lagen.
EU-domstolen

1. Förevarande begäran om förhandsavgörande som Bayerisches Verwaltungsgericht Ansbach (Bayerns förvaltningsdomstol i Ansbach, Tyskland) framställt med stöd av artikel 267 FEUF avser tolkningen av artikel 4 led 7 och 4 led 21 samt artiklarna 15, 23 och 77 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)( 2 ) (nedan kallad dataskyddsförordningen).

CELEX
62025CC0205
Typ
EU-domstolen

Källa

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

RIMVYDAS NORKUS

föredraget den 16 april 2026( 1 )

Mål C ‑ 205/25

Joachim Lindenberg

mot

Bayerisches Landesamt für Datenschutzaufsicht

(begäran om förhandsavgörande från Bayerisches Verwaltungsgericht Ansbach (Bayerns förvaltningsdomstol i Ansbach, Tyskland))

” Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 15 – Den registrerades begäran om tillgång till sina personuppgifter – Artikel 77 – Uppgifter som finns i akten hos en tillsynsmyndighet som agerar i ett klagomålsförfarande – Artikel 4 led 7 – Begreppet personuppgiftsansvarig – Artikel 23 – Begränsningar av rätten till tillgång – Nationella bestämmelser som helt utesluter tillgång till akten ”

I. Inledning

1. Förevarande begäran om förhandsavgörande som Bayerisches Verwaltungsgericht Ansbach (Bayerns förvaltningsdomstol i Ansbach, Tyskland) framställt med stöd av artikel 267 FEUF avser tolkningen av artikel 4 led 7 och 4 led 21 samt artiklarna 15, 23 och 77 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)( 2 ) (nedan kallad dataskyddsförordningen).

2. Denna begäran om förhandsavgörande har framställts inom ramen för en tvist mellan Joachim Lindenberg, en journalist som är specialiserad inom dataskydd, och Bayerisches Landesamt für Datenschutzaufsicht (Dataskyddsmyndigheten i Bayern, Tyskland) (nedan kallad Landesamt). Målet rör denna myndighets vägran att, på grundval av artikel 15 i dataskyddsförordningen, ge Joachim Lindenberg fullständig tillgång till hans akt i samband med ett förfarande som inletts till följd av ett klagomål som han hade lämnat in mot en tredje part. Landesamt motiverade avslaget med en bayersk bestämmelse som uteslöt allmänhetens tillgång till kontrollmyndigheternas akter. Efter det att Joachim Lindenberg överklagat beviljade myndigheten slutligen elektronisk tillgång till handlingarna i ärendet, dock utan att erkänna något rättsligt fel, samtidigt som Joachim Lindenberg fortsatte att yrka att det ursprungliga avslaget skulle förklaras rättsstridigt. Eftersom den hänskjutande domstolen ansåg att utgången i målet förutsätter en tolkning av de relevanta bestämmelserna i dataskyddsförordningen och en prövning av huruvida den bayerska lagstiftningen är förenlig med unionsrätten, beslutade den att vilandeförklara målet och ställa två tolkningsfrågor till EU-domstolen.

3. EU-domstolen ska ta ställning till frågan om en tillsynsmyndighet för dataskydd, inom ramen för ett klagomålsförfarande som inletts enligt artikel 77 i dataskyddsförordningen, kan betecknas som ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, och i vilken utsträckning den är skyldig att uppfylla de skyldigheter avseende tillgång som föreskrivs i artikel 15 i dataskyddsförordningen. Den har bland annat ombetts att pröva huruvida unionsrätten utgör hinder för en nationell lagstiftning som innebär att de registrerade inte har någon rätt att få tillgång till handlingarna. Denna bedömning ska göras mot bakgrund av artikel 23 i dataskyddsförordningen, enligt vilken det av vissa skäl av allmänt intresse är tillåtet att begränsa de skyldigheter avseende tillgång som föreskrivs i denna förordning, och artikel 8.2 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), som garanterar var och en rätt att få tillgång till insamlade uppgifter som rör honom eller henne. Domstolen ska härvidlag göra en avvägning mellan, å ena sidan, kravet på insyn i det administrativa förfarandet och, å andra sidan, behovet av att säkerställa utredningarnas effektivitet i dataskyddshänseende.

II. Tillämpliga bestämmelser

A. Unionsrätt

4. I förevarande mål är artiklarna 8 och 52 i stadgan, artikel 16 FEUF samt artikel 4 leden 1, 2, 7 och 9 samt artiklarna 5, 15, 23, 51, 57, 58 och 77 i dataskyddsförordningen relevanta.

B. Tysk rätt

5. Enligt artikel 18 i Bayerisches Datenschutzgesetz (Bayerns dataskyddslag) (nedan kallad BayDSG) är Landesamt en tillsynsmyndighet för icke-offentliga organ.

6. I artikel 20 BayDSG föreskrivs följande:

”(1) Alla kan vända sig till tillsynsmyndigheterna och göra gällande att deras rättigheter har kränkts genom behandlingen av deras personuppgifter. Att vända sig till tillsynsmyndigheterna får inte medföra någon nackdel för den berörda personen.

(2) Rätt att ta del av eller få tillgång till tillsynsmyndigheternas akter och register föreligger inte.”

7. I förarbetena till lagen avseende artikel 20.2 BayDSG anges att denna bestämmelse är tillämplig och helt och hållet utesluter en rätt att ta del av personuppgifter enligt artikel 15 i dataskyddsförordningen när denna rätt görs gällande gentemot Landesamt beträffande dess akter och register.

III. Bakgrund till det nationella målet, förfarandet vid den nationella domstolen och tolkningsfrågorna

8. Joachim Lindenberg är journalist och driver en blogg som bland annat handlar om dataskydd. Sedan år 2021 har Joachim Lindenberg inlett flera klagomålsförfaranden vid Landesamt.

9. Joachim Lindenberg lämnade in ett klagomål avseende dataskydd till Landesamt den 13 maj 2022, varefter Landesamt inledde ett tillsynsförfarande mot en tredje part. I ett e‑postmeddelande av den 11 oktober 2022 informerade Landesamt Joachim Lindenberg om att myndigheten hade konstaterat att den person som avses i klagomålet hade gjort sig skyldig till dataskyddsöverträdelser. Den tillade att efter det att fristen för rättelse av dessa överträdelser hade löpt ut skulle den person som avses i klagomålet få en avgiftsbelagd varning i händelse av ytterligare överträdelser från dennes sida. I ett e‑postmeddelande samma dag begärde Joachim Lindenberg att ytterligare detaljer skulle meddelas beträffande de åtgärder som Landesamt hade vidtagit. När Landesamt inte hörsammade denna begäran begärde Joachim Lindenberg i ett e‑postmeddelande av den 11 oktober 2022 att i full utsträckning få tillgång till personuppgifter enligt artikel 15.1 och 15.3 i dataskyddsförordningen.

10. Genom e‑postmeddelande och beslut av den 20 oktober 2022 bestämde Landesamt att begäran om att få tillgång till personuppgifter enligt artikel 15.1 och 15.3 i dataskyddsförordningen skulle avslås. Den motiverade avslaget med att den uttryckliga bestämmelsen i artikel 20.2 BayDSG utesluter en rätt att få tillgång till och ta del av tillsynsmyndigheternas akter och register.

11. Mot detta beslut väckte Joachim Lindenberg talan vid Bayerisches Verwaltungsgericht Ansbach (Bayerns förvaltningsdomstol i Ansbach) och yrkade att Landesamt skulle åläggas att tillhandahålla honom en kopia av alla uppgifter i akten i det klagomålsförfarande som hade inletts den 13 maj 2022.

12. Den 23 februari 2024 beviljade Landesamt elektronisk tillgång till handlingarna i det klagomålsförfarande som initierats av Joachim Lindenberg – dock utan att erkänna någon rättslig skyldighet i detta avseende.

13. Nu yrkar Joachim Lindenberg enbart att det ska förklaras att beslutet av den 20 oktober 2022, genom vilket Landesamt avslog ansökan om att få ta del av personuppgifter, ska förklaras rättsstridigt.

14. Den hänskjutande domstolen har angett att om en person som lämnat in ett klagomål – såsom Joachim Lindenberg – inleder ett klagomålsförfarande enligt artikel 77 i dataskyddsförordningen vid en dataskyddsmyndighet – såsom Landesamt – uppträder denna myndighet i samband med klagomålsförfarandet som tillsynsmyndighet i den mening som avses i artikel 4 led 21 i dataskyddsförordningen gentemot den personen. Vissa, däribland Landesamt, anser att detta utesluter att tillsynsmyndigheten för dataskydd är en ”personuppgiftsansvarig” i den mening som avses i artikel 15 jämförd med artikel 4 led 7 i dataskyddsförordningen med avseende på den som lämnat in klagomålet, och att detta följaktligen redan från början utgör hinder för den enskildes rätt, gentemot tillsynsmyndigheten för dataskydd, till tillgång till uppgifter som härrör från klagomålsförfarandet.

15. Den hänskjutande domstolen utgår däremot från att en dataskyddsmyndighet samtidigt kan vara tillsynsmyndighet i den mening som avses i artikel 4 led 21 i dataskyddsförordningen och personuppgiftsansvarig och person som avses i ett klagomål i den mening som avses i artikel 15 i dataskyddsförordningen jämförd med artikel 4 led 7 i samma förordning.

16. Den hänskjutande domstolen anser att om så är fallet är frågan om ett så generellt undantag avseende tillgång till tillsynsmyndighetens akter och register som det som föreskrivs i artikel 20.2 BayDSG uppfyller villkoren för utövandet av den möjlighet att föreskriva begränsningar som föreskrivs i artikel 23.1 i dataskyddsförordningen.

