lagen.
EU-domstolen

ext/celex/62024CJ0414

CELEX
62024CJ0414
Typ
EU-domstolen

Källa

Preliminär utgåva

DOMSTOLENS DOM (första avdelningen)

den 18 juni 2026 ( * )

” Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 77 och 79 – Rättsmedel – Parallell användning – Samspel mellan att lämna in ett klagomål till en nationell tillsynsmyndighet och att väcka talan vid domstol – Risk för motstridiga beslut – Principen om ett effektivt rättsskydd – Medlemsstaternas processuella autonomi – Effektivitetsprincipen – Likvärdighetsprincipen ”

I mål C‑414/24,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) genom beslut av den 17 maj 2024, som inkom till EU-domstolen den 13 juni 2024, i målet

Datenschutzbehörde,

Dr. G S

ytterligare deltagare i rättegången:

Bundesministerin für Justiz,

D GmbH,

meddelar

DOMSTOLEN (första avdelningen)

sammansatt av avdelningsordföranden F. Biltgen samt domarna I. Ziemele (referent), A. Kumin, S. Gervasoni och M. Bošnjak,

generaladvokat: J. Richard de la Tour,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

– Datenschutzbehörde, genom M. Schmidl och E. Wagner,

– Dr., genom S. Binder-Novak, Rechtsanwältin,

– D GmbH, genom S. Korab, Rechtsanwalt,

– Österrikes regering, genom A. Posch, J. Schmoll och C. Gabauer, samtliga i egenskap av ombud,

– Italiens regering, genom S. Fiorentino, i egenskap av ombud, biträdd av E. De Bonis, avvocato dello Stato,

– Ungerns regering, genom Zs. Biró-Tóth och M.Z. Fehér, båda i egenskap av ombud,

– Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 4 september 2025 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1 Begäran om förhandsavgörande avser tolkningen av artiklarna 77 och 79 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2 Begäran har framställts i ett mål mellan Dr. G S och Datenschutzbehörde (dataskyddsmyndigheten, Österrike) (nedan kallad DSB). Målet rör DSB:s beslut att avvisa ett klagomål från Dr. G S avseende ett påstått åsidosättande av hennes rätt till skydd av personuppgifter som rör henne, med motiveringen att hon tidigare har väckt talan med samma föremål och denna talan fortfarande var anhängig vid den domstol vid vilken den väckts.

Tillämpliga bestämmelser

Unionsrätt

3 Skälen 10, 11, 129 och 141 i dataskyddsförordningen har följande lydelse:

”(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs … .

(129) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter, korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhetsgarantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel. Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den tillsynsmyndighet som antog beslutet hör.

(141) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i [Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan)], om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. …”

4 Artikel 17 i dataskyddsförordningen har rubriken ”Rätt till radering (’rätten att bli bortglömd’)”.

”Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

d) Personuppgifterna har behandlats på olagligt sätt.”

5 Kapitel VI i dataskyddsförordningen har rubriken ”Oberoende tillsynsmyndigheter” och innehåller artiklarna 51–59.

6 Artikel 57 i nämnda kapitel, med rubriken ”Uppgifter”, har följande lydelse i punkt 1 f:

”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

f) Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.”

7 I artikel 58 i dataskyddsförordningen, med rubriken ” Befogenheter”, föreskrivs följande i punkt 2:

”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

a) Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning.

b) Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot bestämmelserna i denna förordning.

c) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning.

d) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period.

e) Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.

f) Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

g) Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17 och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2 och 19.

h) Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42 eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre uppfylls.

i) Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall.

j) Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.”

8 Kapitel VIII i dataskyddsförordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, innehåller artiklarna 77–84.

9 I artikel 77 i dataskyddsförordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:

”1. Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2. Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”

10 I artikel 78 i dataskyddsförordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, föreskrivs följande i punkterna 1 och 2:

”1. Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

2. Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat.”

11 I artikel 79 i förordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande:

”1. Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.

2. Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sina offentliga befogenheter.”

12 Artikel 81 i dataskyddsförordningen har rubriken ”Vilandeförklaring av förfaranden”, föreskrivs följande i punkterna 2 och 3:

”2. Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat får alla andra behöriga domstolar än den där förfarandena först inleddes vilandeförklara sina förfaranden.

3. Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes, också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.”

