Amt der Tiroler Landesregierung tegen Datenschutzbehörde

• 1.

  Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 4, punt 7, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).

• 2.

  Dit verzoek is ingediend in het kader van een geding tussen het Amt der Tiroler Landesregierung (bureau van de deelstaatregering van Tirol, Oostenrijk; hierna: „Amt”) en de Datenschutzbehörde (gegevensbeschermingsautoriteit, Oostenrijk) betreffende een beweerdelijk onrechtmatige verwerking van persoonsgegevens van een natuurlijke persoon door het Amt.

 Unierecht

• 3.

  In de overwegingen 1, 7, 10, 45 en 74 van de AVG staat te lezen:

  „(1)      De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie [...] en artikel 16, lid 1, [VWEU] heeft eenieder recht op bescherming van zijn persoonsgegevens.

  [...]

  (7)      [...] Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.

  [...]

  (10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]

  [...]

  (45)      Indien de verwerking wordt verricht omdat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een grondslag te hebben in het Unierecht of het lidstatelijke recht. Deze verordening schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag. Het moet ook het Unierecht of het lidstatelijke recht zijn dat het doel van de verwerking bepaalt. Voorts zou dat recht een nadere omschrijving kunnen geven van de algemene voorwaarden van deze verordening waaraan de persoonsgegevensverwerking moet voldoen om rechtmatig te zijn, en specificaties kunnen vaststellen voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in het Unierecht of het lidstatelijke recht te worden vastgesteld of de verwerkingsverantwoordelijke die is belast met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke persoon of, indien zulks is gerechtvaardigd om redenen van algemeen belang, waaronder gezondheidsdoeleinden zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten, een privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn.

  [...]

  (74)      De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.”

• 4.

  Artikel 1 van deze verordening, met als opschrift „Onderwerp en doelstellingen”, bepaalt in lid 2:

  „Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.”

• 5.

  Artikel 4 van genoemde verordening, met als opschrift „Definities”, luidt als volgt:

  „Voor de toepassing van deze verordening wordt verstaan onder:

  [...]

  2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  [...]

  7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

  [...]”

• 6.

  Artikel 5 van deze verordening, met als opschrift „Beginselen inzake verwerking van persoonsgegevens”, bepaalt:

  „1.      Persoonsgegevens moeten:

  a)      worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

  b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (‚doelbinding’);

  c)      toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

  d)      juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‚juistheid’);

  e)      worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen (‚opslagbeperking’);

  f)      door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

  2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

• 7.

  Artikel 6 AVG heeft als opschrift „Rechtmatigheid van de verwerking” en bepaalt in de leden 1 en 3:

  „1.      De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

  [...]

  c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

  [...]

  e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

  [...]

  3.      De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

  a)      Unierecht; of

  b)      lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

  Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. [...]”

   Tiroler Landesordnung 1989

 Oostenrijks recht

• 8.

  Artikel 56 van het Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) van 21 september 1988, in de op het hoofdgeding toepasselijke versie (grondwet van de deelstaat Tirol; hierna: „Tiroler Landesordnung 1989”), heeft als opschrift „Landeshauptmann” (minister-president van de deelstaat Tirol, Oostenrijk) (hierna: „minister-president”) en bepaalt in lid 1:

  „De [minister-president] vertegenwoordigt de deelstaat Tirol.”

• 9.

  Artikel 58 van de Tiroler Landesordnung 1989, met als opschrift „[Amt]”, bepaalt in lid 1:

  „De [minister-president], de regering van de deelstaat en haar leden dienen bij de behandeling van hun zaken een beroep te doen op het [Amt]. De [minister-president] is de voorzitter van het [Amt].”

   TDVG

• 10.

  § 2 van het Tiroler Datenverarbeitungsgesetz (wet op de gegevensverwerking van de deelstaat Tirol; hierna: „TDVG”) luidt als volgt:

  „1.      Als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, [AVG] wordt beschouwd:

  a)      het [Amt];

  [...]