17. Mot denna bakgrund beslutade Bayerisches Verwaltungsgericht Ansbach (Bayerns förvaltningsdomstol i Ansbach) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1. Ska artikel 15 jämförd med artikel 4 led 7 i förordning (EU) 2016/679 tolkas så, att en tillsynsmyndighet enligt artikel 4 led 21 i den förordningen, som agerar i samband ett klagomålsförfarande enligt artikel 77 i samma förordning, vilket har inletts av en registrerad, samtidigt är ’personuppgiftsansvarig’ i den mening som avses i artikel jämförd med artikel 4 led 7 i förordningen och därmed enligt artikel 15 i förordningen är skyldig att låta den registrerade få tillgång till personuppgifter?

2. Om den första frågan besvaras jakande: Ska unionsrätten, särskilt artikel 23 i förordning (EU) 2016/679, tolkas så, att den utgör hinder för en nationell bestämmelse – såsom artikel 20.2 i Bayerisches Datenschutzgesetz [BayDSG] – enligt vilken rätt att få tillgång till eller ta del av akter och register hos de tillsynsmyndigheter som avses i artikel 4 led 21 i förordning (EU) 2016/679 generellt inte gäller?”

IV. Förfarandet vid domstolen

18. Beslutet om hänskjutande av den 19 februari 2025 inkom till domstolens kansli den 17 mars 2025.

19. Skriftliga yttranden har inkommit från Landesamt, den bulgariska och den lettiska regeringen samt från Europeiska kommissionen, inom den frist som föreskrivs i artikel 23 i stadgan för Europeiska unionens domstol.

20. Vid förhandlingen den 23 mars 2026 yttrade sig respektive ombud för Joachim Lindenberg, Landesamt, den bulgariska regeringen och Europeiska kommissionen.

V. Rättslig bedömning

A. Inledande anmärkningar

21. Förevarande mål aktualiserar en principiell fråga om tillsynsmyndigheternas rättsliga ställning i förhållande till de rättigheter som erkänns i dataskyddsförordningen och, i synnerhet, rätten till tillgång enligt artikel 15 i förordningen. Det rör sig om att fastställa huruvida en tillsynsmyndighet, när den handlägger ett klagomål som lämnats in enligt artikel 77 i dataskyddsförordningen, kan betecknas som ”personuppgiftsansvarig” för uppgifter som behandlas i detta sammanhang, i den mening som avses i artikel 4 led 7 i samma förordning. Huruvida så är fallet är avgörande, eftersom det är ett villkor för tillämpligheten av de skyldigheter att ge tillgång som kan göras gällande mot den personuppgiftsansvarige, och detta avser mer allmänt balansen mellan skyddet av individuella rättigheter och de särdrag som kännetecknar utövandet av tillsynsuppgifter, vilka vilar på oberoende beslutsfattande, konfidentialitet vid utredningen och utredningsbefogenheternas effektivitet.

22. För det fall EU-domstolen skulle finna att en tillsynsmyndighet som regel kan vara skyldig att iaktta artikel 15 i dataskyddsförordningen, skulle detta ge upphov till en andra fråga av normativ karaktär, nämligen huruvida ett allmänt och absolut undantag från rätten till tillgång till administrativa handlingar är förenligt med unionsrätten. En sådan nationell lagstiftning ska prövas mot bakgrund av de krav som föreskrivs i artikel 23 i dataskyddsförordningen, som strikt reglerar de begränsningar som får göras av de rättigheter som garanteras i denna artikel, genom att uppställa kumulativa villkor vad gäller rättslig grund, nödvändighet, proportionalitet och skydd av de mål av allmänt intresse som erkänns av unionen. Denna bedömning kräver även ett beaktande av de garantier som följer av primärrätten, särskilt de garantier som avser iakttagandet av de grundläggande rättigheterna och rättsmedlens effektivitet.

23. Den rättsliga bedömningen kommer således att delas in i två olika steg. Det ska för det första prövas huruvida och i vilken utsträckning en tillsynsmyndighet kan liknas vid en ”personuppgiftsansvarig” inom ramen för ett klagomålsförfarande på så sätt att den är bunden till de skyldigheter avseende tillgång till handlingar som föreskrivs i dataskyddsförordningen.( 3 ) För det andra, och endast om denna fråga besvaras jakande, ska det bedömas huruvida ett generellt, odifferentierat och förebyggande undantag från rätten till tillgång till tillsynsmyndigheternas akter är förenligt med det harmoniserade systemet i dataskyddsförordningen, med hänsyn till kraven på insyn i förvaltningen, dataskydd, institutionellt oberoende och effektiva kontrollmekanismer, vilka ska vägas mot varandra utan att något av dessa krav förlorar sitt innehåll.( 4 )

B. Den första frågan

1. Huruvida en tillsynsmyndighet kan anses vara personuppgiftsansvarig enligt artikel 4 led 7 i dataskyddsförordningen

24. Vad gäller frågan huruvida en tillsynsmyndighet kans anses vara ”personuppgiftsansvarig”, vilket är föremålet för den första tolkningsfrågan, ska det inledningsvis erinras om legaldefinitionen av detta begrepp i artikel 4 led 7 i dataskyddsförordningen. Vid tillämpning av denna bestämmelse avses med ”personuppgiftsansvarig” ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. Det ska i detta hänseende erinras om att detta begrepp enligt domstolens fasta praxis ska ges en vid tolkning.( 5 )

25. Det ska för det första konstateras att denna legaldefinition uttryckligen avser ”offentliga myndigheter”. Själva ordalydelsen i artikel 4 led 7 i dataskyddsförordningen utesluter således inte på något sätt möjligheten att bedöma en tillsynsmyndighet som ”personuppgiftsansvarig”. Unionslagstiftaren har avsiktligt avstått från att göra åtskillnad mellan privata och offentliga enheter, vilket framgår av flera skäl i vilka det uttryckligen hänvisas till offentliga myndigheters behandling av personuppgifter. Den omständigheten att en tillsynsmyndighet i artikel 4 led 21 i dataskyddsförordningen definieras som en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51, kan inte, med hänsyn till den vida och funktionella räckvidd som begreppet personuppgiftsansvarig( 6 ) ges i förordningen, tolkas så, att den utgör hinder för att tillsynsmyndigheten eventuellt bedöms vara personuppgiftsansvarig.

26. För det andra ska det påpekas att när en sådan tillsynsmyndighet utför de uppgifter som den tilldelats enligt artikel 77 i dataskyddsförordningen – bland annat handläggningen av klagomål om eventuella överträdelser av dataskyddsreglerna – ska den själv behandla personuppgifter. Myndigheten begränsar sig inte till att ta emot dessa uppgifter, utan strukturerar, analyserar, lagrar och använder dem inom ramen för det självständiga utövandet av de utrednings- och tillsynsbefogenheter som den tillerkänns i förordningen. Sådana åtgärder omfattas, enligt min mening, av tillämpningsområdet för artikel 4 led 2 i dataskyddsförordningen, i vilken begreppet behandling ges en vid tolkning som är fristående från alla särskilda sammanhang och omfattar samtliga åtgärder som utförs med avseende på uppgifter.

27. Till stöd för denna bedömning kommer jag i det följande att redogöra dels för de väsentliga kännetecknen för det klagomålsförfarande som föreskrivs i artikel 77 i dataskyddsförordningen, dels för de kategorier av personuppgifter som tillsynsmyndigheterna regelbundet och konkret ska behandla i detta sammanhang. Denna presentation kommer att göra det möjligt att bättre förstå arten och omfattningen av de uppgifter som tillsynsmyndigheterna utför när de genomför ett sådant förfarande.

a) De väsentliga kännetecknen för det ”klagomålsförfarande” som föreskrivs i artikel 77 i dataskyddsförordningen

28. Det klagomålsförfarande( 7 ) som inrättas genom artikel 77 i dataskyddsförordningen är en central mekanism i EU:s system för att säkerställa skyddet för fysiska personer med avseende på behandling av deras personuppgifter. Det är en del av det praktiska genomförandet av principen i artikel 8.3 i stadgan, enligt vilken efterlevnaden av dataskyddsreglerna ska övervakas av en oberoende myndighet. Domstolen har vid upprepade tillfällen påpekat att denna kontrollmekanism inte är av rent formell karaktär, utan syftar till att säkerställa ett effektivt och verkligt skydd av de grundläggande rättigheterna.( 8 )

29. Enligt artikel 77.1 i dataskyddsförordningen har varje registrerad rätt att utan särskilda formella krav och utan risk för kostnader lämna in ett klagomål till tillsynsmyndigheten i den medlemsstat där han eller hon har sin hemvist, sin arbetsplats eller den plats där den påstådda överträdelsen ägde rum. Eftersom denna rättighet utgör en väsentlig del av det skyddssystem som införts genom förordningen, får den varken tolkas eller tillämpas på ett sätt som gör det i praktiken omöjligt eller orimligt svårt att utöva den.( 9 )

30. Det är viktigt att påpeka att inlämnandet av ett klagomål inte endast ger tillsynsmyndigheten en allmän prövningsmöjlighet, utan ålägger den en konkret skyldighet att utreda ärendet på ett fullständigt, omsorgsfullt och opartiskt sätt. Det framgår nämligen av EU-domstolens praxis att varje tillsynsmyndighet, enligt artikel 57.1 f i dataskyddsförordningen, är skyldig att behandla klagomål som lämnas in inom dess territorium, undersöka klagomålens art i den mån det är nödvändigt och behandla dem med vederbörlig omsorg.( 10 )

31. Härav följer att en tillsynsmyndighet inte kan avstå från att behandla ett klagomål enbart av administrativa skäl eller av lämplighetsskäl. Den får inte heller begränsa sitt agerande till informell medling eller en renodlad underlättande roll. Den är tvärtom skyldig att pröva det påstådda åsidosättandet i faktiskt och rättsligt hänseende och, i förekommande fall, på ett effektivt sätt utöva sina korrigerande befogenheter enligt unionsrätten.( 11 )