Österrikisk rätt

13 Artikel 94.1 i Bundes-Verfassungsgesetz (den federala grundlagen), utfärdad på nytt den 2 januari 1930 (BGBl. 1/1930), i den lydelse som är tillämplig på omständigheterna i det nationella målet, föreskrivs följande:

”Rättsväsendet är i alla instanser skilt från förvaltningen.

…”

14 24 § Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG) (förbundslag om skydd för enskilda personer med avseende på behandling av personuppgifter – DSG) (nedan kallad lagen om skydd av personuppgifter) av den 17 augusti 1999 (BGBl. I, 165/1999), i den lydelse som är tillämplig på omständigheterna i det nationella målet, med rubriken ”Klagomål till dataskyddsmyndigheten”, föreskrivs följande i punkterna 1 och 4:

”1. Varje registrerad ska ha rätt att lämna in ett klagomål till dataskyddsmyndigheten om han eller hon anser att behandlingen av personuppgifter som rör honom eller henne utgör en överträdelse av dataskyddsförordningen eller av § 1 eller 2 § första avdelningen

4. Rätten att få ett klagomål prövat upphör om den klagande inte lämnar in klagomålet inom ett år från den dag då han eller hon fick kännedom om den händelse som klagomålet gäller, och under alla omständigheter senast tre år efter den dag då den påstådda händelsen ska ha ägt rum. Klagomål som inges för sent ska avvisas. …”

Målet vid den nationella domstolen och tolkningsfrågorna

15 Den 3 juli 2017 ingav Dr. G S, som är läkare, en ansökan till bolaget D, som driver en plattform för sökning av läkare genom vilken det är möjligt för tredje man att lämna bedömningar och vittnesmål om läkare, om radering av vissa personuppgifter som rör henne, med stöd av den rättsliga situation som rådde innan dataskyddsförordningen trädde i kraft. Den 10 juli 2017 avslog bolaget D begäran om radering.

16 Till följd av detta avslag väckte Dr. G S, i november 2017, talan mot bolaget D vid en tvistemålsdomstol och gjorde bland annat gällande att rätten till skydd av personuppgifter hade åsidosatts och att de uppgifter om henne som hade offentliggjorts skulle raderas. Hon yrkade dessutom att bolaget D skulle föreläggas att avstå från all vidare behandling av dessa uppgifter.

17 Den 22 juni 2018, efter det att dataskyddsförordningen hade trätt i kraft, begärde Dr. G S ånyo att bolaget D skulle radera de personuppgifter som rörde henne och som publicerats på den plattform som detta bolag drev. Även denna begäran avslogs, genom skrivelse av den 6 juli 2018.

18 Under dessa omständigheter lämnade Dr. G S den 26 juli 2018 in ett klagomål till DSB med stöd av artikel 77 i dataskyddsförordningen, och hänvisade bland annat till artikel 17 i den förordningen, där rätten till radering stadfästs. Genom detta klagomål yrkade hon att DSB skulle fastställa att hennes rätt till skydd av personuppgifter hade åsidosatts, förelägga bolaget D att radera samtliga personuppgifter om henne som fanns på bolagets plattform och avstå från all vidare behandling av dessa uppgifter.

19 DSB avslog klagomålet genom beslut av den 4 januari 2019 med motiveringen att klagomålet och den civilrättsliga talan som väckts i november 2017 och som avses i punkt 16 ovan, hade samma föremål, nämligen radering av de personuppgifter om Dr. G S som offentliggjorts på nämnda plattform.

20 DSB fann i detta avseende att ett parallellt eller på varandra följande förfaranden vid en tillsynsmyndighet och ett domstolsförfarande, skulle, ur systematisk synvinkel, strida mot den mekanism för rättsligt skydd som införts genom dataskyddsförordningen. Enligt DSB ska tillsynsmyndigheten i en sådan situation uttala sig i samma fråga som den som är anhängig vid tvistemålsdomstolen. Det är emellertid inte tillåtet att samtidigt utöva både rätten att lämna in ett klagomål till tillsynsmyndigheten och rätten att väcka talan vid domstol med samma föremål.

21 Dr. G S överklagade DSB:s beslut av den 4 januari 2019 till Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike). Denna domstol ogillade, genom dom av den 4 december 2020, hennes överklagande samtidigt som tvistemålsdomstolens dom av den 23 juli 2020 om avslag på Dr. G S:s ansökan ännu inte hade vunnit laga kraft.