  3.      Wanneer door de deelstaat Tirol een gegevensverwerking wordt uitgevoerd of daartoe opdracht wordt gegeven, wordt het [Amt] steeds als verantwoordelijke voor een dergelijke verwerking beschouwd, voor zover

  a)      er geen sprake is van gezamenlijke verantwoordelijkheid in de zin van lid 1, onder b) of c), en

  b)      er geen sprake is van uitbestede verwerking in de zin van § 5.”

 Hoofdgeding en prejudiciële vraag

• 11.

  In het kader van maatregelen ter bestrijding van de COVID-19-pandemie heeft het Amt, een ondersteunend bestuursorgaan in dienst van de minister-president en de regering van de deelstaat Tirol, aan alle meerderjarigen die in de deelstaat Tirol woonden en nog niet tegen dat virus waren ingeënt een „vaccinatieherinneringsbrief” gezonden. Om de geadresseerden van deze brieven te identificeren, heeft het Amt twee particuliere ondernemingen aangesteld die de gegevens in het centrale vaccinatieregister en in het patiëntenregister, waarin hun woonadres was vermeld, aan elkaar hebben gekoppeld.

• 12.

  Op 21 december 2021 heeft CW, een van deze geadresseerden, bij de gegevensbeschermingsautoriteit een klacht ingediend tegen het Amt wegens onrechtmatige verwerking van zijn persoonsgegevens. Het Amt heeft voor deze autoriteit verklaard dat het de hoedanigheid van „verwerkingsverantwoordelijke” had en dat het de brief aan CW had gestuurd.

• 13.

  Bij besluit van 22 augustus 2022 heeft deze autoriteit vastgesteld dat het Amt het recht van CW op bescherming van zijn persoonsgegevens had geschonden, aangezien het met het oog op de toezending van een „vaccinatieherinneringsbrief” de gegevens van de betrokkene in het vaccinatieregister had geraadpleegd, hoewel het niet over een recht van toegang tot dat register of tot het patiëntenregister beschikte. De verwerking van de persoonsgegevens van CW was volgens de gegevensbeschermingsautoriteit dus onrechtmatig.

• 14.

  Het Amt heeft tegen dat besluit beroep ingesteld bij het Bundesverwaltungsgericht (federale bestuursrechter in eerste aanleg, Oostenrijk). Deze laatste heeft geoordeeld dat het Amt op basis van het toepasselijke nationale recht de hoedanigheid van verwerkingsverantwoordelijke had, maar niet het recht had om het vaccinatieregister te raadplegen met het oog op de verzending van een herinneringsbrief als aan CW. Het Amt heeft tegen het vonnis waarbij deze rechterlijke instantie het beroep afwees, beroep in Revision ingesteld bij het Verwaltungsgerichtshof (hoogste bestuursrechter, Oostenrijk), de verwijzende rechter.

• 15.

  Deze rechter is van oordeel dat om uitspraak te kunnen doen in de bij hem aanhangige zaak, moet worden bepaald of het Amt in de context van die zaak de hoedanigheid van „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG had.

• 16.

  In dit verband benadrukt de verwijzende rechter dat het Amt de minister-president slechts een voorstel heeft gedaan om een „vaccinatieherinneringsbrief” te versturen, welk voorstel de minister-president overeenkomstig artikel 58 respectievelijk artikel 56, lid 1, van de Tiroler Landesordnung 1989 heeft goedgekeurd in zijn hoedanigheid van voorzitter van het Amt en vertegenwoordiger van de deelstaat Tirol. Het Amt heeft de minister-president dus enkel meegedeeld wat het doel van de beoogde verwerking van persoonsgegevens was, te weten een verhoging van het vaccinatiepercentage, en welke middelen in het kader van die verwerking zouden worden aangewend, namelijk de verzending van een dergelijke „vaccinatieherinneringsbrief” op basis van de gegevens van het centrale vaccinatieregister en het patiëntenregister.

• 17.

  Volgens de verwijzende rechter heeft alleen de minister-president beslist over zowel het doel als de middelen voor de verwerking van persoonsgegevens, aangezien hij zijn goedkeuring had gegeven. Bijgevolg kan het Amt niet de hoedanigheid van „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, eerste volzin, AVG hebben.

• 18.

