Gründe

1 Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 3 und 4 der Richtlinie 2009/101/EG des Europäischen Parlaments und des Rates vom 16. September 2009 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten [den] Gesellschaften im Sinne des Artikels 48 Absatz 2 [EG] im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten (ABl. 2009, L 258, S. 11), sowie der Art. 4, 6, 17, 58 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2 Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Agentsia po vpisvaniyata (Agentur für Eintragungen, Bulgarien, im Folgenden: Agentur) und OL wegen der Weigerung dieser Agentur, bestimmte personenbezogene Daten betreffend OL, die in einem im Handelsregister offengelegten Gesellschaftsvertrag enthalten sind, zu löschen.

Rechtlicher Rahmen

Unionsrecht

Richtlinie (EU) 2017/1132

3 Die Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts (ABl. 2017, L 169, S. 46) hat die Richtlinie 2009/101 ab dem Zeitpunkt ihres Inkrafttretens, d. h. dem 20. Juli 2017, aufgehoben und ersetzt.

4 In den Erwägungsgründen 1, 7, 8 und 12 der Richtlinie 2017/1132 heißt es:

5 Der in Titel I Kapitel II Abschnitt 1 („Gründung der Aktiengesellschaft“) der Richtlinie 2017/1132 enthaltene Art. 4 („Erforderliche Angaben, die in der Satzung, im Errichtungsakt oder in gesonderten Schriftstücken enthalten sein müssen“) dieser Richtlinie lautet wie folgt:

„Die Satzung, der Errichtungsakt oder ein gesondertes Schriftstück, das nach den in den Rechtsvorschriften der einzelnen Mitgliedstaaten gemäß Artikel 16 vorgesehenen Verfahren offenzulegen ist, enthalten mindestens folgende Angaben:

…

…“

6 Titel I Kapitel III Abschnitt 1 („Allgemeine Bestimmungen“) dieser Richtlinie umfasst deren Art. 13 bis 28.

7 Art. 13 („Anwendungsbereich“) dieser Richtlinie lautet:

„Die durch diesen Abschnitt vorgeschriebenen Maßnahmen der Koordinierung gelten für die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten für die in Anhang II genannten Rechtsformen von Gesellschaften.“

8 In Art. 14 („Pflicht zur Offenlegung von Urkunden und Angaben“) der Richtlinie 2017/1132 heißt es:

„Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, damit sich die Pflicht zur Offenlegung durch Gesellschaften mindestens auf folgende Urkunden und Angaben erstreckt:

…“

9 Art. 15 („Änderungen von Urkunden und Angaben“) Abs. 1 dieser Richtlinie sieht vor:

„Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass jede Änderung an den in Artikel 14 genannten Urkunden und Angaben im Einklang mit Artikel 16 Absätze 3 und 5 in das zuständige Register gemäß Artikel 16 Absatz 1 Unterabsatz 1 eingetragen und offengelegt wird, in der Regel innerhalb von 21 Tagen, nachdem die vollständigen Unterlagen über diese Änderung, gegebenenfalls einschließlich der nach nationalem Recht für die Eintragung in die Akte erforderlichen Prüfung der Rechtmäßigkeit, eingegangen sind.“

10 In Art. 16 („Offenlegung im Register“) dieser Richtlinie heißt es:

„(1) In jedem Mitgliedstaat wird bei einem Zentral‑, Handels- oder Gesellschaftsregister (im Folgenden ‚Register‘) für jede der dort eingetragenen Gesellschaften eine Akte angelegt.

…

(3) Alle Urkunden und Angaben, die nach Artikel 14 der Offenlegung unterliegen, werden in dieser Akte hinterlegt oder in das Register eingetragen; der Gegenstand der Eintragungen in das Register muss in jedem Fall aus der Akte ersichtlich sein.

Die Mitgliedstaaten sorgen dafür, dass die Gesellschaften und sonstige anmelde- oder mitwirkungspflichtige Personen und Stellen alle Urkunden und Angaben, die nach Artikel 14 der Offenlegung unterliegen, in elektronischer Form einreichen können. Die Mitgliedstaaten können außerdem den Gesellschaften aller oder bestimmter Rechtsformen die Einreichung aller oder eines Teils der betreffenden Urkunden und Angaben in elektronischer Form vorschreiben.

Alle in Artikel 14 bezeichneten Urkunden und Angaben, die auf Papier oder in elektronischer Form eingereicht werden, werden in elektronischer Form in der Akte hinterlegt oder in das Register eingetragen. Zu diesem Zweck sorgen die Mitgliedstaaten dafür, dass alle betreffenden Urkunden und Angaben, die auf Papier eingereicht werden, durch das Register in elektronische Form gebracht werden.

…

(4) Eine vollständige oder auszugsweise Kopie der in Artikel 14 bezeichneten Urkunden oder Angaben ist auf Antrag erhältlich. Die Anträge bei dem Register können wahlweise auf Papier oder in elektronischer Form gestellt werden.

…

(5) Die in Absatz 3 bezeichneten Urkunden und Angaben sind in einem von dem Mitgliedstaat zu bestimmenden Amtsblatt entweder in Form einer vollständigen oder auszugsweisen Wiedergabe oder in Form eines Hinweises auf die Hinterlegung des Dokuments in der Akte oder auf seine Eintragung in das Register bekannt zu machen. Das von dem Mitgliedstaat zu diesem Zweck bestimmte Amtsblatt kann in elektronischer Form geführt werden.

Die Mitgliedstaaten können beschließen, die Bekanntmachung im Amtsblatt durch eine andere ebenso wirksame Form der Veröffentlichung zu ersetzen, die zumindest die Verwendung eines Systems voraussetzt, mit dem die offengelegten Informationen chronologisch geordnet über eine zentrale elektronische Plattform zugänglich gemacht werden.

(6) Die Urkunden und Angaben können Dritten von der Gesellschaft erst nach der Offenlegung gemäß Absatz 5 entgegengehalten werden, es sei denn, die Gesellschaft weist nach, dass die Urkunden oder Angaben den Dritten bekannt waren.

…

(7) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um zu verhindern, dass der Inhalt der nach Absatz 5 offengelegten Informationen und der Inhalt des Registers oder der Akte voneinander abweichen.

Im Fall einer Abweichung kann der nach Absatz 5 offengelegte Text Dritten jedoch nicht entgegengehalten werden; diese können sich jedoch auf den offengelegten Text berufen, es sei denn, die Gesellschaft weist nach, dass der in der Akte hinterlegte oder im Register eingetragene Text den Dritten bekannt war.

…“

11 In Art. 21 („Sprache der Offenlegung und Übersetzung der offenzulegenden Urkunden und Angaben“) der Richtlinie 2017/1132 heißt es:

„(1) Urkunden und Angaben, die nach Artikel 14 der Offenlegung unterliegen, sind in einer der Sprachen zu erstellen und zu hinterlegen, die nach der Sprachregelung, die in dem Mitgliedstaat gilt, in dem die Akte gemäß Artikel 16 Absatz 1 angelegt wird, zulässig sind.

(2) Zusätzlich zu der obligatorischen Offenlegung nach Artikel 16 lassen die Mitgliedstaaten die freiwillige Offenlegung von Übersetzungen der in Artikel 14 bezeichneten Urkunden und Angaben in Übereinstimmung mit Artikel 16 in jeder anderen Amtssprache der Union zu.

Die Mitgliedstaaten können vorschreiben, dass die Übersetzung dieser Urkunden und Angaben zu beglaubigen ist. Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um den Zugang Dritter zu den freiwillig offengelegten Übersetzungen zu erleichtern.