22 Bundesverwaltungsgericht (Federala förvaltningsdomstolen) fann i detta avseende att dataskyddsförordningen avsiktligen hade infört ett dubbelt system för rättsligt skydd. Den erinrade om att denna förordning är direkt tillämplig och att nationella bestämmelser som strider mot förordningen därmed inte ska tillämpas. Det klagomål som Dr. G S hade ingett med stöd av artikel 77.1 i nämnda förordning kunde således inte avslås av de skäl som DSB angav, varför det i stället var nödvändigt att bekräfta att denna tillsynsmyndighet i princip var behörig att pröva klagomålet.

23 Nämnda domstol fann emellertid att Dr. G S klagomål hade ingetts för sent, eftersom det inte hade iakttagit den preklusionsfrist på ett år som föreskrivs i artikel 24.4 i lagen om skydd av personuppgifter, i den lydelse som var tillämplig i det nationella målet. Eftersom även det sena ingivandet av ett klagomål enligt artikel 77.1 i dataskyddsförordningen medför att klagomålet ska avvisas, var det korrekt att avvisa Dr. G S klagomål.

24 Både Dr. G S, efter det att Verfassungsgerichtshof (Författningsdomstolen, Österrike) hade vägrat att pröva hennes överklagande, och DSB, överklagade domen från Bundesverwaltungsgericht (Federala förvaltningsdomstolen) till Verwaltungsgerichtshof (Förvaltningsdomstolen, Österrike), som också är den hänskjutande domstolen.

25 Den hänskjutande domstolen delar inte Bundesverwaltungsgerichts (Federala förvaltningsdomstolen) bedömning att Dr. G S klagomål framställts för sent. Den hänskjutande domstolen har emellertid för avsikt att undersöka om inte avvisningen lagligen kunde grundas på andra skäl. Efter att ha erinrat om den rättspraxis som följer av domen av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), och domen av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958), vill den hänskjutande domstolen bland annat få klarhet i den grund för avvisning som DSB har anfört, nämligen att det har väckts en talan i domstol, med samma föremål som nämnda klagomål. Den hänskjutande domstolen har i detta avseende påpekat att det i artikel 94.1 i den federala grundlagen, i den lydelse som är tillämplig på omständigheterna i det nationella målet, föreskrivs att domstolarna ska vara oberoende av förvaltningen i alla instanser. Enligt de uppgifter som den hänskjutande domstolen har lämnat föreskrivs i denna bestämmelse en princip om åtskillnad mellan domstolarna och förvaltningen, vilket innebär att ett mål i sin helhet, vad avser dess handläggning, ska tilldelas antingen domstolarna eller förvaltningsmyndigheterna. Nämnda bestämmelse utgör således hinder för att domstolar och förvaltningsmyndigheter prövar en och samma tvist samtidigt eller efter varandra.

26 I detta sammanhang hyser den hänskjutande domstolen tvivel om huruvida ett klagomål som i enlighet med artikel 77.1 i dataskyddsförordningen har lämnats till den nationella tillsynsmyndigheten får avvisas med hänvisning till att det avseende samma sakfråga redan har använts ett effektivt rättsmedel i den mening som avses i artikel 79 i samma förordning genom att en talan har väckts i en domstol och att det målet fortfarande pågår i den domstol vid vilken talan anhängiggjorts.

27 I detta hänseende är den hänskjutande domstolen benägen att anse att för att undvika motstridiga avgöranden – och med inspiration från den mekanism som föreskrivs i artikel 81.2 och 81.3 i dataskyddsförordningen – när ett förfarande är anhängigt vid domstolar och förvaltningsmyndigheter, så är den andra instans vid vilket talan har väckts, på grund av principen om företräde, skyldig att avvisa den berörda personens ansökan.

28 Den hänskjutande domstolen noterar emellertid också att när ett klagomål ingivet med stöd av artikel 77 i dataskyddsförordningen avvisas enbart av det skälet att det redan pågår ett förfarande i domstol, har det vid den tidpunkt då klagomålet avvisas ännu inte meddelats något avgörande i sakfrågan rörande det påstådda åsidosättandet av personuppgiftsskyddet, varför det i så fall ännu inte föreligger någon risk för motstridiga beslut.

29 Med detta sagt uppkommer frågan huruvida det ska göras åtskillnad mellan å ena sidan det fall då en talan har väckts i en domstol och å andra sidan det fall då ett avgörande i sak har meddelats, även om detta ännu inte har vunnit laga kraft.