32. De befogenheter som räknas upp i artikel 58 i dataskyddsförordningen ska enligt rättspraxis tolkas mot bakgrund av deras syfte, nämligen att säkerställa att förordningen ges full verkan. EU-domstolen har betonat tillsynsmyndigheternas skyldighet att vid konstaterade överträdelser vidta ”lämpliga och nödvändiga” korrigerande åtgärder och att använda alla de verktyg som står till deras förfogande. Detta krav omfattar repressiva åtgärder, eftersom passivitet kan äventyra förordningens ändamålsenliga verkan.( 12 )

33. Enligt artikel 77.2 i dataskyddsförordningen ska den enskilde dessutom underrättas om hur förfarandet fortskrider och om resultatet av förfarandet. Denna skyldighet iakttas endast om svaret gör det möjligt att fastställa att klagomålet faktiskt har varit föremål för en faktisk och rättslig prövning och att det innehåller de uppgifter som är nödvändiga för att kunna utöva en effektiv domstolsprövning. Förfarandet kan således inte begränsas till ett rent formellt beslut, utan ska utmynna i en detaljerad, vederbörligen motiverad bedömning som kan prövas av den domstol vid vilken talan väcks enligt artikel 78.1 i dataskyddsförordningen. Alla beslut som fattats av en tillsynsmyndighet angående ett klagomål omfattas nämligen av en fullständig domstolsprövning.( 13 )

34. Betraktat i sin helhet utgör det förfarande som föreskrivs i artikel 77 i dataskyddsförordningen inte bara en förvaltningsåtgärd, utan ett självständigt rättsmedel som inrättats genom unionsrätten och som både bidrar till skyddet av enskildas rättigheter och till det objektiva skyddet av rättsordningen i fråga om dataskydd. Domstolen har erkänt tillsynsmyndigheterna som institutionella garanter för ett system för strukturellt skydd av grundläggande rättigheter, vars uppgift inte är begränsad till passivt mottagande av klagomål, utan innebär en aktiv tillämpning av dataskyddsreglerna.

b) ”Behandling” av personuppgifter som utförs av en tillsynsmyndighet inom ramen för ett klagomålsförfarande

35. Efter att det erinrats om de väsentliga kännetecknen för klagomålsförfarandet ska det undersökas i vilken utsträckning en tillsynsmyndighets verksamhet utgör ”behandling” i den mening som avses i artikel 4 led 2 i dataskyddsförordningen. Detta begrepp definieras som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

36. Det ska i detta hänseende påpekas att en tillsynsmyndighet, inom ramen för ett förfarande som grundar sig på artikel 77 i dataskyddsförordningen, inte begränsar sig till att ta emot uppgifter. Den utför tvärtom en rad självständiga och strukturerade åtgärder som genomförs i syfte att den ska utföra sin lagstadgade uppgift att granska, utreda och kontrollera. Behandlingen inleds nämligen från inlämnandet av klagomålet, vilket innehåller uppgifter om den enskilde och, i förekommande fall, den personuppgiftsansvarige eller identifierbara tredje parter. Dessa uppgifter – som omfattas av begreppet personuppgifter i den mening som avses i artikel 4 led 1 i dataskyddsförordningen – registreras, integreras i en akt och lagras i tillsynsmyndighetens interna system, vilket redan innebär materiella och organisatoriska åtgärder som utgör en ”behandling”.( 14 )

37. Dessa åtgärder ingår bland de uppgifter som tillsynsmyndigheterna åläggs enligt artikel 57.1 i dataskyddsförordningen, såsom beskrivs i detta förslag till avgörande. Bland dessa uppgifter ingår bland annat granskning av klagomål (led f) samt utövande av utrednings- och beslutsbefogenheter (led h). Vid utförandet av dessa uppgifter agerar myndigheterna inom ramen för en funktionell och beslutsmässig självständighet som garanteras i unionsrätten och som konkret kommer till uttryck i hur klagomål handläggs och hur de kontrollbefogenheter som följer därav utövas.

38. Under förfarandet ska tillsynsmyndigheten göra en faktisk och rättslig prövning av de uppgifter som lämnats till den. Den ska samla in, organisera, analysera och bedöma uppgifterna mot bakgrund av det tillämpliga regelverket. Andra behandlingsåtgärder vidtas också när myndigheten begär ytterligare information från den personuppgiftsansvarige – mot vilken ett klagomål riktas och som är föremål för utredning – eller när den tar del av ytterligare handlingar som i sig kan innehålla personuppgifter. Denna information ska därefter tas emot, registreras, analyseras och bevaras av tillsynsmyndigheten. På samma sätt kan en koppling mellan dessa uppgifter och eventuella befintliga akter eller uppgifter betraktas som en ”behandling”.

39. De uppgifter som således behandlas använd för självständigt utövande av myndighetens utrednings- och beslutsbefogenheter.( 15 ) De används för fastställande av omständigheter, rättslig bedömning av dessa omständigheter, bedömning av möjliga korrigerande åtgärder och, i förekommande fall, antagande av bindande beslut eller förelägganden. De används även i samband med meddelanden om förfarandet som riktas till parterna, särskilt när den som lämnat in klagomålet eller den personuppgiftsansvarige informeras om resultatet av förfarandet.

40. Av det ovan anförda följer att tillsynsmyndigheten inte endast kan anses vara en ”mottagare” av uppgifter i den mening som avses i artikel 4 led 9 i dataskyddsförordningen. Eftersom den självständigt beslutar om formerna för insamling, analys, organisation och användning av dessa uppgifter för att utföra de uppgifter som den lagligen anförtrotts, agerar den som en aktör som genomför en ”behandling” i den fulla betydelsen av artikel 4 led 2 i dataskyddsförordningen. Denna aspekt kommer att behandlas mer ingående i nästa avsnitt.

2. Tillsynsmyndighetens möjlighet att ”bestämma ändamålen och medlen för behandlingen”

41. För att en tillsynsmyndighet ska kunna kvalificeras som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen krävs det även att den har befogenhet att fastställa ändamålen och medlen för behandlingen av personuppgifter.

42. Som nämnts ovan är tillsynsmyndighetens roll i ett klagomålsförfarande enligt artikel 77 i dataskyddsförordningen inte begränsad till enbart passivt mottagande av information. Den avgör i själva verket syftet med behandlingen, eftersom den beslutar att uppgifterna ska användas för att undersöka en eventuell överträdelse av dataskyddsreglerna, fastställa de faktiska omständigheterna och, i förekommande fall, förbereda och vidta kontrollåtgärder. Fastställandet av syftet är inte bara förutbestämt i lag, utan kräver även en självständig konkretisering från myndighetens sida från fall till fall, bland annat vad gäller prövningens omfattning, det exakta föremålet för utredningen och den rättsliga bedömningen av invändningarna.( 16 )

43. Tillsynsmyndigheten beslutar också självständigt i viktiga frågor om medlen för behandlingen. Den ska fastställa vilka personuppgifter som ska samlas in, i vilken form de ska registreras, struktureras och lagras, enligt vilka kriterier akter ska upprättas och digitala arkiv eller registrerade bevis ska organiseras samt de tekniska eller organisatoriska processer som används för analys, vidare behandling eller internt tillgängliggörande av uppgifterna. På samma sätt beslutar den om en begäran om information ska riktas till den som ifrågasätts, vilken ytterligare information som ska begäras, hur den ska sammanställas och hur länge den ska bevaras. Denna urvals- och organisationsbefogenhet är uppenbart mer omfattande än enbart utförandet av en underordnad eller stödjande uppgift.

44. Den behandling som faktiskt utförs bekräftar denna beslutsautonomi. Myndigheten ska registrera klagomålet, inleda sina egna ärenden, lagra och organisera de uppgifter som mottagits och som den samlar in, göra en bedömning av de faktiska och rättsliga omständigheterna, begära ytterligare handlingar, dokumentera utredningsåtgärder och, på grundval av sin egen analys, anta processuella och materiella beslut. Behandlingen tjänar således inte enbart till den tekniska hanteringen av en administrativ akt, utan utgör grunden för en självständig utredning, bedömning och beslutsfattande, som enligt unionsrätten uteslutande ankommer på tillsynsmyndigheten.

45. Den omständigheten att denna verksamhet ingår i utövandet av en lagstadgad uppgift innebär inte att ställningen som ”personuppgiftsansvarig” upphör. EU-domstolen har vid flera tillfällen erinrat om att offentliga myndigheter kan anses vara ”personuppgiftsansvariga” när de har ett utrymme för skönsmässig bedömning vad gäller de konkreta formerna för behandlingen.( 17 ) Det ska i detta hänseende påpekas att Landesamt själv vid förhandlingen medgav att den hade ett utrymme för skönsmässig bedömning vid fastställandet av sina uppgifter, inbegripet inom ramen för handläggningen av klagomål,( 18 ) vilket är ett uttryck för Landesamts självständighet.

46. Att bedöma tillsynsmyndigheten som ”personuppgiftsbiträde” kan inte heller godtas om det inte finns någon underordning vad gäller fastställandet av ändamål och medel, eftersom myndigheten inte agerar på uppdrag av tredje man utan i utövandet av sina egna befogenheter. I synnerhet agerar tillsynsmyndigheten inte på något sätt på uppdrag av den personuppgiftsansvarige som klagomålet avser, utan utövar en offentlig befogenhet som den tilldelats för att säkerställa efterlevnaden av unionsrätten.

47. Även om den aktuella behandlingen i allmänhet grundar sig på artikel 6.1 e i dataskyddsförordningen, jämförd med artikel 57.1 f och h i dataskyddsförordningen, säkerställer förekomsten av en rättslig grund endast att behandlingen är laglig, utan att det utesluter ställningen som ”ansvarig” för behandlingen. Tvärtom bekräftar den omständigheten att lagen ger myndigheten i uppdrag att utföra tillsynsuppgifter att den behandlar uppgifterna i samband med fullgörandet av sina egna rättsliga skyldigheter och på det sätt som myndigheten själv fastställer. I egenskap av ”ansvarig” omfattas den således som regel av de allmänna skyldigheterna i dataskyddsförordningen, särskilt de principer som anges i artikel 5 och rättigheterna för de personer som förtecknas i kapitel III i förordningen, förutsatt att dessa rättigheter inte har begränsats på ett giltigt sätt genom en lagbestämmelse som är tillräckligt klar och proportionerlig, i enlighet med artikel 23 i dataskyddsförordningen.