(3) Zusätzlich zu der obligatorischen Offenlegung nach Artikel 16 und der freiwilligen Offenlegung nach Absatz 2 des vorliegenden Artikels können die Mitgliedstaaten die Offenlegung der betreffenden Urkunden und Angaben in Übereinstimmung mit Artikel 16 in jeder anderen Sprache zulassen.

…

(4) Im Fall einer Abweichung zwischen den in den Amtssprachen des Registers offengelegten Urkunden und Angaben und deren freiwillig offengelegten Übersetzungen können Letztere Dritten nicht entgegengehalten werden; …“

12 Art. 161 („Datenschutz“) dieser Richtlinie lautet:

„Für die Verarbeitung personenbezogener Daten im Zusammenhang mit der vorliegenden Richtlinie gilt die Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281. S. 31)].“

13 In Art. 166 („Aufhebung“) dieser Richtlinie heißt es:

„Die Richtlinien [2009/101 und 2012/30] werden… aufgehoben.

Bezugnahmen auf die aufgehobenen Richtlinien gelten als Bezugnahmen auf die vorliegende Richtlinie und sind nach Maßgabe der Entsprechungstabelle in Anhang IV zu lesen.“

14 In Anhang II der Richtlinie 2017/1132 sind die in Art. 7 Abs. 1, Art. 13, Art. 29 Abs. 1, Art. 36 Abs. 1, Art. 67 Abs. 1 und Art. 119 Abs. 1 Buchst. a dieser Richtlinie genannten Gesellschaftsformen aufgeführt, zu denen für Bulgarien auch die OOD gehört.

15 Gemäß der Entsprechungstabelle in Anhang IV der Richtlinie 2017/1132 entsprechen zum einen die Art. 2, 2a, 3, 4 und 7a der Richtlinie 2009/101 den Art. 14, 15, 16, 21 bzw. 161 der Richtlinie 2017/1132. Zum anderen entspricht Art. 3 der Richtlinie 2012/30 Art. 4 der Richtlinie 2017/1132.

Richtlinie (EU) 2019/1151

16 Die Richtlinie 2017/1132 wurde u. a. durch die Richtlinie (EU) 2019/1151 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Änderung der Richtlinie (EU) 2017/1132 im Hinblick auf den Einsatz digitaler Werkzeuge und Verfahren im Gesellschaftsrecht (ABl. 2019, L 186, S. 80) geändert, die am 31. Juli 2019 in Kraft getreten ist und deren Art. 1 („Änderung der Richtlinie [2017/1132]“) bestimmt:

„Die Richtlinie [2017/1132] wird wie folgt geändert:

…

17 Art. 2 („Umsetzung“) der Richtlinie 2019/1151 bestimmt:

„(1) Die Mitgliedstaaten setzen die Rechts- und Verwaltungsvorschriften in Kraft, die erforderlich sind, um dieser Richtlinie bis zum 1. August 2021 nachzukommen. …

(2) Unbeschadet des Absatzes 1 des vorliegenden Artikels setzen die Mitgliedstaaten die Rechts- und Verwaltungsvorschriften in Kraft, die erforderlich sind, um … Artikel 1 Nummer 6 der vorliegenden Richtlinie im Hinblick auf Artikel 16 Absatz 6 der Richtlinie [2017/1132] bis zum 1. August 2023 nachzukommen.

(3) Abweichend von Absatz 1 haben Mitgliedstaaten, die bei der Umsetzung dieser Richtlinie auf besondere Schwierigkeiten stoßen, Anspruch auf eine Verlängerung des in Absatz 1 vorgesehenen Zeitraums um bis zu ein Jahr. …

…“

DSGVO

18 In den Erwägungsgründen 26, 32, 40, 42, 43, 50, 85, 143 und 146 der DSGVO heißt es:

19 Art. 4 („Begriffsbestimmungen“) DSGVO lautet:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

20 Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO bestimmt:

„(1) Personenbezogene Daten müssen

…

…

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

21 In Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO heißt es:

„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

…

…

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

…“

22 In Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘]“) DSGVO heißt es:

„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

…

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

…

…“

23 Art. 21 Abs. 1 DSGVO lautet:

„Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

24 In Art. 58 DSGVO heißt es:

„(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

…

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

…

(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,

…

…

(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta [der Grundrechte der Europäischen Union (im Folgenden: Charta)].

(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.“

25 In Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO heißt es:

„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

…“

26 Art. 94 DSGVO sieht vor:

„(1) Die Richtlinie [95/46] wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …“

Bulgarisches Recht

Registergesetz

27 Art. 2 des Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck) (DV Nr. 34 vom 25. April 2006) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Registergesetz) bestimmt:

„(1) Das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck sind eine gemeinsame elektronische Datenbank, in der die aufgrund eines Gesetzes eingetragenen Umstände sowie die Urkunden enthalten sind, die der Öffentlichkeit aufgrund eines Gesetzes zugänglich gemacht werden und die sich auf Kaufleute und Zweigniederlassungen ausländischer Kaufleute, juristische Personen ohne Erwerbszweck und Zweigniederlassungen ausländischer juristischer Personen ohne Erwerbszweck beziehen.

(2) Die in Absatz 1 genannten Umstände und Urkunden werden der Öffentlichkeit zugänglich gemacht, ohne die Informationen, die personenbezogene Daten im Sinne von Art. 4 Abs. 1 [DSGVO] darstellen, mit Ausnahme der Informationen, die nach dem Gesetz der Öffentlichkeit zugänglich zu machen sind.“

28 Art. 3 dieses Gesetzes sieht vor:

„Das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck werden von der [Agentur] geführt, die dem Ministar na pravosadieto [(Justizminister, Bulgarien)] unterstellt ist.“

29 Art. 6 Abs. 1 dieses Gesetzes lautet:

„Jeder Kaufmann und jede juristische Person ohne Erwerbszweck ist verpflichtet, die Eintragung in das Handelsregister bzw. das Register der juristischen Personen ohne Erwerbszweck zu beantragen, wobei die Umstände anzugeben sind, die der Eintragung unterliegen, und die der Öffentlichkeit zur Verfügung zu stellenden Urkunden vorzulegen sind.“

30 Art. 11 dieses Gesetzes lautet:

„(1) Das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck sind öffentlich. Jeder hat das Recht, frei und kostenlos auf die Datenbank zuzugreifen, die die Register darstellt.

(2) Die [Agentur] gewährleistet einen registrierten Zugang zur Akte des Kaufmanns oder der juristischen Person ohne Erwerbszweck.“

31 Art. 13 Abs. 1, 2, 6 und 9 dieses Gesetzes bestimmt:

„(1) Die Eintragung, die Löschung und die öffentliche Zugänglichmachung erfolgen auf der Grundlage eines Antragsformulars.

(2) Der Antrag enthält:

…

(6) [D]em Antrag sind die Unterlagen oder gegebenenfalls die Urkunde beizufügen, die gemäß den gesetzlichen Anforderungen der Öffentlichkeit zugänglich zu machen sind. Die Unterlagen sind in Form eines Originals, einer vom Antragsteller beglaubigten Kopie oder einer notariell beglaubigten Kopie vorzulegen. Der Antragsteller legt auch beglaubigte Kopien der Urkunden vor, die der Öffentlichkeit im Handelsregister zugänglich zu machen sind, in denen andere als die gesetzlich vorgeschriebenen personenbezogenen Daten geschwärzt wurden.

…

(9) Für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, ist davon auszugehen, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die [Agentur] und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben.

…“

Handelsgesetz

32 Art. 101 Nr. 3 des Targovski zakon (Handelsgesetz) (DV Nr. 48 vom 18. Juni 1991) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Handelsgesetz) bestimmt, dass der Gesellschaftsvertrag „den Namen, die Firma und den eindeutigen Identifizierungscode der Gesellschafter“ enthalten muss.