30 Mot bakgrund av ovanstående har Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) beslutat att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

”1. Ska artiklarna 77 och 79 i [dataskyddsförordningen], mot bakgrund av EU-domstolens resonemang i dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), och dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958), tolkas så, att den möjlighet som föreskrivs i nationell rätt att avvisa ett klagomål som ingetts till en tillsynsmyndighet med stöd av artikel 77 i dataskyddsförordningen, på grund av att talan rörande samma sakfråga redan har väckts i enlighet med artikel 79 i dataskyddsförordningen och är anhängig vid domstol, utgör en tillåten reglering av det inbördes förhållandet mellan dessa rättsmedel (i överensstämmelse med nämnda praxis från EU-domstolen)?

2. Om den första frågan besvaras nekande: Ska artiklarna 77 och 79 i [dataskyddsförordningen], mot bakgrund av EU-domstolens resonemang i dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), och dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958), tolkas så, att den möjlighet som föreskrivs i nationell rätt att avvisa ett klagomål som ingetts till en tillsynsmyndighet med stöd av artikel 77 i dataskyddsförordningen, på grund av att ett avgörande i sak rörande samma sakfråga redan har meddelats (även om detta ännu inte har vunnit laga kraft) i ett anhängigt förfarande avseende det rättsmedel som föreskrivs i artikel 79 i dataskyddsförordningen, utgör en tillåten reglering av det inbördes förhållandet mellan dessa rättsmedel (i överensstämmelse med nämnda praxis från EU-domstolen)?”

Prövning av tolkningsfrågorna

31 Den hänskjutande domstolen har ställt sina två frågor, som ska prövas tillsammans, för att få klarhet i huruvida artiklarna 77.1 och 79.1 i dataskyddsförordningen ska tolkas så, att de utgör hinder för att en tillsynsmyndighet som mottar ett klagomål i enlighet med denna artikel 77.1 får avvisa klagomålet enbart med motiveringen att det vid en tidigare tidpunkt och med stöd av nämnda artikel 79.1 har väckts en talan i en domstol som rör samma sakfråga, och detta trots att det avgörande som har meddelats avseende den talan ännu inte har vunnit laga kraft.

32 Det ska inledningsvis erinras om att enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 32).

33 För det första påpekar domstolen att artiklarna 77 och 79 i dataskyddsförordningen omfattas av kapitel VIII däri, vilket bland annat de rättsmedel reglerar, som ska göra det möjligt att skydda registrerades rättigheter när personuppgifter avseende dem påstås ha behandlats på ett sätt som strider mot den förordningens bestämmelser. Skyddet av dessa rättigheter kan således bland annat göras gällande direkt av den registrerade, med tillämpning av artiklarna 77–79 i samma förordning (se, för ett liknande resonemang, dom av den 4 oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punkt 47 och där angiven rättspraxis).

34 I detta avseende, vad gäller lydelsen av artiklarna 77–79, bör det först och främst erinras om att det av artikel 77.1 i dataskyddsförordningen framgår att den registrerade ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet, utan att detta påverkar andra möjligheter till administrativ prövning eller domstolsprövning. Av artikel 78.1 i dataskyddsförordningen framgår vidare att alla fysiska eller juridiska personer ska ha rätt till en effektiv domstolsprövning av ett rättsligt bindande beslut som fattats av en tillsynsmyndighet, om beslutet avser dem, utan att detta påverkar andra möjligheter till administrativ eller utomrättslig prövning. Slutligen framgår av artikel 79.1 i denna förordning att alla registrerade ska ha rätt till en effektiv domstolsprövning, utan att detta påverkar andra möjligheter till administrativ eller utomrättslig prövning, däribland rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77.1 i samma förordning (dom av den 4 oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punkt 48 och där angiven rättspraxis).

35 EU-domstolen har redan slagit fast att dessa bestämmelser i RGPD erbjuder olika rättsmedel för personer som gör gällande att förordningen har åsidosatts, varvid vart och ett av dessa rättsmedel ska kunna användas ”utan att det påverkar” övriga (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 34).