  Niettemin vraagt deze rechter zich af of het Amt op grond van een bepaling van nationaal recht, te weten § 2, lid 1, onder a), TDVG, rechtsgeldig als zodanig kon worden aangewezen.

• 19.

  Het Amt is namelijk geen rechtspersoon of een instantie die belast is met de verwerking van persoonsgegevens die heeft geleid tot de verzending van een „vaccinatieherinneringsbrief” aan CW. Het Amt is volgens de verwijzende rechter bij deze gegevensverwerking uitsluitend tussengekomen als een ondersteunend bestuursorgaan van een overheidsinstantie. Het heeft geen rechtspersoonlijkheid en geen eigen rechtsbevoegdheid. Derhalve moet worden bepaald of het Amt in die omstandigheden kan worden aangemerkt als een „dienst of ander orgaan” in de zin van artikel 4, punt 7, eerste volzin, AVG, die of dat overeenkomstig artikel 4, punt 7, tweede volzin, AVG als verwerkingsverantwoordelijke kan worden aangewezen op grond van het nationale recht.

• 20.

  Voorts herinnert de verwijzende rechter eraan dat overeenkomstig artikel 4, punt 7, tweede volzin, AVG een verwerkingsverantwoordelijke slechts rechtstreeks kan worden aangewezen voor zover de doelstellingen van en de middelen voor de verwerking van de betrokken persoonsgegevens in het nationale recht worden bepaald. In § 2, lid 1, onder a), TDVG wordt het Amt weliswaar aangewezen als verantwoordelijke voor de verwerking, maar in deze bepaling wordt niet concreet uiteengezet welke soorten verwerkingen van persoonsgegevens het Amt mag verrichten, noch welke doeleinden met deze verwerkingen moeten worden nagestreefd of welke middelen het Amt daartoe mag aanwenden.

• 21.

  De verwijzende rechter voegt daaraan toe dat uit artikel 6, lid 1, onder c) en e), AVG volgt dat een verwerking van persoonsgegevens rechtmatig is wanneer zij nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Uit deze rechtmatigheidsvoorwaarden en uit het met artikel 4, punt 7, AVG nagestreefde doel om een doeltreffende en ruime bescherming van de betrokkenen te waarborgen, volgt dat de lidstaten enkel een persoon of entiteit als verwerkingsverantwoordelijke kunnen aanwijzen als die in staat is om het doel van en de middelen voor de verwerking van persoonsgegevens vast te stellen of op zijn minst aan deze vaststelling deel te nemen.

• 22.

  Tegen deze achtergrond heeft het Verwaltungsgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:

  „Moet artikel 4, punt 7, [AVG] aldus worden uitgelegd dat het in de weg staat aan de toepassing van een bepaling van nationaal recht (zoals in casu § 2, lid 1, [TDVG]) waarin weliswaar een verwerkingsverantwoordelijke wordt aangewezen in de zin van het tweede deel van artikel 4, punt 7, [tweede volzin,] AVG, maar die verwerkingsverantwoordelijke

  –        slechts een dienst (zoals in het onderhavige geval het [Amt]) is die weliswaar bij wet is opgericht, maar geen natuurlijke persoon of rechtspersoon is en in casu ook geen overheidsinstantie is, maar enkel als ondersteunend orgaan voor een dergelijke instantie optreedt en geen eigen (gedeeltelijke) rechtsbevoegdheid heeft;

  –        zonder verwijzing naar een specifieke verwerking van persoonsgegevens wordt aangewezen en er daarom ook geen doelstellingen van en middelen voor de specifieke verwerking van persoonsgegevens in het lidstatelijke recht worden vastgesteld;

  –        in dit specifieke geval noch alleen, noch samen met anderen de doelstellingen van en de middelen voor de verwerking van persoonsgegevens heeft vastgesteld?”

 Beantwoording van de prejudiciële vraag

• 23.