33 In Art. 119 des Handelsgesetzes heißt es:

„(1) Die Eintragung einer Gesellschaft in das Handelsregister erfordert

…

(2) Die unter Nr. 1 … genannten Daten werden in das Register eingetragen …

…

(4) Zur Änderung oder Ergänzung des Gesellschaftsvertrags im Handelsregister ist eine von dem die Gesellschaft vertretenden Organ beglaubigte Kopie dieses Vertrags mit allen Änderungen und Ergänzungen zur öffentlichen Zugänglichmachung vorzulegen.“

Verordnung Nr. 1 über die Führung, Aufbewahrung und den Zugang zum Handelsregister und zum Register der juristischen Personen ohne Erwerbszweck

34 Art. 6 der vom Ministar na pravosadieto (Justizminister) erlassenen Naredba N° 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (Verordnung Nr. 1 über die Führung, über die Aufbewahrung und den Zugang zum Handelsregister und zum Register der juristischen Personen ohne Erwerbszweck) vom 14. Februar 2007 (DV Nr. 18 vom 27. Februar 2007) in der für den Ausgangsrechtsstreit geltenden Fassung sieht vor:

„Die Eintragung und die Löschung im Handelsregister und im Register der juristischen Personen ohne Erwerbszweck erfolgt auf der Grundlage eines Antragsformulars in der Form gemäß den Anhängen [mit spezifischen Formularen]. Die öffentliche Zugänglichmachung von Urkunden im Handelsregister und im Register der juristischen Personen ohne Erwerbszweck erfolgt auf der Grundlage eines Antragsformulars gemäß den Anhängen [mit spezifischen Formularen].“

Ausgangsrechtsstreit und Vorlagefragen

35 OL ist Gesellschafterin der „Praven Shtit Konsulting“ OOD, einer Gesellschaft mit beschränkter Haftung bulgarischen Rechts, die am 14. Januar 2021 in das Handelsregister eingetragen wurde, nachdem ein von den Gesellschaftern dieser Gesellschaft unterzeichneter Gesellschaftsvertrag vom 30. Dezember 2020 (im Folgenden: betreffender Gesellschaftsvertrag) eingereicht worden war.

36 Dieser Vertrag, der den Namen, den Vornamen, die Identifikationsnummer, die Nummer des Personalausweises, das Datum und den Ort der Ausstellung dieses Ausweises sowie die Anschrift von OL und ihre Unterschrift enthielt, wurde der Öffentlichkeit von der Agentur in der Form zugänglich gemacht, in der er eingereicht worden war.

37 Am 8. Juli 2021 beantragte OL bei der Agentur die Löschung ihrer personenbezogenen Daten in diesem Gesellschaftsvertrag und erklärte, dass sie, soweit die Verarbeitung dieser Daten auf ihrer Einwilligung beruhe, diese widerrufe.

38 Da die Agentur nicht antwortete, rief OL den Administrativen sad Dobrich (Verwaltungsgericht Dobrich, Bulgarien) an, der die stillschweigende Ablehnung der Agentur, die genannten Daten zu löschen, mit Urteil vom 8. Dezember 2021 aufhob und die Sache zur erneuten Entscheidung an die Agentur zurückverwies.

39 In Durchführung dieses Urteils und eines entsprechenden Urteils in Bezug auf den anderen Gesellschafter, der denselben Schritt unternommen hatte, wies die Agentur mit Schreiben vom 26. Januar 2022 darauf hin, dass ihr eine beglaubigte Kopie des betreffenden Gesellschaftsvertrags zu übermitteln sei, in der die personenbezogenen Daten der Gesellschafter, mit Ausnahme der gesetzlich vorgeschriebenen Daten, unkenntlich gemacht worden seien, damit dem von OL gestellten Antrag auf Löschung personenbezogener Daten entsprochen werden könne.

40 Am 31. Januar 2022 erhob OL erneut Klage beim Administrativen sad Dobrich (Verwaltungsgericht Dobrich) und beantragte, dieses Schreiben für nichtig zu erklären und die Agentur zum Ersatz des immateriellen Schadens zu verurteilen, der ihr durch dieses Schreiben unter Verletzung der Rechte aus der DSGVO entstanden sein soll.

41 Noch vor Zustellung dieser Klage an die Agentur löschte diese am 1. Februar 2022 von Amts wegen die Identifikationsnummer, die Daten zum Personalausweis und die Anschrift von OL, nicht aber ihren Namen, ihren Vornamen und ihre Unterschrift.

42 Mit Urteil vom 5. Mai 2022 erklärte der Administrativen sad Dobrich (Verwaltungsgericht Dobrich) das Schreiben vom 26. Januar 2022 für nichtig und verurteilte die Agentur, an OL gemäß Art. 82 DSGVO als Ersatz ihres immateriellen Schadens 500 bulgarische Leva (BGN) (ca. 255 Euro) zuzüglich gesetzlicher Zinsen zu zahlen. Diesem Urteil zufolge bestand dieser Schaden zum einen in den negativen psychologischen und emotionalen Erfahrungen von OL, nämlich der Angst und Sorge vor möglichem Missbrauch sowie der Hilflosigkeit und Enttäuschung über die Unmöglichkeit, ihre persönlichen Daten zu schützen. Zum anderen sei dieser Schaden durch dieses Schreiben entstanden, das das Recht von OL auf Löschung gemäß Art. 17 Abs. 1 DSGVO verletzt und zur rechtswidrigen Verarbeitung ihrer in dem öffentlich zugänglich gemachten betreffenden Gesellschaftsvertrag enthaltenen Daten geführt habe.

43 Das vorlegende Gericht, der Varhoven administrativen sad (Oberstes Verwaltungsgericht, Bulgarien), ist mit der von der Agentur gegen dieses Urteil eingelegten Kassationsbeschwerde befasst.

44 Diesem Gericht zufolge macht die Agentur geltend, dass sie nicht nur Verantwortlicher für die Verarbeitung, sondern auch Empfänger der im Rahmen des Verfahrens der Registrierung der „Praven Shtit Konsulting“ übermittelten personenbezogenen Daten sei. Außerdem habe die Agentur keine Kopie des betreffenden Gesellschaftsvertrags erhalten, in der die personenbezogenen Daten von OL, die nicht öffentlich zugänglich gemacht werden sollten, unkenntlich gemacht worden seien, obwohl sie dies vor der Eintragung dieser Gesellschaft in das Handelsregister verlangt habe. Das Fehlen einer solchen Kopie könne jedoch für sich allein der Eintragung einer Handelsgesellschaft in dieses Register nicht entgegenstehen. Dies ergebe sich aus der Stellungnahme Nr. 01-116(20)/01.02.2021 der nationalen Aufsichtsbehörde, der Komisia za zashtita na lichnite danni (Kommission für den Schutz personenbezogener Daten, Bulgarien), die gemäß Art. 58 Abs. 3 Buchst. b DSGVO ergangen sei und auf die sich die Agentur beziehe. Das vorlegende Gericht weist auf die von OL vertretene Auffassung hin, dass die Agentur als für die Verarbeitung Verantwortlicher ihre Verpflichtungen zur Löschung personenbezogener Daten nicht anderen Personen auferlegen könne, weil diese Stellungnahme nach nationaler Rechtsprechung nicht im Einklang mit den Bestimmungen der DSGVO stehe.