36 Av detta följer, såsom generaladvokaten har påpekat i punkt 46 i sitt förslag till avgörande, att dataskyddsförordningen inte föreskriver någon regel om primär eller exklusiv behörighet eller om att den i förordningen angivna tillsynsmyndigheten, eller där angivna domstolar, har prioritet vad gäller att bedöma huruvida det skett en kränkning av de registrerades rättigheter enligt förordningen. EU-domstolen har nämligen redan slagit fast att det rättsmedel som avses i artikel 78.1 i denna förordning, vars syfte är att pröva lagenligheten av det beslut som fattats av en tillsynsmyndighet med stöd av artikel 77 i nämnda förordning, och det rättsmedel som föreskrivs i artikel 79.1 i samma förordning, kan användas parallellt och oberoende av varandra (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 35).

37 För det andra, vad gäller det sammanhang i vilket nämnda bestämmelser i dataskyddsförordningen ingår, ska det erinras om att varje tillsynsmyndighet, enligt artikel 57.1 f i dataskyddsförordningen, är skyldig att inom sitt territorium behandla klagomål som var och en enligt artikel 77.1 i förordningen har rätt att inge när vederbörande anser att en behandling av personuppgifter som rör honom eller henne utgör ett åsidosättande av nämnda förordning, och i den utsträckning det är nödvändigt pröva syftet med behandlingen och inom rimlig tid underrätta klaganden om hur utredningen fortskrider och om resultatet av utredningen. Tillsynsmyndigheten ska med vederbörlig omsorg utreda ett sådant klagomål (dom av den 26 september 2024, Land Hessen (Skyldighet för dataskyddsmyndigheten att agera), C‑768/21, EU:C:2024:785, punkt 32 och där angiven rättspraxis). Såsom bekräftas i skäl 129 i dataskyddsförordningen spelar denna myndighet således en oumbärlig roll i systemet för skydd av personuppgifter och bidrar till en enhetlig tillämpning av förordningen i medlemsstaterna.

38 För det tredje stöds denna kontextuella tolkning av de mål som eftersträvas med dataskyddsförordningen. Det ska i detta hänseende påpekas att unionslagstiftarens val att ge de registrerade som berörs av behandlingen av personuppgifter möjlighet att parallellt och oberoende av varandra använda de rättsmedel som föreskrivs i artikel 77.1 och artikel 79.1 i dataskyddsförordningen är förenligt med det mål som eftersträvas med förordningen, vilket, såsom framgår av skäl 10 i förordningen, är att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter i unionen. I skäl 11 i samma förordning anges dessutom att effektivt skydd av personuppgifter förutsätter att de registrerades rättigheter förstärks.

39 Domstolen har i detta sammanhang redan slagit fast att den omständigheten, att flera rättsmedel finns tillgängliga, stärker även det syfte som anges i skäl 141 i dataskyddsförordningen, nämligen att garantera varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har kränkts rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 44).

40 Domstolen har även framhållit att unionslagstiftarens val, att ge de registrerade personerna en möjlighet att parallellt utnyttja de rättsmedel som föreskrivs dels i artikel 77.1 och artikel 78.1 i dataskyddsförordningen, dels i artikel 79.1 i samma förordning, ligger i linje med förordningens syfte (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 42).

41 I avsaknad av unionsbestämmelser på området ankommer det således på varje medlemsstat, enligt principen om medlemsstaternas processuella autonomi, att fastställa de regler för det administrativa förfarandet och domstolsförfarandet som syftar till att säkerställa skyddet av de rättigheter som enskilda har till följd av unionsrätten (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 45).

42 Det är följaktligen på grundval av nationella processuella bestämmelser som det ankommer på den hänskjutande domstolen att avgöra hur de rättsmedel som föreskrivs i artiklarna 77–79 i dataskyddsförordningen ska användas i ett fall som det i det nationella målet (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 46).

43 Dessa regler för att använda dessa parallella och oberoende rättsmedel får emellertid inte äventyra den ändamålsenliga verkan och det effektiva skyddet av de rättigheter som garanteras genom denna förordning (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 47).

44 I detta hänseende får inte heller nämnda regler vara varken mindre förmånliga än dem som avser liknande talan som syftar till att skydda rättigheter som följer av den nationella rättsordningen (likvärdighetsprincipen) eller medföra att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionens rättsordning (effektivitetsprincipen) (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 48).

