagit ett klagomål enligt artikel 77.1 i dataskyddsförordningen.

35 Den hänskjutande domstolen hyser i synnerhet tvivel rörande HBDI:s argument, eftersom de skulle kunna undergräva effektiviteten av det rättsmedel som avses i artikel 78.1 i dataskyddsförordningen. Dessutom kan artiklarna 77 och 78 i denna förordning inte tolkas restriktivt, mot bakgrund av det mål som eftersträvas med denna förordning, det vill säga att, inom ramen för genomförandet av artiklarna 7 och 8 i stadgan, säkerställa ett effektivt skydd av fysiska personers grundläggande fri- och rättigheter.

36 Den hänskjutande domstolen förespråkar en tolkning som innebär att det beslut som tillsynsmyndigheten fattar i sak ska bli föremål för en fullständig domstolsprövning. Tillsynsmyndigheten har emellertid såväl ett skönsmässigt bedömningsutrymme som ett skönsmässigt handlingsutrymme och kan endast vara skyldig att agera när det inte föreligger några lagliga alternativ.

37 För det andra vill den hänskjutande domstolen i två hänseenden få klarhet i huruvida det är tillåtet för kreditupplysningsföretag att lagra uppgifter om en persons betalningsförmåga som härrör från offentliga register, såsom insolvensregistret.

38 I det första hänseendet råder det tvivel om huruvida det är tillåtet för ett sådant privat bolag som Schufa att i sina egna databaser lagra uppgifter som överförts från offentliga register.

39 Lagringen sker nämligen inte i ett konkret fall, utan för det fall deras avtalsparter skulle begära sådana uppgifter och den ger i slutändan upphov till en uppgiftsreserv, särskilt när uppgifterna redan har raderats från det offentliga registret på grund av att lagringstiden har löpt ut.

40 Dessutom är behandling och därmed lagring av uppgifter endast tillåten om ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt. I förevarande fall är det endast villkoret i artikel 6.1 första stycket f i denna förordning som är aktuellt. Det är tveksamt om ett kreditupplysningsföretag såsom Schufa har ett berättigat intresse i den mening som avses i denna bestämmelse.

41 Slutligen är Schufa bara ett av flera kreditupplysningsföretag och uppgifterna lagras därför i Tyskland på flera olika sätt, vilket innebär en massiv kränkning av den grundläggande rättighet som fastställs i artikel 7 i stadgan.

42 I det andra hänseendet anser den hänskjutande domstolen att även om det antas att privata företags lagring av uppgifter från offentliga register är laglig som sådan, uppkommer frågan om hur länge en sådan lagring är möjlig.

43 Den hänskjutande domstolen anser att det bör krävas att dessa privata företag iakttar den frist på sex månader som föreskrivs i 3 § InsoBekV om lagring av beslut om skuldsanering i insolvensregistret. De uppgifter som ska raderas från ett offentligt register bör därför samtidigt raderas hos alla privata kreditupplysningsföretag som har lagrat dessa uppgifter.

44 I övrigt uppkommer frågan huruvida en uppförandekod som godkänts i enlighet med artikel 40 i dataskyddsförordningen, i vilken det föreskrivs en tidsfrist på tre år för radering av lagrade personuppgifter som rör skuldsanering, ska beaktas vid den avvägning som ska göras vid en bedömning enligt artikel 6.1 första stycket f i dataskyddsförordningen.

45 Mot denna bakgrund beslutade Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) att vilandeförklara målet och att ställa följande tolkningsfrågor till EU-domstolen:

46 Domstolens ordförande beslutade den 11 februari 2022 att förena målen C‑26/22 och C‑64/22 vad gäller det skriftliga och det muntliga förfarandet samt domen.

47 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 78.1 i dataskyddsförordningen ska tolkas så, att domstolsprövningen av ett beslut som fattas av en tillsynsmyndighet angående ett klagomål är begränsad till frågan huruvida tillsynsmyndigheten har handlagt klagomålet, gjort en lämplig utredning av föremålet för klagomålet och underrättat den klagande om prövningens resultat, eller om den ska tolkas så, att detta beslut omfattas av en fullständig domstolsprövning, vilket inbegriper den nationella domstolens befogenhet att ålägga tillsynsmyndigheten att vidta en konkret åtgärd.