45 Das vorlegende Gericht fügt hinzu, dass angesichts dieser herrschenden nationalen Rechtsprechung eine Klarstellung der sich aus dieser Verordnung ergebenden Anforderungen erforderlich erscheine. Insbesondere fragt dieses Gericht nach dem Ausgleich, der zwischen dem Recht auf Schutz personenbezogener Daten einerseits und der Regelung, die die Offenlegung sowie den Zugang zu bestimmten Urkunden der Gesellschaften gewährleiste, andererseits herzustellen sei, und führt insbesondere aus, dass das Urteil vom 9. März 2017, Manni (C‑398/15, EU:C:2017:197), nicht geeignet sei, die Auslegungsschwierigkeiten zu lösen, die die im Ausgangsverfahren in Rede stehende Situation aufwerfe.

46 Vor diesem Hintergrund hat der Varhoven administrativen sad (Oberstes Verwaltungsgericht) das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1. Kann Art. 4 Abs. 2 der Richtlinie 2009/101 dahin ausgelegt werden, dass er eine Verpflichtung des Mitgliedstaats aufstellt, die Offenlegung eines Gesellschaftsvertrags, der gemäß Art. 119 des Handelsgesetzes der Eintragung unterliegt, zuzulassen, wenn dieser neben den Namen der Gesellschafter, die gemäß Art. 2 Abs. 2 des Registergesetzes der obligatorischen Bekanntmachung unterliegen, auch weitere personenbezogene Daten enthält? Bei der Beantwortung dieser Frage ist zu beachten, dass die Agentur eine Einrichtung des öffentlichen Sektors ist, der gegenüber nach ständiger Rechtsprechung des Gerichtshofs die Vorschriften der Richtlinie, die unmittelbare Wirkung entfalten, geltend gemacht werden können (Urteil vom 7. September 2006, Vassallo, C‑180/04, EU:C:2006:518, Rn. 26 und die dort angeführte Rechtsprechung).

2. Kann – falls die erste Frage bejaht wird – angenommen werden, dass unter den Umständen, die den Rechtsstreit des Ausgangsverfahrens ausgelöst haben, die Verarbeitung personenbezogener Daten durch die Agentur im Sinne von Art. 6 Abs. 1 Buchst. e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?

3. Kann – falls die ersten beiden Fragen bejaht werden – eine nationale Regelung wie Art. 13 Abs. 9 des Registergesetzes, nach der für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, davon auszugehen ist, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die Agentur und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben, ungeachtet der Erwägungsgründe 32, 40, 42, 43 und 50 der DSGVO als Klarstellung in Bezug auf die Möglichkeit einer im Sinne von Art. 4 Abs. 2 der Richtlinie 2009/101 „freiwilligen Offenlegung“ auch personenbezogener Daten, als zulässig angesehen werden?

4. Sind zur Umsetzung der Verpflichtung aus Art. 3 Abs. 7 der Richtlinie 2009/101, wonach die Mitgliedstaaten die erforderlichen Maßnahmen treffen müssen, um zu verhindern, dass der Inhalt der nach Art. 3 Abs. 5 offengelegten Informationen und der Inhalt des Registers oder der Akte voneinander abweichen, und um die Interessen Dritter zu berücksichtigen, sich über die wesentlichen Urkunden der Gesellschaft sowie einige sie betreffende Angaben, die im dritten Erwägungsgrund dieser Richtlinie genannt werden, zu unterrichten, nationale Rechtsvorschriften zulässig, die eine Verfahrensregelung (Antragsformblätter, Einreichung von Kopien von Unterlagen, in denen personenbezogene Daten unkenntlich gemacht wurden) für die Ausübung des Rechts der natürlichen Person gemäß Art. 17 DSGVO, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, vorsehen, wenn die personenbezogenen Daten, deren Löschung verlangt wird, Teil von öffentlich offengelegten (bekannt gemachten) Unterlagen sind, die dem Verantwortlichen nach einer ähnlichen Verfahrensregelung von einer anderen Person zur Verfügung gestellt wurden, die mit dieser Handlung auch den Zweck der von ihr veranlassten Verarbeitung bestimmt hat?

5. Handelt die Agentur in der dem Ausgangsrechtsstreit zugrunde liegenden Situation nur als Verantwortlicher in Bezug auf die personenbezogenen Daten, oder ist sie auch deren Empfänger, wenn die Zwecke ihrer Verarbeitung als Teil der Unterlagen, die zur Bekanntmachung vorgelegt wurden, von einem anderen Verantwortlichen bestimmt wurden?

6. Stellt die eigenhändige Unterschrift einer natürlichen Person eine Information dar, die sich auf eine identifizierte natürliche Person bezieht, bzw. wird sie vom Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO erfasst?

7. Ist der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Belange erfordert, oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Handelsregister, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?

8. Kann die gemäß Art. 58 Abs. 3 Buchst. b DSGVO erlassene Stellungnahme der nationalen Aufsichtsbehörde, der Kommission für den Schutz personenbezogener Daten, Nr. 01-116(20)/01.02.2021, wonach die Agentur keine rechtliche Möglichkeit oder Befugnis hat, von Amts wegen oder auf Antrag der betroffenen Person, die Verarbeitung von bereits offengelegten Daten einzuschränken, zulässigerweise als Nachweis im Sinne von Art. 82 Abs. 3 DSGVO dafür gelten, dass die Agentur in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden bei der natürlichen Person eingetreten ist?

Zu den Vorlagefragen

Vorbemerkungen

47 Zunächst ist darauf hinzuweisen, dass die vorgelegten Fragen die Auslegung sowohl der DSGVO als auch der Richtlinie 2009/101 betreffen, die durch die Richtlinie 2017/1132 kodifiziert und ersetzt wurde, die in zeitlicher Hinsicht auf den im Ausgangsverfahren in Rede stehenden Sachverhalt anwendbar ist. Folglich ist das Vorabentscheidungsersuchen so auszulegen, dass es auf die Auslegung der Richtlinie 2017/1132 abzielt.

48 Wie die Generalanwältin in Nr. 15 ihrer Schlussanträge ausgeführt hat, ist es außerdem, da sich ein Teil dieses Sachverhalts nach dem 1. August 2021, dem in Art. 2 Abs. 1 der Richtlinie 2019/1151 genannten Tag des Ablaufs der Frist für die Umsetzung der Richtlinie 2019/1151, zugetragen hat, Sache des vorlegenden Gerichts, zu prüfen, ob diese Tatsachen in zeitlicher Hinsicht in den Anwendungsbereich der Richtlinie 2017/1132 in ihrer ursprünglichen Fassung oder in ihrer durch die Richtlinie 2019/1151 geänderten Fassung fallen.

49 Dies vorausgeschickt, ist darauf hinzuweisen, dass die Änderungen des Wortlauts der Art. 16 und 161 der Richtlinie 2017/1132 und die Hinzufügung eines Art. 16a zu dieser Richtlinie, die sich aus der Richtlinie 2019/1151 ergeben, keinen Einfluss auf die vom Gerichtshof in der vorliegenden Rechtssache vorzunehmende Prüfung haben, so dass die im vorliegenden Urteil zu gebenden Antworten in jedem Fall relevant sein werden.

Zur ersten Frage

50 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 21 Abs. 2 der Richtlinie 2017/1132 dahin auszulegen ist, dass er einem Mitgliedstaat die Verpflichtung auferlegt, die Offenlegung eines Gesellschaftsvertrags im Handelsregister zuzulassen, der der in dieser Richtlinie vorgesehenen Offenlegungspflicht unterliegt und der über die erforderlichen personenbezogenen Mindestdaten hinaus weitere personenbezogene Daten enthält, deren Offenlegung nach dem Recht dieses Mitgliedstaats nicht vorgeschrieben ist.