45 I detta sammanhang har domstolen betonat att när medlemsstaterna definierar de processuella regler som ska gälla för de rättsmedel som syftar till att säkerställa skyddet av de rättigheter som följer av dataskyddsförordningen, måste de säkerställa att rätten till ett effektivt rättsmedel och till en opartisk domstol iakttas i enlighet med artikel 47 i stadgan, i vilken principen om ett effektivt domstolsskydd stadfästs (dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 50).

46 I förevarande fall framgår det av begäran om förhandsavgörande att det system med rättsmedel som föreskrivs i österrikisk rätt utgör hinder för att domstolar och förvaltningsmyndigheter avgör en och samma tvist parallellt eller i på varandra följande förfaranden. I detta sammanhang uppkommer frågan huruvida ett klagomål som lämnats in till tillsynsmyndigheten med stöd av artikel 77.1 i dataskyddsförordningen kan avvisas enbart av det skälet att ett rättsmedel som grundar sig på artikel 79 i förordningen och som avser samma sak redan har använts och att det därmed sammanhängande förfarandet fortfarande pågår.

47 Enligt den hänskjutande domstolen skulle ett sådant inbördes förhållande mellan rättsmedel bidra till att undvika motstridiga beslut avseende en och samma ansökan. Den hänskjutande domstolen har emellertid understrukit att när DSB avvisar ett klagomål som ingetts enligt artikel 77.1 i dataskyddsförordningen med motiveringen att en talan i enlighet med artikel 79.1 i förordningen pågår vid den domstol vid vilken talan har väckts, kan denna myndighet inte säkerställa att ett avgörande i sak faktiskt kommer att meddelas inom ramen för detta förfarande. Så skulle bland annat vara fallet om talan avvisades, utan att målet prövades i sak.

48 I detta avseende bör det erinras om att, såsom nämns i punkt 37 i denna dom, varje tillsynsmyndighet enligt artikel 57.1 f i dataskyddsförordningen är skyldig att inom sitt territorium behandla klagomål som var och en enligt artikel 77.1 i förordningen har rätt att inge när vederbörande anser att en behandling av personuppgifter som rör honom eller henne utgör ett åsidosättande av nämnda förordning, och i den utsträckning det är nödvändigt pröva syftet med behandlingen. Tillsynsmyndigheten ska med vederbörlig omsorg utreda ett sådant klagomål (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 56 och där angiven rättspraxis).

49 Vid denna behandling har denna myndighet, när det gäller de korrigerande åtgärder som räknas upp i artikel 58.2 i dataskyddsförordningen, ett utrymme för skönsmässig bedömning i fråga om valet av lämpliga och nödvändiga åtgärder (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 68 och där angiven rättspraxis).

50 Domstolen har i detta avseende slagit fast att klagomålsförfarandet, som inte liknar förfarandet för en framställning, är utformat som en mekanism som är ägnad att på ett effektivt sätt skydda de registrerades rättigheter och intressen (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 58 och där angiven rättspraxis).

51 Tillsynsmyndigheten är nämligen skyldig att agera när antagandet av en eller flera av de korrigerande åtgärder som föreskrivs i artikel 58.2 i dataskyddsförordningen är lämpligt, nödvändigt och proportionellt för att avhjälpa den konstaterade bristen och säkerställa full efterlevnad av denna förordning (se, för ett liknande resonemang, dom av den 30 april 2025, Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 och C‑332/23, EU:C:2025:303, punkt 132).

52 Denna skyldighet att agera kräver att tillsynsmyndigheten, när den mottar ett klagomål enligt artikel 77.1 i dataskyddsförordningen och har kännedom om att det pågår ett domstolsförfarande som har inletts i enlighet med artikel 79.1 i samma förordning, och både klagomålet och saken i domstolsförfarande rör samma sakfråga, ska beakta, vid sin prövning av klagomålet, det avgörande genom vilket domstolsförfarandet slutgiltigt avgörs.

53 Det skulle emellertid strida mot denna skyldighet om en person som berörs av behandlingen av personuppgifter fråntogs möjligheten att utnyttja en sådan mekanism, genom att tillåta en tillsynsmyndighet att avvisa personens klagomål enbart med motiveringen att det vid en tidigare tidpunkt har väckts en talan, med stöd av artikel 79.1 i dataskyddsförordningen, i en domstol som rör samma sakfråga, om det avgörande som har meddelats i den talan ännu inte har vunnit laga kraft.