48 För att besvara den ställda frågan erinrar domstolen inledningsvis om att det vid tolkningen av en unionsbestämmelse inte bara är lydelsen som ska beaktas, utan också det sammanhang i vilket bestämmelsen förekommer och de mål som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 38 och där angiven rättspraxis).

49 När det gäller ordalydelsen i artikel 78.1 i dataskyddsförordningen föreskrivs i denna bestämmelse att varje fysisk eller juridisk person ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet, utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol.

50 I detta hänseende ska det inledningsvis konstateras att de beslut som fattats av HBDI i förevarande fall utgör rättsligt bindande beslut, i den mening som avses i artikel 78.1. Efter att ha prövat de ingivna klagomålen i sak fann nämligen denna myndighet att den behandling av personuppgifter som klagandena i de nationella målen ifrågasatte var laglig enligt dataskyddsförordningen. Att dessa beslut är rättsligt bindande bekräftas för övrigt av skäl 143 i denna förordning, enligt vilket en tillsynsmyndighets avvisande av eller avslag på klagomål utgör ett beslut som har rättsliga följder för den som ingett klagomålet.

51 Det ska även påpekas att det uttryckligen framgår av denna bestämmelse, jämförd med skäl 141 i förordningen, att var och en har rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan.

52 EU-domstolen har redan slagit fast att det följer av artikel 78.1 i dataskyddsförordningen, jämförd med skäl 143 i samma förordning, att domstolar som ska pröva en talan mot ett beslut från en tillsynsmyndighet bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga frågor som rör den tvist som anhängiggjorts vid dem (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 41).

53 Artikel 78.1 i dataskyddsförordningen kan således inte tolkas så, att domstolsprövningen av ett beslut som fattats av en tillsynsmyndighet angående ett klagomål ska begränsas till frågan huruvida tillsynsmyndigheten har handlagt klagomålet, gjort en lämplig utredning av föremålet för klagomålet och underrättat den klagande om prövningens resultat. För att ett rättsmedel ska vara effektivt, såsom krävs enligt denna bestämmelse, måste ett sådant beslut tvärtom omfattas av en fullständig domstolsprövning.

54 Denna tolkning stöds av det sammanhang i vilket artikel 78.1 i dataskyddsförordningen ingår samt av de mål som eftersträvas med denna förordning.

55 Vad gäller det sammanhang i vilket denna bestämmelse ingår, ska det påpekas att i enlighet med artikel 8.3 i stadgan och artiklarna 51.1 och 57.1 a i dataskyddsförordningen har de nationella tillsynsmyndigheterna till uppgift att övervaka efterlevnaden av unionsbestämmelserna om skyddet av enskilda personer med avseende på behandling av personuppgifter (dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 107).

56 I synnerhet är varje tillsynsmyndighet enligt artikel 57.1 f i dataskyddsförordningen skyldig att inom sitt territorium behandla klagomål som var och en enligt artikel 77.1 i förordningen har rätt att inge när vederbörande anser att en behandling av personuppgifter som rör honom eller henne utgör ett åsidosättande av nämnda förordning, och i den utsträckning det är nödvändigt pröva syftet med behandlingen. Tillsynsmyndigheten ska med vederbörlig omsorg utreda ett sådant klagomål (dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 109).

57 För att behandla inkomna klagomål tillerkänns varje tillsynsmyndighet enligt artikel 58.1 dataskyddsförordningen betydande utredningsbefogenheter. När en sådan myndighet, efter att ha avslutat sin utredning, konstaterar att bestämmelserna i denna förordning har åsidosatts, är den skyldig att vidta lämpliga åtgärder för att avhjälpa den konstaterade bristen. I artikel 58.2 i nämnda förordning anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 111).

58 Av detta följer, såsom generaladvokaten har påpekat, i punkt 42 i sitt förslag till avgörande, att klagomålsförfarandet, som inte liknar förfarandet för en framställning, är utformat som en mekanism som är ägnad att på ett effektivt sätt skydda de registrerades rättigheter och intressen.