51 Insbesondere fragt dieses Gericht nach der Reichweite der in dieser Bestimmung erwähnten freiwilligen Offenlegung und möchte geklärt wissen, ob diese Bestimmung die Mitgliedstaaten dazu verpflichtet, die Offenlegung von Angaben in Gesellschaftsurkunden – wie z. B. personenbezogenen Daten – zuzulassen, die sie im Rahmen der in der Richtlinie vorgesehenen obligatorischen Offenlegung nicht verlangt haben.

52 Nach Art. 21 Abs. 2 Unterabs. 1 der Richtlinie 2017/1132 lassen die Mitgliedstaaten „[z]usätzlich zu der obligatorischen Offenlegung nach Artikel 16 … die freiwillige Offenlegung von Übersetzungen der in Artikel 14 bezeichneten Urkunden und Angaben in Übereinstimmung mit Artikel 16 in jeder anderen Amtssprache der Union zu“. Art. 21 Abs. 2 Unterabs. 2 dieser Richtlinie gestattet es den Mitgliedstaaten, vorzuschreiben, dass „die Übersetzung dieser Urkunden und Angaben“ zu beglaubigen ist. Art. 21 Abs. 2 Unterabs. 3 dieser Richtlinie betrifft schließlich die Maßnahmen, die erforderlich sind, um den Zugang Dritter zu den freiwillig offengelegten „Übersetzungen“ zu erleichtern.

53 Art. 14 der Richtlinie 2017/1132 führt seinerseits die Urkunden und Angaben auf, die die betreffenden Gesellschaften mindestens offenzulegen verpflichtet sind. Diese Urkunden und Angaben müssen gemäß Art. 16 Abs. 3 bis 5 dieser Richtlinie in der Akte hinterlegt oder in das Register eingetragen werden, auf Antrag durch Erhalt einer vollständigen oder auszugsweisen Abschrift zugänglich sein und entweder in Form einer vollständigen oder auszugsweisen Wiedergabe oder in Form eines Hinweises im nationalen Amtsblatt oder durch eine Maßnahme gleicher Wirkung bekannt gemacht werden.

54 Insoweit ergibt sich insbesondere in Anbetracht der wiederholten Verwendung des Begriffs „Übersetzungen“ in Art. 21 Abs. 2 der Richtlinie 2017/1132 aus dem Wortlaut dieser Bestimmung, dass diese die freiwillige Offenlegung der Übersetzungen der in Art. 14 dieser Richtlinie genannten Urkunden und Angaben in eine Amtssprache der Union und damit nur die Sprache der Offenlegung dieser Urkunden und Angaben betrifft. Dagegen bezieht sich diese Bestimmung nicht auf den Inhalt dieser Urkunden und Angaben.

55 Folglich deutet dieser Wortlaut darauf hin, dass dieser Art. 21 Abs. 2 nicht dahin ausgelegt werden kann, dass er den Mitgliedstaaten irgendeine Verpflichtung zur Offenlegung personenbezogener Daten auferlegt, deren Offenlegung weder durch andere Bestimmungen des Unionsrechts noch durch das Recht des betreffenden Mitgliedstaats vorgeschrieben ist, die aber in einer Urkunde enthalten sind, der der Offenlegungspflicht nach dieser Richtlinie unterliegt.

56 Ergibt sich die Bedeutung einer Bestimmung des Unionsrechts jedoch eindeutig aus ihrem Wortlaut, darf der Gerichtshof nicht von dieser Auslegung abweichen (Urteil vom 25. Januar 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, Rn. 39).

57 Was den Kontext von Art. 21 Abs. 2 der Richtlinie 2017/1132 betrifft, unterstützen jedenfalls die Überschrift dieses Artikels, die sich auf die „Sprache der Offenlegung und Übersetzung der offenzulegenden Urkunden und Angaben“ bezieht, sowie die anderen Absätze dieses Artikels die in Rn. 55 des vorliegenden Urteils vorgenommene Auslegung.

58 Art. 21 Abs. 1 der Richtlinie 2017/1132 sieht nämlich vor, dass „Urkunden und Angaben, die nach Artikel 14 [dieser Richtlinie] der Offenlegung unterliegen, … in einer der Sprachen zu erstellen und zu hinterlegen [sind]“, die nach den einschlägigen nationalen Bestimmungen „zulässig sind“. Art. 21 Abs. 3 dieser Richtlinie sieht vor, dass die Mitgliedstaaten zusätzlich zu der obligatorischen Offenlegung nach Art. 16 dieser Richtlinie und der freiwilligen Offenlegung nach Art. 21 Abs. 2 dieser Richtlinie die Offenlegung der betreffenden Urkunden und Angaben „in jeder anderen Sprache“ zulassen können. Art. 21 Abs. 4 dieser Richtlinie bezieht sich seinerseits auf die „freiwillig offengelegten Übersetzungen“.

59 Schließlich wird die in Rn. 55 des vorliegenden Urteils vorgenommene Auslegung durch den zwölften Erwägungsgrund der Richtlinie 2017/1132 bestätigt, wonach der grenzüberschreitende Zugang zu Informationen über eine Gesellschaft erleichtert werden sollte, indem zusätzlich zur verpflichtenden Offenlegung in einer der im Mitgliedstaat der Gesellschaft zugelassenen Sprachen die freiwillige Eintragung der erforderlichen Urkunden und Angaben in weiteren Sprachen gestattet wird.

60 Nach alledem ist auf die erste Frage zu antworten, dass Art. 21 Abs. 2 der Richtlinie 2017/1132 dahin auszulegen ist, dass er einem Mitgliedstaat keine Verpflichtung auferlegt, die Offenlegung eines Gesellschaftsvertrags im Handelsregister zuzulassen, der der Offenlegungspflicht nach dieser Richtlinie unterliegt und der über die erforderlichen personenbezogenen Mindestdaten hinaus weitere personenbezogene Daten enthält, deren Offenlegung nach dem Recht dieses Mitgliedstaats nicht vorgeschrieben ist.

Zur zweiten und zur dritten Frage

61 In Anbetracht der Antwort auf die erste Frage brauchen die zweite und die dritte Frage nicht beantwortet zu werden, weil sie nur für den Fall gestellt werden, dass die erste Frage bejaht wird.

Zur fünften Frage

62 Mit seiner fünften Frage, die vor der vierten Frage zu behandeln ist, möchte das vorlegende Gericht im Wesentlichen wissen, ob die DSGVO, insbesondere deren Art. 4 Nrn. 7 und 9, dahin auszulegen ist, dass die mit der Führung des Handelsregisters eines Mitgliedstaats betraute Stelle, die in diesem Register die personenbezogenen Daten offenlegt, die in einem Gesellschaftsvertrag enthalten sind, der der Offenlegungspflicht nach der Richtlinie 2017/1132 unterliegt und der ihr im Rahmen eines Antrags der betreffenden Gesellschaft auf Eintragung in das Register übermittelt wurde, sowohl „Empfänger“ dieser Daten als auch für die Verarbeitung dieser Daten „Verantwortlicher“ im Sinne dieser Bestimmung ist.

63 Zunächst ist darauf hinzuweisen, dass gemäß Art. 161 der Richtlinie 2017/1132 für die Verarbeitung personenbezogener Daten im Zusammenhang mit dieser Richtlinie die Richtlinie 95/46 und damit die DSGVO gilt, deren Art. 94 Abs. 2 klarstellt, dass Verweise auf die letztgenannte Richtlinie als Verweise auf diese Verordnung gelten.