48. Tillsynsmyndigheternas oberoende, som fastställs i artikel 52 i dataskyddsförordningen och bekräftas i skäl 117, kräver att de bedöms vara ”personuppgiftsansvariga” när det gäller åtgärder som rör personuppgifter som de utför inom ramen för sina lagstadgade uppgifter. Endast ett självständigt fastställande av ändamålen och medlen för den berörda behandlingen, med det ansvar som följer därav, gör det möjligt för dem att utöva sina kontroll- och efterlevnadsbefogenheter helt oberoende i förhållande till de enheter som de utövar tillsyn över. Om de, inom ramen för handläggningen av klagomål, endast betraktades som fullgörare av ändamål som fastställts av tredje man, skulle deras institutionella autonomi äventyras, de skulle placeras i ett beroendeförhållande till de ansvariga som undersökts och det krav på ansvar som föreskrivs i unionsrätten skulle förlora sitt innehåll. Tillsynsmyndigheten måste således själv ansvara för den behandling av personuppgifter som sker inom ramen för klagomålsförfarandet, eftersom de registrerades rättigheter enligt dataskyddsförordningen är fullt tillämpliga på den.( 19 )

49. Slutligen skulle den registrerade, om tillsynsmyndigheten inte ansågs vara ”personuppgiftsansvarig” i samband med behandlingen av klagomål, till stor del sakna skydd mot en central del av behandlingen av hans eller hennes personuppgifter. De registrerades rättigheter enligt artiklarna 12–22 i dataskyddsförordningen, särskilt rätten till tillgång enligt artikel 15, kan nämligen endast utövas mot den personuppgiftsansvarige. Utan denna kvalificering skulle den registrerade inte kunna veta vilka uppgifter myndigheten samlar in och behandlar inom ramen för klagomålet eller begära rättelse, radering eller begränsning av uppgifterna. Den behandling av uppgifter som utförs av myndigheten skulle således inte omfattas av något krav på öppenhet och ansvar, trots att denna myndighet just har till uppgift att säkerställa skyddet av de registrerades rättigheter. Om tillsynsmyndigheten inte ansågs vara ”personuppgiftsansvarig” skulle det således skapa en strukturell lucka i skyddet, vilket skulle beröva den registrerade, i dennes förhållande till tillsynsmyndigheten, de grundläggande garantier som föreskrivs i dataskyddsförordningen.( 20 )

50. Härav följer att en tillsynsmyndighet, i samband med behandlingen av klagomål som inges enligt artikel 77 i dataskyddsförordningen, beslutar om ändamålen och medlen för behandlingen och inte begränsar sig till att ta emot eller administrera uppgifter som fastställts av en tredje part. Den agerar i egenskap av självständig aktör som samlar in, organiserar, analyserar och använder personuppgifter som grund för beslut som rör utövandet av offentliga maktbefogenheter . Den ska således bedömas vara ”personuppgiftsansvarig” i den mening som avses i den vida definitionen i artikel 4 led 7 i dataskyddsförordningen.( 21 )

51. För fullständighetens skull ska det påpekas att den omständigheten att unionslagstiftaren inte uttryckligen har föreskrivit en situation där en tillsynsmyndighet, inom ramen för ett klagomålsförfarande, samtidigt agerar i egenskap av ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, inte utgör ett relevant argument som kan utgöra hinder för en sådan bedömning. Det avgörande är tvärtom huruvida denna myndighet uppfyller de materiella villkoren i nämnda bestämmelse. Såsom framgår av bedömningen ovan är det uppenbart att så är fallet i förevarande mål.

52. I detta sammanhang kan Landesamts argument att vissa bestämmelser i dataskyddsförordningen med nödvändighet förutsätter en strikt åtskillnad mellan å ena sidan tillsynsmyndigheten och å andra sidan den ”personuppgiftsansvarige” inte heller godtas. Dessa bestämmelser avser endast den teoretiska situation som unionslagstiftaren har förutsett, i vilken dessa två roller inte sammanfaller. De utesluter emellertid inte att en tillsynsmyndighet, under vissa omständigheter – såsom de som är aktuella i det nationella målet – samtidigt kan uppfylla villkoren för att anses som ”personuppgiftsansvarig”.

53. I den mån det i vissa bestämmelser i dataskyddsförordningen föreskrivs ett ”samarbete” eller ett ”samråd” mellan den ”personuppgiftsansvarige” och tillsynsmyndigheten, bland annat i artiklarna 31 och 36, kan en eventuell konflikt till följd av överlappande roller lösas genom en teleologisk tolkning av förordningen. En sådan tolkning innebär att tillsynsmyndighetens interna förfaranden ska organiseras och samordnas på ett sådant sätt att det säkerställs att de mål som eftersträvas med de berörda bestämmelserna uppnås på ett effektivt sätt.

3. Huruvida den som ingett ett klagomål har en rätt till tillgång enligt artikel 15 i dataskyddsförordningen

54. Såsom har angetts i detta förslag till avgörande medför bedömningen av tillsynsmyndigheten som ”personuppgiftsansvarig” en skyldighet för tillsynsmyndigheten att säkerställa efterlevnaden av de rättigheter som tillkommer registrerade enligt kapitel III i dataskyddsförordningen. Bland dessa rättigheter återfinns särskilt rätten till tillgång enligt artikel 15 i förordningen.

55. I ett förfarande enligt artikel 77 i dataskyddsförordningen har den som ingett ett klagomål som regel även ställning som ”registrerad” i den mening som avses i förordningen. Den får därför kräva att tillsynsmyndigheten bekräftar om personuppgifter som rör honom eller henne behandlas. Om svaret är jakande omfattar rätten till tillgång även all den information som uttömmande räknas upp i artikel 15.1 a-h i dataskyddsförordningen, däribland ändamålen med behandlingen, de kategorier av uppgifter som berörs, mottagarna eller kategorierna av mottagare, lagringstiden samt information om de rättigheter som den registrerade har tillgång till.

a) Rätten att erhålla en ”kopia” enligt artikel 15.3 i dataskyddsförordningen

56. Rätten till tillgång innebär bland annat att den registrerade har rätt att erhålla en kopia av uppgifterna enligt artikel 15.3 i dataskyddsförordningen. Enligt denna bestämmelse ska den personuppgiftsansvarige förse den registrerade med en återgivning av hans eller hennes personuppgifter i en begriplig form som gör det möjligt att exakt förstå omfattningen av och formerna för behandlingen av dem. Syftet med denna rätt är att ge den registrerade möjlighet att kontrollera vilka uppgifter som rör honom eller henne som behandlas, identifiera källan till dem, förstå ändamålen och känna till eventuella mottagare.( 22 )

57. Domstolen har slagit fast att kopian ska tillhandahållas på villkor som möjliggör en effektiv kontroll av att behandlingen är laglig och att de övriga rättigheter som föreskrivs i dataskyddsförordningen kan utövas på ett ändamålsenligt sätt.( 23 ) Termen ”kopia” avser inte en handling som sådan, utan de personuppgifter som den innehåller. Det viktiga är att dessa uppgifter lämnas på ett fullständigt, tydligt och lämpligt sätt för att återge deras innebörd. För att säkerställa att denna rätt är effektiv kan det visa sig nödvändigt att mångfaldiga utdrag ur handlingar – eller till och med hela handlingar – eller utdrag ur databaser som bland annat innehåller personuppgifter som är föremål för behandling.( 24 )

58. Omfattningen av denna rättighet begränsas emellertid strikt av dess funktion. Den omfattar endast den registrerades ”personuppgifter” och omfattar all information som rör honom eller henne eller som gör det möjligt att identifiera honom eller henne, i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. När det sammanhang där dessa uppgifter förekommer är nödvändigt för att de ska kunna förstås fullt ut, kan skyldigheten att lämna ut uppgifter innebära att ett lämpligt utdrag eller en kontextuell presentation översänds, i den utsträckning som krävs för att uppfylla kraven på öppenhet och insyn. Rätten att erhålla en kopia utgör således en central del av den rätt att bestämma över information om sig själva som införts genom dataskyddsförordningen, eftersom den garanterar den registrerade en betydande kontroll över behandlingen av hans eller hennes uppgifter och gör det möjligt för vederbörande att kontrollera att den uppfyller kraven i unionsrätten.

b) I artikel 15 i dataskyddsförordningen föreskrivs inte någon ”allmän rätt till tillgång till handlingarna i ärendet”.

59. Denna rätt till tillgång enligt artikel 15 i dataskyddsförordningen, som är specifik för systemet för skydd av personuppgifter, kan emellertid inte likställas med en allmän rätt till tillgång till handlingarna i akten eller med ett krav på administrativ öppenhet med allmän räckvidd . Denna bestämmelse syftar uteslutande till att säkerställa insyn i behandlingen för att göra det möjligt för den registrerade att kontrollera behandlingens laglighet och på ett ändamålsenligt sätt utöva de rättigheter som följer därav, bland annat rätten till rättelse, radering (”rätten att bli glömd”), begränsning av behandling eller rätt att göra invändningar.( 25 ) Den föreskriver däremot varken någon allmän rätt att få tillgång till information som innehas av administrationen, någon rätt att ta del av interna handlingar och än mindre någon rätt att få tillgång till uppgifter som ingår i den offentliga myndighetens interna överläggnings- eller beslutsförfarande. Detta blir uppenbart när rätten till tillgång enligt artikel 15 i dataskyddsförordningen jämförs med andra rättigheter till tillgång enligt unionsrätten och nationell rätt.