59 Med hänsyn till de omfattande befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen skulle kravet på ett effektivt domstolsskydd inte vara uppfyllt om en sådan tillsynsmyndighets beslut i samband med utövandet av utredningsbefogenheter eller korrigerande åtgärder endast kunde bli föremål för en begränsad domstolsprövning.

60 Detsamma gäller beslut om avslag på ett klagomål, eftersom det i artikel 78.1 i dataskyddsförordningen inte görs någon åtskillnad beroende på vilken typ av beslut som tillsynsmyndigheten antar.

61 Slutligen, vad gäller de mål som eftersträvas med dataskyddsförordningen, framgår det av skäl 10 i denna förordning att den syftar till att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter inom unionen. I skäl 11 i samma förordning anges dessutom att ett effektivt skydd av personuppgifter förutsätter att de registrerades rättigheter förstärks.

62 Om artikel 78.1 i nämnda förordning skulle tolkas så, att den domstolsprövning som avses i denna artikel är begränsad till en kontroll av huruvida tillsynsmyndigheten har handlagt klagomålet, gjort en lämplig utredning av föremålet för klagomålet och underrättat den klagande om prövningens resultat, skulle detta nödvändigtvis äventyra förverkligandet av målen och uppnåendet av det syfte som eftersträvas med förordningen.

63 En tolkning av denna bestämmelse som innebär att en tillsynsmyndighets beslut angående ett klagomål ska omfattas av en fullständig domstolsprövning påverkar dessutom inte de garantier för oberoende som tillsynsmyndigheterna åtnjuter, och inte heller rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde.

64 För det första är det riktigt att en oberoende myndighet enligt artikel 8.3 i stadgan ska kontrollera att bestämmelserna om skydd av personuppgifter efterlevs. I detta sammanhang anges i artikel 52 i dataskyddsförordningen bland annat att varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning (punkt 1), att varje tillsynsmyndighets ledamot eller ledamöter i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning ska stå fria från utomstående påverkan (punkt 2), och att varje medlemsstat ska se till att varje tillsynsmyndighet förfogar över de resurser som krävs för att den effektivt ska kunna utföra sina uppgifter och utöva sina befogenheter (punkt 4).

65 Dessa garantier för oberoende äventyras emellertid inte på något sätt av den omständigheten att en tillsynsmyndighets rättsligt bindande beslut omfattas av en fullständig domstolsprövning.

66 Vad för det andra gäller rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 79.1 i dataskyddsförordningen, ska det påpekas att enligt domstolens praxis kan de rättsmedel som avses i artikel 78.1 respektive artikel 79.1 i denna förordning utövas parallellt och oberoende av varandra (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 35 och domslutet). Domstolen har i detta sammanhang bland annat slagit fast att det förhållandet att det finns flera rättsmedel tillgängliga stärker det syfte som anges i skäl 141 i dataskyddsförordningen, nämligen att garantera varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har kränkts rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 44).

67 Även om det ankommer på varje medlemsstat, enligt principen om medlemsstaternas processuella autonomi, att fastställa de närmare reglerna för det inbördes förhållandet mellan dessa rättsmedel (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 45 och domslutet), saknar den rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde som föreskrivs i artikel 79.1 i dataskyddsförordningen betydelse för omfattningen av den domstolsprövning som, inom ramen för en talan enligt artikel 78.1 i denna förordning, ska göras av ett beslut som fattats av en tillsynsmyndighet angående ett klagomål.

68 Det bör emellertid tilläggas att även om tilläggsmyndigheten, såsom anges ovan i punkt 56, är skyldig att behandla ett klagomål med all vederbörlig omsorg, har den, när det gäller de korrigerande åtgärder som räknas upp i artikel 58.2 i dataskyddsförordningen, ett utrymme för skönsmässig bedömning i fråga om valet av lämpliga och nödvändiga åtgärder (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 112).