64 Insoweit ist zunächst festzustellen, dass die Mitgliedstaaten nach Art. 14 Buchst. a, b und d der Richtlinie 2017/1132 die erforderlichen Maßnahmen treffen müssen, damit sich die Pflicht zur Offenlegung in Bezug auf Gesellschaften mindestens auf den Errichtungsakt der betreffenden Gesellschaft, auf dessen Änderungen und auf die Bestellung, das Ausscheiden sowie die Personalien derjenigen erstreckt, die als gesetzlich vorgesehenes Gesellschaftsorgan oder als Mitglieder eines solchen Organs befugt sind, diese Gesellschaft gerichtlich und außergerichtlich zu vertreten, oder an der Verwaltung, Beaufsichtigung oder Kontrolle dieser Gesellschaft teilnehmen. Darüber hinaus gehören nach Art. 4 Buchst. i dieser Richtlinie zu den obligatorischen Angaben, die im Errichtungsakt, der Gegenstand einer solchen Offenlegung ist, enthalten sein müssen, die Personalien der natürlichen Personen oder die Bezeichnung der juristischen Personen oder Gesellschaften, durch die oder in deren Namen dieser Errichtungsakt unterzeichnet wurde.

65 Wie in Rn. 53 des vorliegenden Urteils ausgeführt, müssen diese Urkunden und Angaben gemäß Art. 16 Abs. 3 bis 5 dieser Richtlinie in der Akte hinterlegt oder in das Register eingetragen werden, auf Antrag durch Erhalt einer vollständigen oder auszugsweisen Kopie zugänglich sein und entweder in Form einer vollständigen oder auszugsweisen Wiedergabe oder in Form eines Hinweises im nationalen Amtsblatt oder durch eine Maßnahme gleicher Wirkung bekannt gemacht werden.

66 Wie die Generalanwältin in Nr. 26 ihrer Schlussanträge ausgeführt hat, ist es somit Sache der Mitgliedstaaten, unter Beachtung des Unionsrechts u. a. festzulegen, welche Kategorien von Informationen über die Personalien der in Art. 4 Buchst. i und Art. 14 Buchst. d der Richtlinie 2017/1132 genannten Personen, insbesondere welche Arten von personenbezogenen Daten, der Pflicht zur Offenlegung unterliegen.

67 Die Angaben zu den Personalien dieser Personen sind jedoch als Informationen über bestimmte oder bestimmbare natürliche Personen „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO (vgl. in diesem Sinne Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 34).

68 Das Gleiche gilt für die zusätzlichen Angaben zu den Personalien dieser Personen oder anderer Kategorien von Personen, die die Mitgliedstaaten der Offenlegungspflicht unterwerfen oder die, wie im vorliegenden Fall, in den einer solchen Offenlegung unterliegenden Urkunden enthalten sind, ohne dass die Bereitstellung dieser Daten nach der Richtlinie 2017/1132 oder nach dem nationalen Recht zur Umsetzung dieser Richtlinie erforderlich ist.

69 Was sodann den Begriff „Empfänger“ im Sinne von Art. 4 Nr. 9 DSGVO betrifft, bezeichnet dieser „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“, wobei diese Bestimmung klarstellt, dass Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten personenbezogene Daten erhalten, von dieser Definition ausgenommen sind.

70 Werden bei der für die Führung des Handelsregisters eines Mitgliedstaats zuständigen Stelle jedoch im Rahmen des Antrags auf Eintragung einer Gesellschaft in dieses Register in Art. 14 der Richtlinie 2017/1132 genannte, der obligatorischen Offenlegung unterliegende Urkunden eingereicht, die personenbezogene Daten enthalten – unabhängig davon, ob diese nach dieser Richtlinie oder nach nationalem Recht erforderlich sind oder nicht –, ist diese Behörde „Empfänger“ dieser Daten im Sinne von Art. 4 Nr. 9 DSGVO.

71 Schließlich umfasst der Begriff „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Diese Bestimmung besagt auch, dass, wenn die Zwecke und Mittel dieser Verarbeitung durch das Recht der Union oder das Recht eines Mitgliedstaats vorgegeben sind, der Verantwortliche bzw. die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden können.

72 Hierzu ist darauf hinzuweisen, dass nach der Rechtsprechung des Gerichtshofs durch die weite Definition des Ausdrucks „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden soll (Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 28 und die dort angeführte Rechtsprechung).

73 In Anbetracht des im Licht dieses Ziels gelesenen Wortlauts von Art. 4 Nr. 7 DSGVO ergibt sich, dass die Feststellung, ob eine Person oder Einrichtung als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, der Prüfung bedarf, ob diese Person oder Einrichtung allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob diese durch das Unionsrecht oder das nationale Recht vorgegeben werden. Erfolgt durch das nationale Recht eine solche Vorgabe, ist zu prüfen, ob dieses Recht den Verantwortlichen bzw. die bestimmten Kriterien seiner Benennung vorsieht (vgl. in diesem Sinne Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 29).

74 Ferner ist klarzustellen, dass angesichts der weiten Definition des Ausdrucks „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht nicht nur explizit, sondern auch implizit erfolgen kann. Im letzteren Fall ist es jedoch erforderlich, dass sich diese Vorgabe mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben der betroffenen Person oder Einrichtung ergibt (Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 30).

75 Darüber hinaus nimmt die mit der Führung des Registers betraute Stelle, indem sie die personenbezogenen Daten, die sie im Zusammenhang mit einem Antrag auf Eintragung einer Gesellschaft in das Handelsregister eines Mitgliedstaats erhalten hat, in das Register einträgt, darin aufbewahrt, gegebenenfalls auf Antrag an Dritte übermittelt und im nationalen Amtsblatt oder durch eine Maßnahme gleicher Wirkung veröffentlicht, im Sinne von Art. 4 Nrn. 2 und 7 DSGVO eine Verarbeitung personenbezogener Daten vor, für die sie „Verantwortlicher“ ist (vgl. in diesem Sinne Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 35).

76 Diese Verarbeitungen personenbezogener Daten unterscheiden sich nämlich von der bei dieser Stelle eingehenden Übermittlung der personenbezogenen Daten durch die Person, die die Eintragung beantragt, und folgen dieser Übermittlung zeitlich nach. Außerdem werden diese Verarbeitungen allein von dieser Stelle gemäß den Zwecken und Modalitäten vorgenommen, die in der Richtlinie 2017/1132 und in den Rechtsvorschriften des betreffenden Mitgliedstaats zur Umsetzung dieser Richtlinie festgelegt sind.

77 Hierzu ist darauf hinzuweisen, dass den Erwägungsgründen 7 und 8 dieser Richtlinie zu entnehmen ist, dass die von ihr vorgesehene Offenlegung u. a. dazu dient, die Interessen Dritter gegenüber Aktiengesellschaften und Gesellschaften mit beschränkter Haftung zu schützen, da diese zum Schutz Dritter lediglich ihr Gesellschaftsvermögen zur Verfügung stellen. Die Offenlegung soll es Dritten daher erlauben, sich über die wesentlichen Urkunden der Gesellschaft sowie einige sie betreffende Angaben, insbesondere die Personalien derjenigen, die die Gesellschaft verpflichten können, zu unterrichten.

78 Außerdem besteht der Zweck dieser Richtlinie darin, die Rechtssicherheit in den Beziehungen zwischen den Gesellschaften und Dritten im Hinblick auf eine Intensivierung des Geschäftsverkehrs zwischen den Mitgliedstaaten nach der Schaffung des Binnenmarkts zu gewährleisten. Für diese Zielsetzung ist es wichtig, dass sich jeder, der den Wunsch hat, Geschäftsverbindungen mit Gesellschaften in anderen Mitgliedstaaten aufzunehmen oder fortzusetzen, unschwer Kenntnis von den wesentlichen Angaben über die Gründung der Handelsgesellschaften und über die Befugnisse der mit ihrer Vertretung betrauten Personen verschaffen kann, weshalb alle einschlägigen Angaben ausdrücklich im Register aufgeführt werden müssen (vgl. in diesem Sinne Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 50).