  Met zijn vraag wenst de verwijzende rechter in wezen te vernemen of artikel 4, punt 7, AVG aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die als verwerkingsverantwoordelijke een ondersteunend bestuursorgaan aanwijst dat geen rechtspersoonlijkheid en geen eigen rechtsbevoegdheid bezit, zonder dat concreet wordt gepreciseerd voor welke specifieke verwerkingen van persoonsgegevens dit orgaan verantwoordelijk is, noch wat het doel van de verwerking is. De verwijzende rechter wenst tevens te vernemen of artikel 4, punt 7, AVG aldus moet worden uitgelegd dat een orgaan dat door het nationale recht overeenkomstig deze bepaling als verwerkingsverantwoordelijke is aangewezen, daadwerkelijk moet beslissen over het doel van en de middelen voor de verwerking van persoonsgegevens om als verwerkingsverantwoordelijke te kunnen ingaan op verzoeken die de betrokkenen tot dat orgaan richten op grond van de rechten die zij aan de AVG ontlenen.

• 24.

  Vooraf moet in herinnering worden gebracht dat het begrip „verwerkingsverantwoordelijke” krachtens artikel 4, punt 7, AVG ziet op natuurlijke of rechtspersonen, overheidsinstanties, diensten of andere organen die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen. Verder staat in deze bepaling te lezen dat wanneer de doelstellingen van en de middelen voor deze verwerking in onder meer het lidstatelijke recht worden vastgesteld, daarin kan worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

• 25.

  Uit de rechtspraak van het Hof volgt dat deze bepaling tot doel heeft om via een ruime omschrijving van het begrip „verwerkingsverantwoordelijke” een doeltreffende en volledige bescherming van de betrokkenen te verzekeren (zie in die zin arresten van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 29, en 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punt 40).

• 26.

  Het doel van de AVG – zoals dat blijkt uit artikel 1 alsook uit de overwegingen 1 en 10 van deze verordening – bestaat met name in het waarborgen van een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen, in het bijzonder van hun in artikel 8, lid 1, van het Handvest en artikel 16, lid 1, VWEU erkende recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens (arrest van 7 maart 2024, IAB Europe, C‑604/22, EU:C:2024:214, punt 53 en aldaar aangehaalde rechtspraak).

• 27.

  Gelet op de bewoordingen van artikel 4, punt 7, AVG, gelezen in het licht van die doelstelling, moet om te bepalen of een persoon of entiteit moet worden aangemerkt als „verwerkingsverantwoordelijke” in de zin van deze bepaling, worden nagegaan of deze persoon of entiteit alleen of samen met anderen de doelstellingen van en de middelen voor de verwerking vaststelt, dan wel of deze doelstellingen en middelen in het nationale recht zijn bepaald. Indien dit laatste het geval is, moet er worden nagegaan of in dat recht is bepaald wie de verwerkingsverantwoordelijke is of volgens welke specifieke criteria deze wordt aangewezen [arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een staatsblad), C‑231/22, EU:C:2024:7, punt 29].

• 28.

  Gezien de ruime definitie van het begrip „verwerkingsverantwoordelijke” in artikel 4, punt 7, AVG kunnen de vaststelling van de doelstellingen van en de middelen voor de verwerking en, in voorkomend geval, de aanwijzing van die verantwoordelijke in het nationale recht, niet alleen expliciet maar ook impliciet zijn. In het laatste geval moet die vaststelling evenwel met voldoende zekerheid voortvloeien uit de rol, de taak en de bevoegdheden die aan de persoon of entiteit in kwestie zijn toebedeeld [arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een staatsblad), C‑231/22, EU:C:2024:7, punt 30].

• 29.

  De vraag moet worden onderzocht tegen de achtergrond van deze inleidende overwegingen. Daartoe moet ten eerste worden bepaald in hoeverre de nationale wetgever een ondersteunend bestuursorgaan ten dienste van de overheidsinstanties kan aanwijzen als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, tweede volzin, AVG, wanneer deze entiteit geen rechtspersoonlijkheid en geen eigen rechtsbevoegdheid heeft.

• 30.

  Wat dat betreft moet om te beginnen worden opgemerkt dat het Hof reeds heeft geoordeeld dat uit de duidelijke bewoordingen van artikel 4, punt 7, AVG blijkt dat een verwerkingsverantwoordelijke niet alleen een natuurlijke of rechtspersoon kan zijn, maar ook een overheidsinstantie, een dienst of een orgaan. Dergelijke entiteiten hebben – naargelang van het nationale recht in kwestie – niet noodzakelijk rechtspersoonlijkheid [arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een staatsblad), C‑231/22, EU:C:2024:7, punt 36].