69 Även om den nationella domstol som ska pröva en talan enligt artikel 78.1 i dataskyddsförordningen, såsom har konstaterats i punkt 52 ovan, måste ha fullständig behörighet att pröva alla fakta och rättsliga frågor som rör den aktuella tvisten, innebär inte säkerställandet av ett effektivt domstolsskydd att den är behörig att ersätta myndighetens bedömning av valet av lämpliga och nödvändiga korrigerande åtgärder med sin egen bedömning, utan det innebär en skyldighet för nämnda domstol att pröva huruvida tillsynsmyndigheten har iakttagit gränserna för sitt utrymme för skönsmässig bedömning.

70 Mot bakgrund av det ovan anförda ska fråga 1 besvaras enligt följande. Artikel 78.1 i dataskyddsförordningen ska tolkas så, att ett beslut som fattats av en tillsynsmyndighet angående ett klagomål omfattas av en fullständig domstolsprövning.

71 Den hänskjutande domstolen har ställt frågorna 2, 3, 4 och 5, vilka ska prövas tillsammans, för att få klarhet i

72 Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

73 Artikel 6.1 första stycket i dataskyddsförordningen innehåller i detta avseende en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska anses vara laglig måste den omfattas av något av de fall som föreskrivs i den bestämmelsen (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 90 och där angiven rättspraxis).

74 I förevarande fall är det utrett att frågan huruvida den behandling av personuppgifter som är aktuell i de nationella målen är laglig ska bedömas enbart mot bakgrund av artikel 6.1 första stycket f i dataskyddsförordningen. Enligt denna bestämmelse är behandling av personuppgifter laglig enbart om och i den mån behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

75 I nämnda bestämmelse föreskrivs således tre kumulativa villkor för att en behandling av personuppgifter ska vara tillåten. För det första ska den personuppgiftsansvarige eller tredje part eftersträva ett berättigat intresse. För det andra ska personuppgiftsbehandlingen vara nödvändig för att tillgodose det aktuella berättigade intresset. För det tredje ska intressena eller de grundläggande fri- och rättigheterna för den person vars personuppgifter ska skyddas inte väga tyngre än den personuppgiftsansvariges eller tredje parts berättigade intresse (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 106 och där angiven rättspraxis).

76 Vad för det första gäller villkoret att ett berättigat intresse ska eftersträvas, bör det understrykas, i likhet med vad generaladvokaten har påpekat, i punkt 61 i sitt förslag till avgörande, att ett brett spektrum av intressen i princip kan anses vara berättigade, eftersom det saknas en definition av detta begrepp i dataskyddsförordningen.

77 När det, för det andra, gäller villkoret att behandlingen måste vara nödvändig för att tillgodose det berättigade intresse som eftersträvas, innebär detta villkor att den hänskjutande domstolen ska kontrollera att det berättigade intresse som eftersträvas med behandlingen av personuppgifter inte rimligen kan uppnås på ett lika effektivt sätt genom andra medel som är mindre ingripande i de registrerades grundläggande fri- och rättigheter, i synnerhet rätten till respekt för privatlivet och rätten till skydd av personuppgifter som garanteras i artiklarna 7 och 8 i stadgan (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 108 och där angiven rättspraxis).

78 Det ska i detta sammanhang även erinras om att villkoret att behandlingen måste vara nödvändig ska prövas tillsammans med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, enligt vilken personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 109 och där angiven rättspraxis).

79 När det, för det tredje, gäller villkoret att intressena och de grundläggande fri- och rättigheterna för den person vars personuppgifter ska skyddas inte får väga tyngre än den personuppgiftsansvariges eller tredje parts berättigade intresse, har domstolen redan funnit att detta villkor innebär en avvägning mellan de aktuella rättigheter och intressen som står emot varandra, vilken i princip beror på de konkreta omständigheterna i det enskilda fallet. Det ankommer därför på den hänskjutande domstolen att göra denna avvägning med beaktande av dessa specifika omständigheter (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 110 och där angiven rättspraxis).