79 Wie die Generalanwältin in Nr. 39 ihrer Schlussanträge ausgeführt hat, nimmt jedoch derjenige, der die Eintragung einer Gesellschaft in das Handelsregister eines Mitgliedstaats beantragt, durch die Übermittlung der nach der Richtlinie 2017/1132 offenzulegenden Urkunden und Angaben an die mit der Führung dieses Registers betraute Stelle und somit durch die Verarbeitung der in diesen Urkunden enthaltenen personenbezogenen Daten keinerlei Einfluss auf die Entscheidung über die Zwecke und über die nachfolgenden Verarbeitungen der Daten durch diese Stelle. Darüber hinaus verfolgt der Antragsteller andere und eigene Zwecke, nämlich die Erfüllung der für diese Eintragung erforderlichen Formalitäten.

80 Im vorliegenden Fall geht, wie die Generalanwältin in den Nrn. 31 und 32 dieser Schlussanträge ausgeführt hat, aus dem Vorabentscheidungsersuchen hervor, dass die öffentliche Zugänglichmachung der personenbezogenen Daten von OL in Wahrnehmung der Aufgaben erfolgte, die der Agentur als der mit der Führung des Handelsregisters betrauten Stelle übertragen wurden, wobei die Zwecke und Mittel der Verarbeitung dieser Daten sowohl durch das Unionsrecht als auch durch die im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften, insbesondere durch Art. 13 Abs. 9 des Registergesetzes, bestimmt werden. So hat die Tatsache, dass eine beglaubigte Kopie des betreffenden Gesellschaftsvertrags, in der die nach diesen Rechtsvorschriften nicht erforderlichen personenbezogenen Daten unkenntlich gemacht wurden, entgegen den in diesen Rechtsvorschriften vorgesehenen Verfahrensmodalitäten nicht übermittelt wurde, keine Auswirkungen auf die Einstufung der Agentur als für diese Verarbeitung „Verantwortlicher“.

81 Diese Einstufung wird auch nicht dadurch in Frage gestellt, dass die Agentur gemäß denselben Rechtsvorschriften die personenbezogenen Daten, die in den elektronischen Bildern oder Originalen der ihr für die Eintragung übermittelten Dokumente enthalten sind, vor der Online-Veröffentlichung dieser Daten nicht kontrolliert. Hierzu hat der Gerichtshof bereits entschieden, dass es dem in Rn. 72 des vorliegenden Urteils genannten Ziel von Art. 4 Nr. 7 DSGVO zuwiderlaufen würde, das Amtsblatt eines Mitgliedstaats vom Ausdruck „Verantwortlicher“ auszunehmen, weil die in seinen Veröffentlichungen enthaltenen personenbezogenen Daten nicht seiner Kontrolle unterliegen (Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C‑231/22, EU:C:2024:7, Rn. 38).

82 Unter diesen Umständen dürfte die Agentur in einer Situation wie der des Ausgangsverfahrens selbst dann als Verantwortlicher für die Verarbeitung der personenbezogenen Daten von OL – die darin besteht, diese Daten der Öffentlichkeit online zur Verfügung zu stellen – anzusehen sein, wenn ihr nach den im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften eine Kopie des betreffenden Gesellschaftsvertrags hätte übermittelt werden müssen, in der die nach diesen Rechtsvorschriften nicht erforderlichen personenbezogenen Daten unkenntlich gemacht wurden, was zu prüfen Sache des vorlegenden Gerichts ist. Daher ist die Agentur gemäß Art. 5 Abs. 2 DSGVO auch für die Einhaltung von Art. 5 Abs. 1 DSGVO verantwortlich.

83 Nach alledem ist auf die fünfte Frage zu antworten, dass die DSGVO, insbesondere deren Art. 4 Nrn. 7 und 9, dahin auszulegen ist, dass die mit der Führung des Handelsregisters eines Mitgliedstaats betraute Stelle, die in diesem Register die personenbezogenen Daten veröffentlicht, die in einem Gesellschaftsvertrag enthalten sind, der der Offenlegungspflicht nach der Richtlinie 2017/1132 unterliegt und der ihr im Rahmen eines Antrags auf Eintragung der betreffenden Gesellschaft in das Register übermittelt wurde, sowohl „Empfänger“ dieser Daten als auch – insbesondere indem sie diese der Öffentlichkeit zugänglich macht – für die Verarbeitung dieser Daten „Verantwortlicher“ im Sinne dieser Bestimmung ist, selbst wenn dieser Vertrag personenbezogene Daten enthält, die nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht vorgeschrieben sind.

Zur vierten Frage

Zur Zulässigkeit

84 Die bulgarische Regierung macht geltend, dass die vierte Frage unzulässig sei, weil sie ein Problem hypothetischer Natur aufwerfe. Diese Frage betreffe nämlich die Vereinbarkeit einer nationalen Regelung der Verfahrensmodalitäten für die Ausübung des Rechts nach Art. 17 DSGVO, die noch nicht erlassen sei, mit Art. 16 der Richtlinie 2017/1132.

85 Nach ständiger Rechtsprechung begründet das in Art. 267 AEUV vorgesehene Vorabentscheidungsverfahren eine enge Zusammenarbeit zwischen den nationalen Gerichten und dem Gerichtshof, die auf einer Verteilung der Aufgaben zwischen ihnen beruht, und stellt ein Verfahren dar, das dem Gerichtshof die Auslegung der unionsrechtlichen Vorschriften erlaubt, auf die es für die Entscheidung des bei dem nationalen Gericht anhängigen Rechtsstreits ankommt. Im Rahmen dieser Zusammenarbeit ist es allein Sache des mit dem Rechtsstreit befassten nationalen Gerichts, in dessen Verantwortungsbereich die zu erlassende gerichtliche Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung zum Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof von ihm vorgelegten Fragen zu beurteilen. Daher ist der Gerichtshof grundsätzlich gehalten, über die ihm vorgelegten Fragen zu befinden, wenn sie die Auslegung des Unionsrechts betreffen (Urteil vom 23. November 2021, IS [Rechtswidrigkeit des Vorlagebeschlusses], C‑564/19, EU:C:2021:949, Rn. 59 und 60 sowie die dort angeführte Rechtsprechung).

86 Infolgedessen spricht eine Vermutung für die Entscheidungserheblichkeit der Fragen zum Unionsrecht. Der Gerichtshof kann die Beantwortung einer Vorlagefrage eines nationalen Gerichts nur ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil vom 24. November 2020, Openbaar Ministerie [Urkundenfälschung], C‑510/19, EU:C:2020:953, Rn. 26 und die dort angeführte Rechtsprechung).

87 Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass das vorlegende Gericht in letzter Instanz über die Rechtswidrigkeit der Entscheidung der Agentur zu befinden hat, den im Ausgangsverfahren in Rede stehenden Antrag auf Löschung personenbezogener Daten mit der Begründung abzulehnen, dass ihr entgegen den in den bulgarischen Rechtsvorschriften vorgesehenen Verfahrensmodalitäten keine Kopie des betreffenden Gesellschaftsvertrags vorgelegt worden sei, in der die nach den bulgarischen Rechtsvorschriften nicht erforderlichen personenbezogenen Daten unkenntlich gemacht worden seien. Darüber hinaus geht aus diesem Ersuchen hervor, dass eine solche Ablehnung der Praxis der Agentur entspricht. Schließlich hat das vorlegende Gericht ausgeführt, dass eine Antwort des Gerichtshofs auf die vierte Frage für die Entscheidung des Ausgangsrechtsstreits in einem Kontext erforderlich sei, in dem die nationale Rechtsprechung nicht einheitlich sei.