• 31.

  Derhalve kan niet worden uitgesloten dat een entiteit als „verwerkingsverantwoordelijke” in de zin van deze bepaling kan worden aangemerkt, ook al heeft zij geen rechtspersoonlijkheid.

• 32.

  Wat voorts de vraag betreft of voor de kwalificatie van een entiteit als „verwerkingsverantwoordelijke” vereist is dat die entiteit over een eigen rechtsbevoegdheid beschikt, dan wel of het daartoe volstaat dat de betrokken entiteit een zekere beslissingsbevoegdheid en handelingsbevoegdheid heeft in het kader van de bescherming van persoonsgegevens, zij eraan herinnerd dat uit overweging 74 van de AVG blijkt dat de Uniewetgever heeft gewild dat steeds dezelfde aansprakelijkheid van de verwerkingsverantwoordelijke geldt ongeacht of hij de verwerking van persoonsgegevens zelf verricht, of via een derde maar voor zijn rekening. Deze wetgever heeft er ook voor willen zorgen dat de verwerkingsverantwoordelijke passende en effectieve maatregelen moet uitvoeren en kan aantonen dat de verwerkingsactiviteiten overeenkomstig deze verordening geschieden, ook wat betreft de doeltreffendheid van de betrokken maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

• 33.

  In zoverre formuleert artikel 5, lid 2, AVG een verantwoordelijkheidsbeginsel op grond waarvan de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de in artikel 5, lid 1, AVG genoemde beginselen inzake de verwerking van persoonsgegevens, en stelt die bepaling dat die verantwoordelijke moet kunnen aantonen dat deze beginselen zijn nageleefd.

• 34.

  Gelet op de wettelijke verplichtingen waaraan de in artikel 4, punt 7, AVG bedoelde verwerkingsverantwoordelijke aldus is onderworpen, moet hij, op de wijze die is vastgesteld in de regelgeving van zijn lidstaat, feitelijk en rechtens aansprakelijk kunnen zijn voor die verplichtingen, zonder dat de vraag of deze entiteit al dan niet rechtspersoonlijkheid en een eigen rechtsbevoegdheid bezit, in dit verband enige rol speelt.

• 35.

  In casu staat het aan de verwijzende rechter om na te gaan of het Amt naar Oostenrijks recht bevoegd is om de verantwoordelijkheden en verplichtingen op zich te nemen die de AVG aan de verwerkingsverantwoordelijke oplegt, met name gelet op de omstandigheid – die niet wordt betwist voor de nationale rechterlijke instanties waarbij het hoofdgeding aanhangig is gemaakt – dat het Amt beroep kan instellen tegen het besluit van de gegevensbeschermingsautoriteit, net zoals tegen het Amt een klacht kan worden ingediend bij die autoriteit. De verwijzende rechter kan ook rekening houden met het feit dat het Amt twee particuliere ondernemingen heeft aangesteld om de persoonsgegevens te verwerken die zijn opgenomen in het centrale vaccinatieregister en in het register van patiënten die in de deelstaat Tirol wonen.

• 36.

  Ten tweede vraagt de verwijzende rechter zich af of een nationale wetgever een entiteit kan aanwijzen als verwerkingsverantwoordelijke op grond van artikel 4, punt 7, tweede volzin, AVG, zonder concreet aan te geven welke verwerkingen van persoonsgegevens deze entiteit eventueel moet verrichten, noch wat het doel ervan is noch welke middelen zij precies kan aanwenden voor die verwerking.

• 37.

  Zoals in punt 28 van het onderhavige arrest in herinnering is gebracht, kan, wanneer een entiteit in het nationale recht als verwerkingsverantwoordelijke wordt aangewezen, de vaststelling van het doel van en de middelen voor de verwerking in dat recht impliciet zijn, mits die vaststelling met voldoende zekerheid voortvloeit uit de rol, de taak en de bevoegdheden die aan die entiteit zijn toegekend. Aan deze voorwaarde is voldaan indien deze doelstellingen en middelen in wezen blijken uit de bepalingen van nationaal recht die de activiteit van die entiteit regelen.