80 Såsom framgår av skäl 47 i dataskyddsförordningen kan dessutom den registrerades intressen och grundläggande rättigheter i synnerhet väga tyngre än den personuppgiftsansvariges intressen när personuppgifter behandlas i situationer där de registrerade inte rimligen kan förvänta sig en sådan behandling (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 112 och där angiven rättspraxis).

81 Även om det således i sista hand ankommer på den nationella domstolen att avgöra huruvida de tre villkor som avses i punkt 75 ovan är uppfyllda med avseende på den behandling av personuppgifter som är i fråga i målen vid den nationella domstolen, så har EU-domstolen dock möjlighet, när den meddelar ett förhandsavgörande, att tillhandahålla klargöranden för att vägleda den nationella domstolen i dess bedömning (se, för ett liknade resonemang, dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 39 och där angiven rättspraxis).

82 I förevarande fall har Schufa, när det gäller kravet på att eftersträva ett berättigat intresse, gjort gällande att kreditupplysningsföretagen behandlar personuppgifter som är nödvändiga för att bedöma en persons eller ett företags kreditvärdighet, i syfte att kunna göra denna information tillgänglig för sina avtalsparter. Förutom att denna verksamhet skyddar företags ekonomiska intressen när dessa önskar ingå kreditavtal, utgör fastställandet av kreditvärdighet och tillhandahållandet av uppgifter om kreditvärdighet grunden för kreditväsendet och en fungerande ekonomi. Den verksamhet som dessa företag bedriver bidrar även till att möta affärsmässiga önskemål från personer som är intresserade av transaktioner kopplade till krediter, eftersom kreditupplysningarna möjliggör en snabb och obyråkratisk granskning.

83 Domstolen finner att även om en sådan behandling av personuppgifter som den som är aktuell i de nationella målen tjänar Schufas ekonomiska intressen, så syftar denna behandling även till att tillgodose det berättigade intresse som Schufas avtalsparter har när de avser att ingå kreditavtal med personer, nämligen att kunna bedöma dessa personers kreditvärdighet, och tillgodoser således kreditsektorns intressen på ett socioekonomiskt plan.

84 När det gäller konsumentkreditavtal framgår det nämligen av artikel 8 i direktiv 2008/48, jämförd med skäl 28 i samma direktiv, att kreditgivaren innan kreditavtalet ingås är skyldig att göra en bedömning av konsumentens kreditvärdighet på grundval av tillräckliga uppgifter som i förekommande fall även erhålls från offentliga och privata databaser.

85 När det gäller konsumentkreditavtal som avser bostadsfastighet framgår det dessutom av artikel 18.1 och artikel 21.1 i direktiv 2014/17, jämförda med skälen 55 och 59 i samma direktiv, att kreditgivaren ska göra en grundlig bedömning av konsumentens kreditvärdighet och ha åtkomst till kreditdatabaser, eftersom sökning i sådana databaser är ett användbart underlag för denna bedömning.

86 Det ska tilläggas att skyldigheten att bedöma konsumenternas kreditvärdighet, såsom den föreskrivs i direktiven 2008/48 och 2014/17, inte enbart syftar till att skydda kreditsökanden, utan även, såsom framgår av skäl 26 i direktiv 2008/48, till att säkerställa att kreditsystemet i sin helhet fungerar väl.

87 Det krävs emellertid även att behandlingen av personuppgifter är nödvändig för att tillgodose den registeransvariges eller en tredje parts berättigade intressen och att den registrerades intressen eller grundläggande fri- och rättigheter inte väger tyngre än dessa intressen. Vid denna avvägning mellan de motstående rättigheterna och intressena som är i fråga, det vill säga, å ena sidan, den personuppgiftsansvariges och berörda tredje parters rättigheter och intressen och, och å andra sida, den registrerades rättigheter och intressen, ska det, såsom påpekats i punkt 80 ovan, bland annat tas hänsyn till den registrerades rimliga förväntningar, omfattningen av den aktuella behandlingen och dess inverkan på den registrerade (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 116 och där angiven rättspraxis).