54 Vad i detta sammanhang gäller risken för att det fattas motstridiga beslut avseende samma behandling av personuppgifter inom en och samma medlemsstat, skulle denna medlemsstat, såsom generaladvokaten har påpekat i punkterna 55 och 56 i sitt förslag till avgörande, i en sådan situation som den som är aktuell i förevarande mål, till exempel kunna överväga att inrätta en upphävandemekanism enligt vilken den tillsynsmyndighet till vilken ett klagomål har ingetts enligt artikel 77.1 i dataskyddsförordningen har möjlighet eller en skyldighet att vilandeförklara det ärende som behandlas vid den, om ett tidigare överklagande har ingetts i enlighet med artikel 79.1 i förordningen, som rör samma sakfråga. En sådan vilandeförklaring skulle kunna gälla fram till dess att en första dom har meddelats i målet och, i förekommande fall, för det fall att denna dom överklagas, till dess att det berörda målet har avgjorts slutligt.

55 Det ska i detta hänseende påpekas att en eventuell vilandeförklaring av prövningen av ett klagomål som ingetts till tillsynsmyndigheten med stöd av artikel 77.1 i nämnda förordning i avvaktan på ett domstolsavgörande, framstår som förenligt såväl med kravet på att säkerställa rätten till ett effektivt rättsmedel inför en domstol, som med kravet att effektivt skydda de rättigheter som garanteras i dataskyddsförordningen och att undvika att motstridiga beslut fattas vilka kan äventyra rättssäkerheten.

56 När tillsynsmyndigheten däremot avvisar ett klagomål enbart på grund av att en talan har väckts vid en domstol med stöd av artikel 79.1 i förordningen, såsom anges i punkt 47 ovan, kan den för det första inte vara säker på att ett avgörande i sak faktiskt kommer att meddelas inom ramen för detta rättsmedel. För det andra kan det visa sig vara omöjligt att lämna in ett nytt klagomål om det enligt nationell rätt har satts en frist härför, såsom i förevarande fall, och denna frist redan har löpt ut. Det kan således inte uteslutas att den person som berörs av behandlingen av personuppgifter berövas varje form av effektivt skydd när hans eller hennes talan avvisas av processuella skäl utan att det fattas något beslut i sakfrågan eller om personen önskar återkalla sin ansökan om rättslig prövning utan att sakfrågan har prövats eller om vederbörande önskar återkalla sin talan.

57 Såsom generaladvokaten har påpekat i punkt 57 i sitt förslag till avgörande skulle den omständigheten, att ett klagomål som ingetts till tillsynsmyndigheten avvisas i en sådan situation som den som är aktuell i det nationella målet strida mot effektivitetsprincipen, eftersom detta inbördes förhållande mellan rättsmedlen kan äventyra det effektiva skyddet av de rättigheter som garanteras genom dataskyddsförordningen.

58 Det ankommer på den hänskjutande domstolen att pröva huruvida de bestämmelser i nationell rätt som är aktuella i det nationella målet är ägnade att säkerställa ett effektivt skydd av de rättigheter som garanteras genom dataskyddsförordningen, särskilt vad gäller inbördes förhållandet mellan de parallella och av varandra oberoende rättsmedel som är tillgängliga för de personer som berörs av behandlingen av personuppgifter.

59 Mot bakgrund av det ovan anförda ska den första och den andra frågan besvaras enligt följande. Artiklarna 77.1 och 79.1 i dataskyddsförordningen ska tolkas så, att de utgör hinder för att en tillsynsmyndighet som mottar ett klagomål i enlighet med denna artikel 77.1 får avvisa klagomålet enbart med motiveringen att det vid en tidigare tidpunkt och med stöd av nämnda artikel 79.1 har väckts en talan i en domstol som rör samma sakfråga, och detta trots att det avgörande som har meddelats avseende den talan ännu inte har vunnit laga kraft.

Rättegångskostnader

60 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande:

Artiklarna 77.1 och 79.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

ska tolkas så,

att de utgör hinder för att en tillsynsmyndighet som mottar ett klagomål i enlighet med denna artikel 77.1 får avvisa det klagomålet enbart med motiveringen att det vid en tidigare tidpunkt och med stöd av nämnda artikel 79.1 har väckts en talan i en domstol som rör samma sakfråga, och detta trots att det avgörande som har meddelats avseende den talan ännu inte har vunnit laga kraft.

Underskrifter

* Rättegångsspråk: tyska.