60. För det första har artiklarna 15 och 77.2 i dataskyddsförordningen olika syften och ska därför strikt särskiljas från varandra. I artikel 77.2 föreskrivs en processuell rätt att bli informerad om hur handläggningen av klagomålet fortskrider och vad resultatet blir, men det föreskrivs inte någon rätt till tillgång till uppgifter eller handlingar på grundval av bestämmelserna om uppgiftsskydd. Medan artikel 15 i dataskyddsförordningen syftar till att säkerställa att den enskilde har kontroll över sina egna personuppgifter, är artikel 77.2 alltså kopplad till kravet på insyn i förfarandet vid den administrativa handläggningen av klagomål. Dessa bestämmelser, som är självständiga i fråga om syfte och räckvidd, får inte förväxlas eller ersättas med varandra. Det rör sig om oberoende rättsordningar som följer olika normativa logiker, lyder under egna villkor för utövande och inte är avsedda att överlappa varandra eller ersätta varandra.

61. För det andra inrättas genom artikel 15 i dataskyddsförordningen uteslutande en rätt till tillgång till personuppgifter och den ger ingen rätt till tillgång till handlingarna i ärendet eller någon rätt att ta del av handlingar som myndigheten innehar.( 26 ) Dess tillämpningsområde begränsar sig till överlämnande av personuppgifter som är föremål för behandling och avser varken öppenhet i förvaltningen eller tillgång till interna beslutsprocesser. Rätten att få tillgång till handlingarna i ärendet omfattas således – med undantag för sektorsspecifika unionsrättsliga bestämmelser – av medlemsstaternas normgivningskompetens, där den i allmänhet regleras av lagstiftningen om det allmänna förvaltningsförfarandet, av särskilda processuella bestämmelser, av lagarna om informationsfrihet och insyn eller av särskilda yrkes- eller sektorsspecifika regler.( 27 )

62. Härav följer att artikel 15 i dataskyddsförordningen inte ger någon rätt att erhålla eller ta del av den administrativa akten i sig. I synnerhet omfattar rätten till tillgång inte interna rättsliga analyser, yttranden, anteckningar, tjänstemeddelanden, förberedande handlingar eller, mer allmänt, uppgifter som rör den interna processen för utarbetande eller motivering av det administrativa beslutet. När en handling som innehas av myndigheten innehåller personuppgifter som rör den enskilde, är skyldigheten att ge tillgång begränsad till utlämnandet av dessa uppgifter som sådana och inte till överlämnandet eller mångfaldigandet av hela det dokumentunderlag som innehåller dem. Slutligen omfattas information som inte har något direkt eller indirekt samband med den registrerade till sin natur inte av det materiella tillämpningsområdet för artikel 15 i dataskyddsförordningen.

63. Det ska dessutom erinras om att den rätt till tillgång som föreskrivs i artikel 15 i dataskyddsförordningen kan bli föremål för vissa begränsningar enligt artikel 23.1 i samma förordning, förutsatt att de villkor som anges i den artikeln är uppfyllda. Denna aspekt är föremålet för den andra tolkningsfrågan, som jag kommer att behandla i nästa avsnitt.

4. Förslag till avgörande i denna del

64. Mot bakgrund av det ovan anförda anser jag att den första frågan ska besvaras så, att artikel 15 jämförd med artikel 4 led 7 i dataskyddsförordningen ska tolkas så, att en tillsynsmyndighet, i den mening som avses i artikel 4 led 21 i förordningen, när den agerar inom ramen för ett klagomålsförfarande som grundar sig på artikel 77 i förordningen, även är ”personuppgiftsansvarig” i den mening som avses i samma förordning och således är skyldig att säkerställa den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen.

C. Den andra tolkningsfrågan

1. De begränsningar av rätten att få tillgång till de personuppgifter som anges i artikel 23 i dataskyddsförordningen

65. Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i förhållandet mellan artikel 23 i dataskyddsförordningen och en nationell bestämmelse som, i likhet med artikel 20.2 BayDSG, generellt utesluter varje rätt till tillgång till eller att ta del av handlingar gentemot dataskyddsmyndigheten. För att besvara denna fråga krävs en fördjupad analys av dataskyddsförordningens systematik, såsom den framgår av dess lydelse, syfte och relevanta skäl, samt av genomförandet av de principer som domstolen har slagit fast om möjliga begränsningar av de registrerades rättigheter.

66. I artikel 23 i dataskyddsförordningen föreskrivs att unionens eller medlemsstaternas lagstiftningsåtgärder som den personuppgiftsansvarige omfattas av får begränsa bland annat den rätt till tillgång som garanteras i artikel 15, förutsatt att en sådan begränsning respekterar andemeningen i de grundläggande rättigheterna och friheterna och i ett demokratiskt samhälle utgör en nödvändig och proportionell åtgärd för att uppnå något av de legitima mål som anges i leden a-j i denna bestämmelse. Artikel 23.1 i dataskyddsförordningen kan emellertid inte tolkas så, att den ger den nationella lagstiftaren befogenhet att fritt ersätta bestämmelserna i artiklarna 12–22 i förordningen med sin egen ordning. I denna bestämmelse fastställs tvärtom en uttömmande katalog över öppningsklausuler som ger den nationella lagstiftaren rätt att, av just de skäl som räknas upp, föreskriva begränsningar av de registrerades rättigheter och av de skyldigheter som åligger den personuppgiftsansvarige enligt samma artiklar.( 28 )

67. Genom artikel 23 i dataskyddsförordningen införs således en undantagsordning för de områden som avses i den, vilka huvudsakligen avser utförandet av offentliga uppgifter och fullföljandet av tvingande hänsyn av allmänintresse som kan motivera att de registrerades rättigheter inskränks i förhållande till andra verksamhetssektorer. I detta avseende ska hänsyn tas till skäl 4 första och andra meningen i dataskyddsförordningen, enligt vilket det ska göras en avvägning mellan de aktuella grundläggande rättigheterna och det ska säkerställas att de planerade begränsningarna är motiverade, nödvändiga och proportionerliga i förhållande till konkurrerande rättigheter och intressen.

68. Av beslutet om hänskjutande framgår att även om förarbetena till den bayerska lagen uttryckligen nämner artikel 23 i dataskyddsförordningen som rättslig grund för artikel 20.2 i BayDSG, hänvisar den inte till något av de mål som anges i denna bestämmelse. Det anges endast att denna regel återspeglar det särskilda kravet på ändamål för de uppgifter som erhålls inom ramen för tillsynsverksamheten avseende dataskydd. Den hänskjutande domstolen har emellertid påpekat att denna bestämmelse, enligt Landesamts yttrande i målet vid den nationella domstolen, i själva verket har två huvudsakliga syften: dels bevarande av konfidentialiteten för personuppgifter från tredje part, dels säkerställande av att tillsynsmyndigheten fungerar väl och är oberoende.

69. I enlighet med de principer som styr den samarbetsmekanism som inrättats genom artikel 267 FEUF mellan unionsdomstolen och de nationella domstolarna – enligt vilka tolkningen av nationell rätt uteslutande omfattas av de hänskjutande domstolarnas behörighet( 29 ) och EU-domstolen är skyldig att förlita sig på de preciseringar som dessa har gjort beträffande innehållet i och räckvidden av denna rätt( 30 ) – kommer jag att utgå från dessa omständigheter som grund för min bedömning.

2. Huruvida ett generellt undantag från rätten till tillgång enligt artikel 15 i dataskyddsförordningen är förenligt med artikel 23 i samma förordning

70. I det följande kommer jag att avgöra huruvida ett generellt undantag från rätten till tillgång enligt artikel 15 i dataskyddsförordningen kan motiveras mot bakgrund av de ovannämnda lagstiftningsmålen. Jag kommer även att bedöma huruvida en sådan lagstiftning uppfyller de ytterligare krav som uppställs i artikel 23 i dataskyddsförordningen för varje begränsning av denna rätt.

a) Huruvida det eftersträvade målet är legitimt

1) Skydd av konfidentialiteten för tredje parts personuppgifter

71. Skyddet för konfidentialiteten för tredje parts personuppgifter utgör ett berättigat mål i den mening som avses i dataskyddsförordningen, vilket i princip kan motivera begränsningar av de registrerades rättigheter. Det ska påpekas att när det gäller rätten till tillgång enligt artikel 15 i dataskyddsförordningen anges i skäl 63 i förordningen att ”[d]enna rätt [inte] bör … inverka menligt på andras rättigheter eller friheter”. Det beaktas således att rätten till skydd av personuppgifter, såsom framgår av skäl 4 i dataskyddsförordningen, inte är en absolut rättighet, eftersom den måste bedömas utifrån sin funktion i samhället och vägas mot andra grundläggande rättigheter.( 31 )

72. I artikel 23.1 i) i dataskyddsförordningen hänvisas uttryckligen till skyddet av ”andras rättigheter och friheter”, vilket bekräftas i skäl 73. När det är fråga om personuppgifter om anställda vid förvaltningen eller enskilda personer kan den nationella lagstiftaren följaktligen med giltig verkan hänvisa till den omständigheten att ett utlämnande av uppgifterna skulle undergräva personlighetsskyddet och att det finns ett skyddsbehov som ska vägas mot den enskildes rätt till tillgång till handlingar.