88 Vad gäller 6.1 första stycket f i dataskyddsförordningen har domstolen slagit fast att denna bestämmelse ska tolkas så, att en behandling av detta slag endast kan anses vara nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, i den mening som avses i denna bestämmelse, under förutsättning att behandlingen utförs inom ramen för vad som är strängt nödvändigt för att tillgodose detta berättigade intresse och att en avvägning mellan de motstående intressena, mot bakgrund av samtliga relevanta omständigheter, visar att de registrerades intressen eller grundläggande och fri- och rättigheter i det aktuella fallet inte väger tyngre än den personuppgiftsansvariges eller en tredje parts berättigade intresse (se, för ett liknade resonemang, dom av den 4 maj 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punkt 30, samt dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 126).

89 Den hänskjutande domstolen har i detta sammanhang hänvisat till två aspekter av den behandling av personuppgifter som är i fråga i de nationella målen. För det första innebär denna behandling att personuppgifterna lagras på flera ställen, det vill säga inte bara i ett offentligt register utan även i databaser hos kreditupplysningsföretagen, varvid det ska preciseras att dessa företag inte lagrar personuppgifterna i ett konkret fall utan för den händelse deras avtalsparter eventuellt skulle begära sådan information av dem. För det andra lagrar kreditupplysningsföretagen dessa uppgifter i tre år på grundval av en uppförandekod, i den mening som avses i artikel 40 i dataskyddsförordningen, medan det i den nationella lagstiftningen föreskrivs en lagringstid på endast sex månader för det offentliga registret.

90 Vad gäller den första av dessa aspekter har Schufa gjort gällande att det skulle vara omöjligt att lämna upplysningar i rätt tid om ett kreditupplysningsföretag var tvunget att invänta en konkret begäran innan det kunde börja samla in uppgifter.

91 Det ankommer i detta avseende på den hänskjutande domstolen att pröva huruvida Schufas lagring av de aktuella uppgifterna i sina egna databaser är begränsad till vad som är strängt nödvändigt för att uppnå det berättigade intresse som eftersträvas, i ett sammanhang där uppgifterna i fråga är tillgängliga i det offentliga registret och där ett affärsdrivande företag inte har begärt upplysningar i ett konkret fall. I annat fall kan Schufas lagring av dessa uppgifter inte anses vara nödvändig under den period då uppgifterna finns tillgängliga för allmänheten.

92 Vad gäller lagringstiden för personuppgifterna finner domstolen att prövningen av det andra och det tredje villkoret som det redogörs för i punkt 75 ovan sammanfaller, eftersom det krävs en avvägning mellan de motstående rättigheterna och intressena i fråga för att avgöra den i förevarande fall aktuella frågan, nämligen huruvida de berättigade intressen som eftersträvas med den aktuella behandlingen av personuppgifter inte rimligen kan uppnås genom en kortare lagringstid för uppgifterna.

93 Vad gäller avvägningen mellan de berättigade intressen som eftersträvas, ska det påpekas att eftersom den analys som gjorts av ett kreditupplysningsföretag möjliggör en objektiv och tillförlitlig bedömning av kreditvärdigheten hos potentiella kunder till kreditupplysningsföretagets avtalsparter, gör denna analys det möjligt att kompensera för informationsskillnader och därmed minska riskerna för bedrägerier och andra osäkerheter.

94 När det däremot gäller den registrerades rättigheter och intressen utgör behandlingen av personuppgifter angående beviljandet av skuldsanering som utförs av ett kreditupplysningsföretag, såsom lagring, analys och utlämnande av dessa uppgifter till tredje man, ett allvarligt ingrepp i den registrerades grundläggande rättigheter, vilka är stadfästa i artiklarna 7 och 8 i stadgan. Sådana uppgifter utgör nämligen en negativ faktor vid bedömningen av den registrerades kreditvärdighet och utgör därför känsliga uppgifter om den registrerades privatliv (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 98). Behandlingen av dem kan i avsevärd mån skada den registrerades intressen, eftersom ett sådant utlämnande väsentligt försvårar utövandet av vederbörandes friheter, särskilt när det gäller att tillgodose grundläggande behov.

95 Såsom kommissionen har påpekat gäller det förhållandet att ju längre de aktuella uppgifterna lagras av kreditupplysningsföretag, desto större blir konsekvenserna för den registrerades intressen och privatliv, och desto större blir kraven på att lagringen av denna information är laglig.