• 38.

  De rechtstreekse aanwijzing door de nationale wetgever van een entiteit als verwerkingsverantwoordelijke draagt bij tot de door de AVG nagestreefde doelstelling van rechtszekerheid, zoals blijkt uit overweging 7 ervan, doordat natuurlijke personen van wie de persoonsgegevens worden verwerkt, gemakkelijk kunnen identificeren welke entiteit belast is met het toezicht op de naleving van de hun bij deze verordening verleende rechten.

• 39.

  Opdat een dergelijke aanwijzing geldig is, is echter vereist dat de nationale regelgeving de omvang bepaalt van de verwerking van de persoonsgegevens waarvoor deze entiteit verantwoordelijk is. Daarbij hoeft die wetgever evenwel niet alle verwerkingsactiviteiten waarvoor die entiteit aldus is aangewezen, uitputtend te hebben opgesomd. Zoals vermeld in overweging 45 van deze verordening „kan [er] worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag”.

• 40.

  Hieruit volgt dat een nationale regeling die een entiteit als verwerkingsverantwoordelijke aanwijst zonder uitdrukkelijk alle specifieke verwerkingen van persoonsgegevens waarvoor zij verantwoordelijk is of het doel van die verwerkingen op te sommen, verenigbaar is met artikel 4, punt 7, AVG, voor zover deze regeling uitdrukkelijk of op zijn minst impliciet de omvang bepaalt van de verwerking van de persoonsgegevens waarvoor deze entiteit verantwoordelijk is verklaard.

• 41.

  In casu staat het aan de verwijzende rechter om ten eerste na te gaan of de verwerking van persoonsgegevens die het Amt heeft verricht met het oog op de voorbereiding en verzending van de in het hoofdgeding aan de orde zijnde „vaccinatieherinneringsbrieven” verenigbaar is met de doeleinden die moeten worden nagestreefd met de verwerkingen van persoonsgegevens waarvoor het Amt verantwoordelijk is verklaard, zoals deze doeleinden, op zijn minst impliciet, blijken uit het geheel van bepalingen van nationaal recht die zijn activiteit regelen, en ten tweede te onderzoeken welke middelen het daartoe kan aanwenden. De enkele omstandigheid dat deze nationale bepalingen in voorkomend geval niet concreet preciseren welke verwerkingen het Amt mag verrichten, sluit niet uit dat een entiteit zoals het Amt wordt aangemerkt als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG.

• 42.

  Ten derde wenst de verwijzende rechter te vernemen of een entiteit die op grond van artikel 4, punt 7, tweede volzin, AVG in de nationale regelgeving als verwerkingsverantwoordelijke is aangewezen, ook zelf of samen met andere bevoegde autoriteiten moet beslissen over het doel van en de middelen voor de verwerking van de persoonsgegevens waarvoor zij verantwoordelijk is om in die hoedanigheid van verantwoordelijke te moeten ingaan op verzoeken die de betrokkenen op grond van aan de AVG ontleende rechten tot haar richten.

• 43.

  In dit verband kan worden volstaan met de opmerking dat om vast te stellen of een entiteit kan worden aangemerkt als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG, moet worden onderzocht of deze entiteit daadwerkelijk en voor eigen doeleinden invloed heeft uitgeoefend op de vaststelling van het doel van en de middelen voor die verwerking (zie in die zin arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punten 30 en 31).

• 44.

  Om vast te stellen of een entiteit een verwerkingsverantwoordelijke is in de zin van artikel 4, punt 7, tweede volzin, AVG, is het daarentegen, zoals blijkt uit de duidelijke bewoordingen van deze bepaling, niet noodzakelijk dat deze entiteit invloed uitoefent op de vaststelling van het doel van en de middelen voor die verwerking.

• 45.

  Een dergelijke entiteit, die door het nationale recht als verwerkingsverantwoordelijke is aangewezen, hoeft dus niet zelf het doel van en de middelen voor de verwerking van persoonsgegevens te bepalen om als verwerkingsverantwoordelijke te moeten ingaan op verzoeken die de betrokkenen tot haar richten op grond van de rechten die zij aan de AVG ontlenen.