2) Skyddet av tillsynsmyndigheternas korrekta funktion och oberoende

73. Upprätthållandet av tillsynsmyndigheternas korrekta funktion och oberoende vid beslutsfattande utgör också ett berättigat mål i den mening som avses i artikel 23.1 i dataskyddsförordningen. Unionslagstiftaren har nämligen gett dem en central roll i det europeiska systemet dataskydd, vilket framgår dels av artikel 52, som garanterar deras fullständiga oberoende, dels av omfattningen av de utredningsbefogenheter och korrigerande befogenheter som föreskrivs i artiklarna 57 och 58.( 32 ) Domstolen har i detta avseende i sin praxis påpekat att dessa myndigheters funktion ska säkerställas, bland annat genom att tillse att den inte hindras av uppenbart ogrundade eller orimliga klagomål, i den mening som avses i artikel 57.4 i dataskyddsförordningen.( 33 )

74. Mot bakgrund av artikel 23.1 h i dataskyddsförordningen, enligt vilken det är möjligt att anta begränsningar när dessa är nödvändiga för att utföra uppgifter avseende ”tillsyn” och ”inspektion” i samband med utövandet av offentlig makt, kan en begränsning av rätten till tillgång generellt vara motiverad. Med hänsyn till befintliga paralleller ska även det mål som anges i artikel 23.1 f i dataskyddsförordningen, såsom det preciseras i skäl 73, beaktas, nämligen att säkerställa domstolsväsendets oberoende och skyddet för genomförandet av rättsliga förfaranden. Tillsynsmyndigheterna är visserligen inte rättsvårdande. I likhet med statliga rättstillämpande organ spelar de dock en viktig roll när det gäller att upptäcka och bestraffa överträdelser av lagstiftningen om skydd av personuppgifter. Av detta följer att en analog tillämpning av denna bestämmelse under alla omständigheter kan komma i fråga.

3) Skydd av den allmänna säkerheten

75. För fullständighetens skull ska det påpekas att det i beslutet om hänskjutande även hänvisas till skyddet för allmän säkerhet, i den mening som avses i artikel 23.1 c i dataskyddsförordningen, som en möjlig motivering, utan att det för den skull lämnas några närmare uppgifter. Jag delar emellertid den hänskjutande domstolens och kommissionens bedömning att ett sådant åberopande inte framstår som välgrundat. Mot bakgrund av de faktiska omständigheterna i det nationella målet, såsom de har beskrivits av den hänskjutande domstolen, är det uppenbart att en sådan begränsning inte är relevant. Denna rättfärdigandegrund kommer följaktligen inte att beaktas vid bedömningen nedan.

b) De krav som följer av dataskyddsförordningens regelverk

76. Det ska för det första konstateras att intresset av att personuppgifter om tredje part behandlas konfidentiellt vederbörligen beaktas i en sådan nationell lagstiftning som artikel 20.2 BayDSG, eftersom den kategoriskt förbjuder utlämnande av sådana uppgifter. Det kan inte heller uteslutas att den omständigheten att tillsynsmyndigheterna inte samarbetar vid handläggningen av ansökningar om tillgång till handlingar kan leda till en omfördelning av personal och materiella resurser till andra verksamhetsområden, vilket i förekommande fall kan medföra vissa effektivitetsvinster.

77. För det andra ger sådana omständigheter upphov till osäkerhet om huruvida de är förenliga med det regelverk som unionslagstiftaren införde vid antagandet av dataskyddsförordningen, och särskilt med förordningens allmänna systematik, vilken grundar sig på en avvägning mellan flera intressen: insyn i behandlingen av uppgifter, bevarande av konfidentialitet när detta är nödvändigt och ett effektivt skydd av dessa intressen från tillsynsmyndigheternas sida. En nationell lagstiftning som inte på ett adekvat sätt återspeglar avvägningen mellan dessa intressen kan således inte uppfylla kraven i artikel 23.1 i dataskyddsförordningen. Detsamma gäller när det visar sig att åtgärder som i mindre utsträckning inskränker de grundläggande rättigheterna, men som är lika effektiva för att uppnå de eftersträvade målen, kan komma i fråga.( 34 )

78. Det ska i detta hänseende erinras om att den rätt till tillgång som föreskrivs i artikel 15 i dataskyddsförordningen har utformats som en väsentlig del av principen om öppenhet. Detta framgår tydligt av skäl 63, enligt vilket den registrerade ska ges möjlighet att bli ”medveten om att behandling sker” för att säkerställa att de rättigheter som han eller hon har enligt förordningen är effektiva. Domstolen har vid flera tillfällen bekräftat denna uppfattning genom att påpeka att rätten till tillgång har en central plats i den allmänna systematiken i det system som inrättats genom förordningen. En nationell bestämmelse som fråntar den registrerade denna rätt på ett allmänt och odifferentierat sätt undergräver således själva kärnan i det skyddssystem som inrättats av unionslagstiftaren.

79. Även om det är riktigt att artikel 23 i dataskyddsförordningen tillåter begränsningar av registrerades rättigheter, inbegripet rätten till tillgång, av hänsyn till allmänintresset, kräver den samtidigt att sådana begränsningar har en tillräckligt precis rättslig grund. Denna grund bör tydligt ange begränsningens art, omfattning och gränser samt de skyddsåtgärder som krävs för att förhindra risken för missbruk. I skäl 41 preciseras härvidlag att varje begränsning av en rättighet som garanteras i förordningen måste vara ”tydlig och precis” och ”förutsebar” för den registrerade, som måste kunna fastställa omfattningen av eventuella begränsningar av sina rättigheter.( 35 ) En nationell bestämmelse i vilken det föreskrivs ett absolut undantag från rätten till tillgång utan att dess materiella eller personliga tillämpningsområde fastställs och utan att det föreskrivs några skyddsåtgärder kan inte uppfylla de sålunda uppställda kraven.

80. I skäl 60 i dataskyddsförordningen erinras dessutom om att öppenhet är en grundläggande princip för behandling av personuppgifter, som även är tillämplig på offentliga myndigheters verksamhet. Även om viss information tillfälligt kan undantas från utlämnande inom ramen för ett klagomålsförfarande, särskilt för att inte äventyra förebyggandet, upptäckten eller utredningen av brott,( 36 ) måste en sådan reservation förbli strikt nödvändig och proportionerlig och får inte leda till att öppenheten gentemot den registrerade helt går om intet. En nationell bestämmelse som utesluter varje form av tillgång, utan att göra åtskillnad mellan personuppgifter och interna handlingar, strider således mot systematiken i dataskyddsförordningen.

81. Domstolen har även, mot bakgrund av artikel 52.1 i stadgan, slagit fast att de begränsningar som kan göras av en grundläggande rättighet inte bara ska vara förenliga med legalitetsprincipen och proportionalitetsprincipen, utan även med principen om iakttagande av ”det väsentliga innehållet” i den aktuella rättigheten.( 37 ) I skäl 4 i dataskyddsförordningen bekräftas att skydd av personuppgifter är en grundläggande rättighet som fastställs i artikel 8 i stadgan och som endast får begränsas med iakttagande av proportionalitetsprincipen. Ett fullständigt uteslutande av rätten till tillgång till handlingar leder emellertid till att den berörda personen berövas själva kärnan i denna rätt, genom att denne hindras från att, även på ett minimalt sätt, kontrollera den behandling som vederbörande är föremål för.

82. I skäl 75 betonas dessutom att avsaknad av insyn eller otillräcklig insyn i sig utgör en risk som allvarligt kan påverka de registrerades rättigheter och friheter. En lagstiftning som helt berövar den berörda personen möjligheten att få kännedom om den behandling som genomförs avseende vederbörande skapar just den risksituation som lagstiftaren har velat förebygga.

83. Det bör tilläggas att tillsynsmyndigheter i skäl 129 i dataskyddsförordningen definieras som oberoende organ med ansvar för att se till att förordningen efterlevs och för att skydda de registrerades rättigheter. Denna uppgift, liksom deras plats i den tillsynsmekanism som inrättats genom dataskyddsförordningen, innebär emellertid inte att de är befriade från samtliga skyldigheter som följer av dataskyddsförordningen. Dataskyddsförordningen skapar tvärtom en enhetlig rättslig ram inom vilken tillsynsmyndigheterna, samtidigt som de utövar sina befogenheter, fullt ut omfattas av de regler som fastställs i dataskyddsförordningen, bland annat bestämmelserna om de registrerades rättigheter. En nationell bestämmelse som helt utesluter utlämnande av uppgifter om den registrerade undergräver denna balans och undergräver kravet på ansvar för tillsynsmyndigheterna.

84. Ett absolut undantag från rätten till tillgång förefaller dessutom oförenligt med det mål som eftersträvas med dataskyddsförordningen, nämligen att säkerställa en hög dataskyddsnivå för fysiska personer, såsom det erinras om i skäl 10.( 38 ) Den skyddsnivå som avses vilar på ett väsentligt sätt på öppenhet och möjlighet för den registrerade att kontrollera den behandling som berör honom eller henne. Rätten till tillgång enligt artikel 15 är i detta avseende en nödvändig förutsättning, eftersom den ligger till grund för det faktiska utövandet av alla andra rättigheter för de registrerade.( 39 ) Att generellt utesluta denna rätt skulle innebära att viss behandling undantogs från varje individuell prövning och därmed äventyra effektiviteten av den höga skyddsnivå som unionslagstiftaren har eftersträvat.

85. När det gäller målet att skydda tredje mans rättigheter och friheter, vilket har åberopats för att motivera en begränsning av rätten till tillgång, ska det erinras om att domstolen har slagit fast att i händelse av en konflikt mellan rätten till tillgång till handlingar och andra personers fri- och rättigheter ska myndigheterna göra en avvägning mellan de föreliggande intressena. Det framgår uttryckligen av skäl 63 i dataskyddsförordningen att denna avvägning inte i något fall kan motivera ett fullständigt berövande av tillgång.( 40 ) Anpassade arrangemang, såsom partiellt utlämnande, maskering eller anonymisering av uppgifter, skydd av rapporterande personers identitet, differentierad behandling av olika kategorier av handlingar eller tillhandahållande av strukturerad information som inte är individualiserad, gör det möjligt att förena de berörda intressena utan att helt utradera rätten till tillgång.