96 Domstolen vill dessutom framhålla att det framgår av skäl 76 i förordning 2015/848 att syftet med ett offentligt insolvensregister är att förbättra informationen till berörda borgenärer och domstolar. I detta sammanhang föreskrivs i artikel 79.5 i denna förordning endast att medlemsstaterna ska informera de registrerade om den fastställda tidsperiod då personuppgifter som lagrats i insolvensregister är tillgängliga, utan att det fastställs någon tidsfrist för lagring av dessa uppgifter. Det framgår däremot av artikel 79.4 i förordningen att medlemsstaterna enligt denna förordning ska ansvara för insamling och lagring av personuppgifter i nationella databaser. Lagringstiden för dessa uppgifter måste därför fastställas i enlighet med denna förordning.

97 I förevarande fall har den tyska lagstiftaren föreskrivit att upplysningar om beviljande av skuldsanering ska lagras i insolvensregistret i endast sex månader. Den tyska lagstiftaren anser således att den registrerades rättigheter och intressen, efter utgången av en frist på sex månader, har företräde framför allmänhetens rättigheter och intressen när det gäller att förfoga över dessa upplysningar.

98 Såsom generaladvokaten har påpekat, i punkt 75 i sitt förslag till avgörande, är en skuldsanering dessutom avsedd att göra det möjligt för den person som beviljats en sådan att på nytt delta i det ekonomiska livet, och den är därför i allmänhet av existentiell betydelse för denna person. Förverkligandet av detta syfte skulle emellertid äventyras om kreditupplysningsföretag, i syfte att bedöma den ekonomiska situationen för en person, kunde lagra personuppgifter angående en skuldsanering och använda dessa uppgifter efter det att de raderats från det offentliga insolvensregistret, med hänsyn till att dessa uppgifter vid bedömningen av en sådan persons kreditvärdighet fortfarande används som en negativ faktor.

99 Under dessa omständigheter kan inte kreditbranschens intresse av att förfoga över upplysningar om en skuldsanering motivera en sådan behandling av personuppgifter som den som är aktuell i de nationella målen efter det att lagringstiden för uppgifterna i det offentliga insolvensregistret har löpt ut. Detta innebär att ett kreditupplysningsföretags lagring av dessa personuppgifter inte kan grundas på artikel 6.1 första stycket f i dataskyddsförordningen vad gäller perioden efter det att uppgifterna raderats från ett offentligt insolvensregister.

100 Vad gäller den period på sex månader under vilken de aktuella uppgifterna även är tillgängliga i detta offentliga register, ska det påpekas att även om effekterna av en parallell lagring av dessa uppgifter i sådana kreditupplysningsföretags databaser kan anses vara mindre allvarliga än efter det att sexmånadersperioden har löpt ut, utgör denna lagring emellertid ett ingrepp i de rättigheter som stadfästs i artiklarna 7 och 8 i stadgan. Domstolen har redan slagit fast att förekomsten av samma personuppgifter i flera källor förstärker ingreppet i den enskildes rätt till privatliv (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkterna 86 och 87). Det ankommer på den hänskjutande domstolen att göra en avvägning mellan de aktuella intressena och hur den registrerade påverkas, för att avgöra huruvida privata kreditupplysningsföretags parallella lagring av dessa personuppgifter kan anses vara begränsad till vad som är strängt nödvändigt, såsom krävs enligt domstolens praxis (se punkt 88 ovan).

101 Vad slutligen gäller förekomsten, såsom i förevarande fall, av en uppförandekod som föreskriver att ett kreditupplysningsföretag ska radera personuppgifter angående en skuldsanering efter tre år, påpekar domstolen att uppförandekoderna, enligt artikel 40.1 och 40.2 i dataskyddsförordningen, är avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag. Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får således utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel när det gäller rättvis och öppen behandling, personuppgiftsansvarigas berättigade intressen i särskilda sammanhang och insamling av personuppgifter.