• 46.

  In dit verband heeft het Hof reeds geoordeeld dat aan de geldigheid van een rechtstreekse aanwijzing niet wordt afgedaan door de omstandigheid dat de als verwerkingsverantwoordelijke aangewezen entiteit naar nationaal recht geen enkele controle uitoefent over de persoonsgegevens die zij moet verwerken [zie in die zin arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een staatsblad), C‑231/22, EU:C:2024:7, punten 37 en 38].

• 47.

  Een dergelijke uitlegging is in overeenstemming met de door de AVG nagestreefde doelstelling van rechtszekerheid. Zoals de Europese Commissie in haar schriftelijke opmerkingen heeft benadrukt, zou deze doelstelling in gevaar worden gebracht indien de betrokkenen, om te kunnen aannemen dat de nationale wetgever deze aanwijzing rechtsgeldig heeft verricht, zouden moeten nagaan of de entiteit die is aangewezen als verantwoordelijke voor de verwerking van hun persoonsgegevens, bevoegd is om zelf het doel van en de middelen voor een dergelijke verwerking te bepalen.

• 48.

  Hieraan moet nog worden toegevoegd dat het feit dat een entiteit die door het nationale recht als verwerkingsverantwoordelijke is aangewezen, niet ook bevoegd hoeft te zijn om zelf het doel van en de middelen voor de verwerking van persoonsgegevens te bepalen om als verwerkingsverantwoordelijke te moeten ingaan op verzoeken die de betrokkenen tot haar richten op grond van de rechten die zij aan de AVG ontlenen, deze betrokkenen echter niet de mogelijkheid ontneemt om die verzoeken te richten tot een andere entiteit die zij als verwerkingsverantwoordelijke of gezamenlijk verantwoordelijke voor de verwerking van hun persoonsgegevens beschouwen wegens de invloed die deze andere entiteit heeft uitgeoefend op de vaststelling van het doel van en de middelen voor de betrokken verwerking.

• 49.

  Gelet op een en ander dient op de prejudiciële vraag te worden geantwoord dat artikel 4, punt 7, AVG aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling die als verwerkingsverantwoordelijke een ondersteunend bestuursorgaan aanwijst dat geen rechtspersoonlijkheid en geen eigen rechtsbevoegdheid bezit, zonder dat concreet wordt gepreciseerd voor welke specifieke verwerkingen van persoonsgegevens deze entiteit verantwoordelijk is, noch wat het doel van die bewerkingen is, mits ten eerste deze instantie in staat is om in overeenstemming met deze nationale regeling te voldoen aan de verplichtingen van een verwerkingsverantwoordelijke tegenover betrokkenen in verband met de bescherming van persoonsgegevens, en ten tweede, deze nationale regeling expliciet of op zijn minst impliciet de omvang bepaalt van de verwerking van de persoonsgegevens waarvoor deze entiteit verantwoordelijk is.

 Kosten

• 50.

  Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

  Het Hof (Achtste kamer) verklaart voor recht:

  Artikel 4, punt 7, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

  moet aldus worden uitgelegd dat

  het zich niet verzet tegen een nationale regeling die als verwerkingsverantwoordelijke een ondersteunend bestuursorgaan aanwijst dat geen rechtspersoonlijkheid en geen eigen rechtsbevoegdheid bezit, zonder dat concreet wordt gepreciseerd voor welke specifieke verwerkingen van persoonsgegevens deze entiteit verantwoordelijk is, noch wat het doel van die bewerkingen is, mits ten eerste deze instantie in staat is om in overeenstemming met deze nationale regeling te voldoen aan de verplichtingen van een verwerkingsverantwoordelijke tegenover betrokkenen in verband met de bescherming van persoonsgegevens, en ten tweede, deze nationale regeling expliciet of op zijn minst impliciet de omvang bepaalt van de verwerking van de persoonsgegevens waarvoor deze entiteit verantwoordelijk is.

  ondertekeningen

  *      Procestaal: Duits.