86. Vad gäller det åberopade behovet av att säkerställa ett oberoende och effektivt utövande av tillsynsmyndigheternas uppgifter, framgår det inte på vilket sätt utövandet av rätten till tillgång enligt artikel 15 i dataskyddsförordningen skulle kunna äventyra detta mål. Jag delar den hänskjutande domstolens bedömning att tillsynsmyndigheternas oberoende inte på något sätt innebär att lagenligheten av den behandling av personuppgifter som de genomför ska undantas från den registrerades kontroll. Den risk för ett eventuellt ”inflytande” som Landesamt har gjort gällande kan således inte godtas.

87. Såsom anges i detta förslag till avgörande innehåller artikel 15 i dataskyddsförordningen inte heller någon allmän rätt till tillgång till handlingarna i akten,( 41 ) vilket innebär att den administrativa börda som detta medför bör förbli begränsad. Bortsett från detta bör det påpekas att artikel 12.5 i förordningen ger tillsynsmyndigheterna ett lämpligt instrument för att hantera otillbörliga eller orimliga begäranden.( 42 ) De har även befogenhet att vidta olika förvaltningsåtgärder, såsom att tillfälligt avstå från att lämna ut information under förfarandets gång, att utesluta vissa interna handlingar från utlämnandet, att skilja mellan olika typer av förfaranden, att endast lämna ut information avseende redan avslutade faser eller att inrätta organisatoriska mekanismer som säkerställer att de interna förfarandena inte störs av ansökningar om tillgång till handlingar. Sådana åtgärder gör det möjligt att säkerställa att tillsynsmyndigheterna fungerar väl utan att för den skull helt utesluta rätten till tillgång enligt artikel 15 i dataskyddsförordningen.

88. Det är också viktigt att komma ihåg att tillsynsmyndigheternas effektivitet i hög grad är beroende av att nödvändiga resurser ställs till deras förfogande, nämligen de personalmässiga, tekniska och ekonomiska resurserna samt de lokaler och den infrastruktur som krävs för att de effektivt ska kunna utföra sina uppgifter och utöva sina befogenheter.( 43 ) I artikel 52.4 i dataskyddsförordningen föreskrivs uttryckligen att medlemsstaterna ska säkerställa en sådan tilldelning. Ur detta perspektiv kan frågan om tillsynsmyndigheternas funktion inte begränsas till enbart antalet begäranden om tillgång med stöd av artikel 15 i dataskyddsförordningen. Otillräckliga resurser från myndigheterna får under inga omständigheter leda till en lägre skyddsnivå för personuppgifter.

89. Det framgår av beslutet om hänskjutande att artikel 20.2 BayDSG utgör ett särdrag i den tyska rättsordningen, eftersom ingen annan delstat föreskriver ett jämförbart undantag från rätten till tillgång till handlingar. En sådan isolerad rättslig företeelse utgör ett starkt indicium på att en begränsning av denna räckvidd inte kan anses vara nödvändig eller proportionerlig i den mening som avses i artikel 23.1 i dataskyddsförordningen. Eftersom alla andra tillsynsmyndigheter utför sina uppgifter utan att generellt upphäva de registrerades rättigheter, förefaller det svårt att hävda att en sådan åtgärd skulle vara nödvändig för att myndigheten ska fungera väl eller för att skydda tredje mans rättigheter. En lagstiftning som är specifik för en enda delstat och som begränsar de rättigheter som garanteras genom dataskyddsförordningen på ett betydligt starkare sätt än de som gäller i andra delar av landet förefaller inte uppfylla de krav på konsekvens, nödvändighet och proportionalitet som följer av unionsrätten.

90. Det bör därför konstateras att för de två åberopade målen – skyddet av tredje parts rättigheter och bevarandet av den korrekta utförandet av tillsynsmyndigheternas uppgifter – kan de eftersträvade resultaten uppnås genom mindre restriktiva, differentierade och unionsrättsliga åtgärder utan att tillgångsrättens kärna upphävs, utan att den nödvändiga öppenheten gentemot den registrerade försvinner och utan att möjligheten att kontrollera lagligheten av den behandling som utförs hindras.

91. En annan kritisk aspekt är att artikel 20.2 BayDSG inte gör det möjligt att identifiera det mål som eftersträvas av den nationella lagstiftaren. Såsom framgår av de uppgifter som den hänskjutande domstolen har lämnat anges i förarbetena endast artikel 23 i dataskyddsförordningen som rättslig grund, dock utan att det hänvisas till något av de mål som räknas upp i denna bestämmelse. Enligt artikel 23 i dataskyddsförordningen krävs emellertid att syftet med begränsningen tydligt framgår av själva bestämmelsen, vilket är ett nödvändigt villkor för en effektiv kontroll av att nödvändighets- och proportionalitetsprinciperna iakttas.

92. Detta krav på klarhet kan inte avhjälpas genom att en part i ett mål om förhandsavgörande med stöd av artikel 267 FEUF anger skäl i efterhand, särskilt när denna part är den part som omfattas av den aktuella begränsningen. Att godta en sådan möjlighet skulle innebära att den demokratiskt ansvariga lagstiftarens vilja ersattes med en argumentationskonstruktion som utvecklats inom ramen för en tvist, vilket skulle vara oförenligt med de krav på förutsebarhet, transparens i lagstiftningen och rättssäkerhet som följer av artikel 23.1 och 23.2 i dataskyddsförordningen.

93. Under dessa omständigheter finner jag att ett allmänt och odifferentierat undantag från rätten till tillgång, såsom det som föreskrivs i artikel 20.2 BayDSG, inte är förenligt med kraven i artikel 23 i dataskyddsförordningen, eftersom det inte innehåller någon av de uppgifter som uttryckligen krävs enligt punkt 2 i denna artikel och inte respekterar vare sig förordningens systematik eller syfte såsom de framgår av de relevanta skälen. En sådan bestämmelse framstår som oproportionerlig, inte tillräckligt bestämd och av sådan art att den kan frånta rätten till tillgång dess väsentliga innehåll.

3. Förslag till avgörande i denna del

94. Av de skäl som angetts ovan anser jag att artikel 23 i dataskyddsförordningen ska tolkas så, att den utgör hinder för en sådan nationell lagstiftning som artikel 20.2 BayDSG, i den mån denna lagstiftning i sig utesluter rätt till tillgång med stöd av artikel 15 i förordningen gentemot tillsynsmyndigheten.

VI. Förslag till avgörande

95. Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara tolkningsfrågorna från Bayerisches Verwaltungsgericht Ansbach (Bayerns förvaltningsdomstol i Ansbach, Tyskland) på följande sätt:

1) Artikel 15, jämförd med artikel 4 led 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att en tillsynsmyndighet i den mening som avses i artikel 4 led 21 i förordningen, när den agerar inom ramen för ett klagomålsförfarande som grundar sig på artikel 77 i förordningen, även är ”personuppgiftsansvarig” i den mening som avses i samma förordning och således är skyldig att säkerställa den registrerades rätt till tillgång enligt artikel 15 i förordning 2016/679.

2) Artikel 23 i förordning 2016/679

ska tolkas så,

att den utgör hinder för en nationell bestämmelse, såsom den som föreskrivs i artikel 20.2 i den bayerska dataskyddslagen, som i sig utesluter att det föreligger en rätt till tillgång, med stöd av artikel 15 i denna förordning, gentemot den bayerska dataskyddsmyndigheten.

1 Originalspråk: franska.

2 EUT L 119, 2016, s. 1.

3 Se punkt 24 och följande punkter i förevarande förslag till avgörande.

4 Se punkt 65 och följande punkter i förevarande förslag till avgörande.

5 Se dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, punkterna 65 och 66).

6 Domstolen har till och med slagit fast att en fysisk eller juridisk person som i eget syfte påverkar behandlingen av personuppgifter, och därigenom bidrar till att bestämma ändamål och medel för behandlingen, kan anses vara ”registeransvarig” (se dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 68, och dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkt 68).

7 I dataskyddsförordningen definieras inte uttryckligen vad som är ett ”klagomål” men ordalydelsen i artikel 77 ger en första anvisning om detta. Enligt Europeiska dataskyddsstyrelsens (EDPB) riktlinjer är ett klagomål en inlaga till en tillsynsmyndighet från en identifierad fysisk person – eller från en organisation som uppfyller villkoren i artikel 80 – som anser att behandlingen av hans eller hennes uppgifter utgör ett åsidosättande av dataskyddsförordningen. EDPB preciserar att detta begrepp inte är begränsat till kränkningar av rättigheterna i kapitel III, utan på ett bredare plan omfattar alla överträdelser av förordningen som är en följd av behandlingen av klagandens personuppgifter (EDPS, Internal Document 6/2020 on preliminary steps to handle a complaint, antaget den 15 december 2020, s. 3).

8 Se dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958, punkt 58), dom av den 26 september 2024, Land Hessen (Skyldighet för dataskyddsmyndigheten att agera) (C‑768/21, EU:C:2024:785, punkt 35), och dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran) (C‑416/23, EU:C:2025:3, punkt 39).

9 Se Eftadomstolens dom av den 10 december 2020, UC/Eftas övervakningsmyndighet (förenade målen E-11/19 och E-12/19, punkt 45).

10 Se dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 63), dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559, punkt 107), dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958, punkt 56), och dom av den 26 september 2024, Land Hessen (Skyldighet för dataskyddsmyndigheten att agera) (C‑768/21, EU:C:2024:785, punkt 32).

11 I detta sammanhang bör det erinras om förslag till avgörande av generaladvokaten Pikamäe i målen de förenade målen SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:222, punkt 42), i vilka generaladvokaten underströk att unionslagstiftaren inte hade för avsikt att göra klagomålsförfarandet till en mekanism som kan likställas med en enkel ”framställning”. Tvärtom verkar lagstiftningens syfte ha varit att skapa en mekanism som effektivt kan skydda de rättigheter och intressen som de som inger klagomål har. De skyldigheter som anges i artikel 57.1 f i dataskyddsförordningen, vilka åligger tillsynsmyndigheten inom ramen för handläggningen av dessa klagomål och omfattas av principen om ”god förvaltning”, visar i synnerhet på lagstiftarens avsikt att ge detta förfarande det väsentliga innehållet i ”ett verkligt administrativt överklagande”.