102 Enligt artikel 40.5 i dataskyddsförordningen ska ett utkast till uppförandekod dessutom inges till den behöriga tillsynsmyndigheten, som ska godkänna utkastet om den finner att tillräckliga garantier tillhandahålls.

103 I förevarande fall har den uppförandekod som är i fråga i de nationella målen utarbetats av sammanslutningen av tyska kreditupplysningsföretag och godkänts av den behöriga tillsynsmyndigheten.

104 Även om en uppförandekod, i enlighet med artikel 40.1 och 40.2 i dataskyddsförordningen, är avsedd att bidra till ett korrekt genomförande av denna förordning och att specificera dess tillämpning, kvarstår dock det faktum, såsom generaladvokaten har påpekat, i punkterna 103 och 104 i sitt förslag till avgörande, att de i en sådan uppförandekod fastställda villkoren för en laglig behandling av personuppgifter inte får skilja sig från de villkor som föreskrivs i artikel 6.1 i dataskyddsförordningen.

105 En uppförandekod som leder till en annan bedömning än den som görs med tillämpning av artikel 6.1 första stycket f i dataskyddsförordningen kan således inte beaktas vid den avvägning som görs med stöd av denna bestämmelse.

106 Slutligen vill den hänskjutande domstolen få klarhet i vilka skyldigheter som åligger ett kreditupplysningsföretag enligt artikel 17 i dataskyddsförordningen.

107 Enligt artikel 17.1 d i dataskyddsförordningen, till vilken den hänskjutande domstolen har hänvisat, har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade, och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera dessa personuppgifter, om personuppgifterna har behandlats på ett olagligt sätt.

108 För det fall den hänskjutande domstolen, efter att ha bedömt lagenligheten av den behandling av personuppgifter som är aktuell i de nationella målen kommer till slutsatsen att behandlingen inte är laglig, ankommer det, enligt den klara ordalydelsen i denna bestämmelse, således på den personuppgiftsansvarige, i förevarande fall Schufa, att utan onödigt dröjsmål radera de berörda uppgifterna. Detta skulle bli fallet, i enlighet med vad som konstaterats ovan i punkt 99, beträffande en behandling av de aktuella personuppgifterna efter det att tidsfristen på sex månader för lagring av uppgifter i det offentliga insolvensregistret har löpt ut.

109 Kommer den hänskjutande domstolen till slutsatsen att behandlingen var förenlig med artikel 6.1 f i dataskyddsförordningen, när det gäller den behandling som äger rum under den sexmånadersperiod då uppgifterna finns tillgängliga i det offentliga insolvensregistret, så är artikel 17.1 c i dataskyddsförordningen tillämplig.

110 I denna bestämmelse föreskrivs en rätt till radering av personuppgifter när den registrerade invänder mot behandlingen i enlighet med artikel 21.1 i dataskyddsförordningen och det saknas avgörande berättigade skäl för behandlingen som väger tyngre. Enligt sistnämnda bestämmelse har den registrerade rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f i dataskyddsförordningen. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

111 Det följer av en jämförelse mellan dessa bestämmelser, såsom generaladvokaten har påpekat, i punkt 93 i sitt förslag till avgörande, att den registrerade presumeras har rätt att invända mot behandlingen och rätt till radering, såvida det inte finns avgörande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter, i den mening som avses i artikel 21.1 i dataskyddsförordningen, vilket den personuppgiftsansvarige är skyldig att visa.

112 Om den personuppgiftsansvarige inte kan påvisa detta, så har den registrerade rätt att begära att dessa uppgifter raderas med stöd av artikel 17.1 c i dataskyddsförordningen, om vederbörande invänder mot behandlingen i enlighet med artikel 21.1 i denna förordning. Det ankommer på den hänskjutande domstolen att pröva huruvida det föreligger avgörande berättigade skäl som i undantagsfall kan motivera den aktuella behandlingen.

113 Mot bakgrund av det ovan anförda ska frågorna 2, 3, 4 och 5 besvaras enligt följande.

114 Eftersom förfarandet i förhållande till parterna i de nationella målen utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

1 Rättegångsspråk: tyska.