12 Se dom av den 26 september 2024, Land Hessen (Skyldighet för dataskyddsmyndigheten att agera) (C‑768/21, EU:C:2024:785, punkt 42).

13 Se dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958, punkt 70) och dom av den 26 september 2024, Land Hessen (Skyldighet för dataskyddsmyndigheten att agera) (C‑768/21, EU:C:2024:785, punkt 49).

14 Det finns inga enhetliga bestämmelser i unionsrätten när det gäller tillsynsmyndigheternas konkreta hantering av klagomål. Det finns därför vissa skillnader i förvaltningspraxis mellan medlemsstaterna. EDPB strävar dock, genom riktlinjer och utveckling av ”bästa praxis”, efter att säkerställa en viss grad av harmonisering av tillsynsverksamheten och av förfarandereglerna, särskilt när det gäller godkännande eller arkivering av klagomål, fastställande av uppgörelser i godo och så vidare (se EDPB, Internal document 6/2020 on preliminary steps to handle a complaint: admissibility and vetting of complaints , antaget den 15 december 2020).

15 Som Eftadomstolen konstaterade i sin dom av den 10 december 2020, UC/Eftas övervakningsmyndighet (förenade målen E-11/19 och E-12/19, punkt 60), har tillsynsmyndigheten enligt artikel 57.1 h i dataskyddsförordningen befogenhet att inleda utredningar på eget initiativ. Den kan således, inom ramen för prövningen av ett klagomål, uttala sig om andra yrkanden eller ett annat föremål för tvisten än dem som den klagande har åberopat. För att klagomålsförfarandet ska vara effektivt krävs att tillsynsmyndigheten vid utövandet av sina utredningsbefogenheter inte begränsas av hur den enskilde har formulerat relevanta rättsfrågor i sitt klagomål.

16 Tillsynsmyndigheterna verkar handlägga klagomål antingen på grundval av bestämmelser i nationell rätt eller enligt sitt eget utrymme för skönsmässig bedömning. Det verkar också finnas skillnader i behandlingen av klagomål enligt pragmatiska kriterier eller inom ramen för ett förenklat förfarande (se González Fuster, G. m.fl. ”The right to lodge a complaint: ok, but then what? – An empirical study of current practices under the GDPR”, Access Now , Open Universiteit, 2022, s. 30).

17 Se dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2024:7, punkt 39), och dom av den 27 februari 2025, Amt der Tiroler Landesregierung (C‑638/23, EU:C:2025:127, punkt 49).

18 På begäran av domstolen redogjorde Landesamt för sin administrativa praxis i fråga om handläggning av klagomål. Landesamt har i detta avseende preciserat att de som lämnar in klagomål kan vända sig till behöriga tjänstemän vid Landesamt, även elektroniskt, och begära tillgång till akten. Det framgår tydligt av denna redogörelse att Landesamts sätt att handlägga klagomål, bland annat när det gäller insamlade uppgifter, vidtagna organisatoriska åtgärder och genomförda utredningar, omfattas av den autonomi som Landesamt har enligt dataskyddsförordningen när den utför sina uppgifter.

19 I Möhle, J.-P., Verantwortlichkeit als integrierendes Konzept im Datenschutzrecht, Die Öffentliche Verwaltung, 2023, nr 3, s. 108, förklaras att endast den person som faktiskt kan utöva ett inflytande kan åläggas de skyldigheter som följer av dataskyddslagstiftningen (såsom informations-, ansvars- eller samarbetsskyldigheter), det vill säga den person som i framtiden kan förhindra överträdelser av dataskyddsbestämmelserna. Enligt min mening råder det inget tvivel om att endast tillsynsmyndigheten kan uppfylla denna definition inom ramen för ett klagomålsförfarande.

20 Såsom domstolen har slagit fast är syftet med den breda definitionen av begreppet personuppgiftsansvarig att säkerställa ett effektivt och fullständigt skydd för registrerade (se dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 34, dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkt 66, och dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 28).

21 Se i detta avseende Kunert, J., ”Vorabentscheidungsersuchen an den EuGH zur Aufsichtsbehörde als Verantwortlicher und zur Rechtmäßigkeit des Art. 20 II BayDSG”, GRUR-Prax, 2025, nr 9, s. 324.

22 Se dom av den 22 juni 2023, Pankki S (C‑579/21, EU:C:2023:501, punkt 50).

23 Se dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF (C‑487/21, EU:C:2023:369, punkterna 33 och 34).

24 Se dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF (C‑487/21, EU:C:2023:369, punkt 41).

25 Se dom av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994, punkt 57), dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter) (C‑154/21, EU:C:2023:3, punkt 38), och dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF (C‑487/21, EU:C:2023:369, punkt 35).

26 Zanfir-Fortuna, G., ”Article 15. Right of access by the data subject”, Kuner, C., Bygrave, L.A. & Docksey, C (dir.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford 2020, s. 452, betonar vikten av att skilja mellan rätten till tillgång till sina egna personuppgifter, som fastställs i artikel 15 i GDPR, och rätten till tillgång till offentlig information. De båda rättigheterna har olika normativa syften: den första syftar till att säkerställa öppenhet i förhållande till den person vars uppgifter samlas in och behandlas av en personuppgiftsansvarig (öppenhet mellan parterna ( inter partes )), medan den andra syftar till att säkerställa öppenhet gentemot allmänheten när det gäller information av allmänt intresse eller värde (öppenhet med allmän räckvidd ( erga omnes ).

27 Gumzej, N., ”DA powers toward effective and transparent GDPR enforcement: the case of Croatia”, Juridical Tribune - Review of Comparative and International Law , vol. 13, n° 2 (2023), s. 210, hänvisar till de lagar som är i kraft om rätten till tillgång till information.

28 Schemmer, F., ”Der Auskunftsanspruch der DS-GVO – Umfang des datenschutzrechtlichen Auskunftsanspruchs gem. Art. 15 DS-GVO und dessen Grenzen, Zeitschrift für das gesamte Informationsrecht , 2024, nr 5, s. 210.

29 Se dom av den 6 mars 2007, Plancanica m.fl. (C‑338/04, C‑359/04 och C‑360/04, EU:C:2007:133, punkt 34) och dom av den 21 juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punkt 240).

30 Se dom av den 25 oktober 2001, Ambulanz Glöckner (C‑475/99, EU:C:2001:577, punkt 10), och dom av den 14 november 2024, S. (Ändring av den dömande sammansättningen) (C‑197/23, EU:C:2024:956, punkt 43).

31 Se dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559, punkt 172), dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter) (C‑154/21, EU:C:2023:3, punkt 47), och dom av den 21 mars 2024, Landeshauptstadt Wiesbaden (C‑61/21, EU:C:2023:251, punkt 75).

32 I Giurgiu, A./Larsen, T., ”Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More European DPAs as Guardians of Consistency?” European Data Protection Law Review, n° 3 (2016), s. 352 anses att tillsynsmyndigheterna är de främsta garanterna för enskildas rättigheter på grund av deras centrala roll i övervakningen och tillämpningen av dataskyddsreglerna i dataskyddsförordningen. De betonar vikten av att förse dessa myndigheter med tillräckliga resurser, både vad gäller personal och ekonomiska resurser, så att de kan utföra sina uppgifter på ett effektivt sätt.

33 Se dom av den 9 januari 2025, Österreichische Datenschutzbehörde (C‑416/23, EU:C:2025:3, punkt 40).

34 Se dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 85).

35 Se dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål) (C‑175/20, EU:C:2022:124, punkt 56).

36 Se i detta avseende EDPS, Guidelines 10/2020 on restrictions under artikel 23 GDPR (version 2.1) , antagna den 13 oktober 2021, punkterna 65–67 och 82, som rekommenderar tillfälliga begränsningar av utövandet av vissa av de registrerades rättigheter för att inte äventyra administrativa utredningar.

37 Se dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238, punkt 38), dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 94), dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559, punkt 174), och dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 121).

38 Domstolen har i sin fasta praxis erinrat om detta syfte och påpekat att skyddet av personuppgifter garanteras såväl genom artikel 16 FEUF som genom artikel 8 i stadgan, och därigenom stadfäster denna rättighet i två bestämmelser i unionens primärrätt (se dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 43).

39 Se dom av den 22 juni 2023, Pankki S (C‑579/21, EU:C:2023:501, punkt 53 och följande punkter).

40 Se dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF (C‑487/21, EU:C:2023:369, punkt 44).

41 Se punkt 59 och följande punkter i förevarande förslag till avgörande.

42 Se dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter) (C‑154/21, EU:C:2023:3, punkt 49). Såsom domstolen har påpekat ankommer det på den personuppgiftsansvarige att visa att en begäran om tillgång i den mening som avses i artikel 12.5 i dataskyddsförordningen är uppenbart ogrundad eller orimlig.

43 Se Agence des droits fondamentaux de l’Union européenne (FRA), GDPR in practice – Experiences of Data Protection Authorities, Luxembourg, 11 juin 2024, s. 21, där tillgången till tillsynsmyndigheternas resurser under årens lopp beskrivs som ”i allmänhet otillräcklig”. Efter kommissionens första utvärdering av tillämpningen av dataskyddsförordningen antog Europaparlamentet en resolution där medlemsstaterna uppmanades att fullgöra sin skyldighet enligt artikel 52.4 i dataskyddsförordningen att förse sina tillsynsmyndigheter med tillräckliga resurser för att de ska kunna utföra sina uppgifter på bästa möjliga sätt och för att säkerställa lika villkor för tillämpningen av dataskyddsförordningen på EU-nivå.