88 Daraus folgt, dass die vierte Frage entgegen dem Vorbringen der bulgarischen Regierung zulässig ist.

Zur Beantwortung der Vorlagefrage

89 In Anbetracht der im Vorabentscheidungsersuchen enthaltenen Angaben, wie sie in Rn. 87 des vorliegenden Urteils dargelegt sind, ist davon auszugehen, dass das vorlegende Gericht mit seiner vierten Frage im Wesentlichen wissen möchte, ob die Richtlinie 2017/1132, insbesondere deren Art. 16, sowie Art. 17 DSGVO dahin auszulegen sind, dass sie einer Regelung oder Praxis eines Mitgliedstaats entgegenstehen, die dazu führt, dass die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle jeden Antrag auf Löschung von nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht erforderlichen personenbezogenen Daten ablehnt, die in einem in diesem Register offengelegten Gesellschaftsvertrag enthalten sind, wenn dieser Stelle entgegen den in dieser Regelung vorgesehenen Verfahrensmodalitäten keine Kopie dieses Vertrags vorgelegt wurde, in der diese Daten unkenntlich gemacht wurden.

90 Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der in dieser Bestimmung aufgeführten Gründe zutrifft.

91 Das ist nach Art. 17 Abs. 1 Buchst. c DSGVO der Fall, wenn die betroffene Person gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine „vorrangigen berechtigten Gründe für die Verarbeitung“ vorliegen, oder nach Art. 17 Abs. 1 Buchst. d DSGVO, wenn die in Rede stehenden Daten „unrechtmäßig verarbeitet“ wurden.

92 Aus Art. 17 Abs. 3 Buchst. b DSGVO ergibt sich allerdings auch, dass Art. 17 Abs. 1 DSGVO nicht gilt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

93 Um festzustellen, ob die betroffene Person in einer Situation wie der des Ausgangsverfahrens ein Recht auf Löschung nach Art. 17 DSGVO hat, ist daher in einem ersten Schritt zu prüfen, aus welchem Rechtmäßigkeitsgrund oder aus welchen Rechtmäßigkeitsgründen die Verarbeitung ihrer personenbezogenen Daten möglicherweise erfolgt.

94 Hierzu ist darauf hinzuweisen, dass Art. 6 Abs. 1 Unterabs. 1 DSGVO eine erschöpfende und abschließende Liste der Fälle enthält, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 99 und die dort angeführte Rechtsprechung).

95 Liegt keine Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u.a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 92).

96 In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 93 und die dort angeführte Rechtsprechung).

97 Ferner ist klarzustellen, dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass diese Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben werden, dass sie dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind und dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 95).

98 Es ist zwar Sache des vorlegenden Gerichts, festzustellen, ob die verschiedenen Elemente einer Verarbeitung wie der im Ausgangsverfahren in Rede stehenden durch eines der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Erfordernisse gerechtfertigt sind, doch kann der Gerichtshof ihm sachdienliche Hinweise für die Entscheidung des bei ihm anhängigen Rechtsstreits geben (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 96).

99 Erstens erfüllt im vorliegenden Fall, wie die Generalanwältin in Nr. 43 ihrer Schlussanträge ausgeführt hat, die in Art. 13 Abs. 9 des Registergesetzes aufgestellte Vermutung der Einwilligung wohl kaum die Voraussetzungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO in Verbindung mit Art. 4 Nr. 11 DSGVO.

100 Wie aus den Erwägungsgründen 32, 42 und 43 dieser Verordnung hervorgeht, sollte die Einwilligung nämlich durch eine eindeutige bestätigende Handlung erfolgen, z. B. in Form einer schriftlichen oder einer mündlichen Erklärung, und kann nicht als freiwillig erteilt angesehen werden, wenn die betroffene Person keine echte oder freie Wahl hat oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Außerdem sollte die Einwilligung in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, keine gültige Rechtsgrundlage liefern.

101 Daher kann eine Vermutung wie die in Art. 13 Abs. 9 des Registergesetzes vorgesehene nicht als Nachweis einer freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erteilten Einwilligung in die Verarbeitung personenbezogener Daten durch eine Behörde wie die Agentur angesehen werden.

102 Zweitens dürften die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b und d DSGVO vorgesehenen Rechtmäßigkeitsgründe, die eine für die Erfüllung eines Vertrags bzw. für den Schutz lebenswichtiger Interessen einer natürlichen Person erforderliche Verarbeitung personenbezogener Daten betreffen, in Bezug auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten nicht relevant sein. Gleiches gilt für den in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorgesehenen Rechtmäßigkeitsgrund für eine Verarbeitung personenbezogener Daten, die zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, weil aus dem Wortlaut von Art. 6 Abs. 1 Unterabs. 2 dieser Verordnung eindeutig hervorgeht, dass eine von einer Behörde in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung nicht in den Anwendungsbereich dieses Rechtmäßigkeitsgrundes fallen kann (vgl. in diesem Sinne Urteil vom 8. Dezember 2022, Inspektor v Inspektorata kam Visshia sadeben savet [Zwecke der Verarbeitung personenbezogener Daten – Strafrechtliche Ermittlungen], C‑180/21, EU:C:2022:967, Rn. 85).

103 Was schließlich die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DSGVO genannten Rechtmäßigkeitsgründe betrifft, ist darauf hinzuweisen, dass eine Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Ferner ist nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO auch eine Verarbeitung rechtmäßig, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

104 Art. 6 Abs. 3 DSGVO stellt in Bezug auf diese beiden Fälle der Rechtmäßigkeit insbesondere klar, dass die Verarbeitung auf dem Unionsrecht oder dem Recht des Mitgliedstaats beruhen muss, dem der Verantwortliche unterliegt, und dass die betreffende Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss.

105 Was als Erstes die Frage betrifft, ob die im Ausgangsverfahren in Rede stehende Verarbeitung erforderlich ist, um im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO eine rechtliche Verpflichtung zu erfüllen, die sich aus dem Unionsrecht oder dem Recht eines Mitgliedstaats ergibt, dem der für die Verarbeitung Verantwortliche unterliegt, ist in Übereinstimmung mit der Generalanwältin in den Nrn. 45 und 47 ihrer Schlussanträge darauf hinzuweisen, dass die Richtlinie 2017/1132 nicht die systematische Verarbeitung aller personenbezogenen Daten vorschreibt, die in einer Urkunde enthalten sind, die der in dieser Richtlinie vorgesehenen Offenlegungspflicht unterliegt. Vielmehr ergibt sich aus Art. 161 der Richtlinie 2017/1132, dass die Verarbeitung personenbezogener Daten im Zusammenhang mit dieser Richtlinie und insbesondere jede Erhebung, Speicherung, Bereitstellung für Dritte und Veröffentlichung von Informationen nach dieser Richtlinie den sich aus der DSGVO ergebenden Anforderungen vollständig entsprechen muss.

106 Somit obliegt es den Mitgliedstaaten, bei der Umsetzung der durch diese Richtlinie auferlegten Verpflichtungen darauf zu achten, einerseits die Ziele der Rechtssicherheit und des Schutzes der Interessen Dritter, die mit dieser Richtlinie verfolgt werden und auf die in Rn. 77 des vorliegenden Urteils verwiesen wird, und andererseits die in der DSGVO verankerten Rechte und das Grundrecht auf Schutz personenbezogener Daten miteinander in Einklang zu bringen, indem eine ausgewogene Gewichtung dieser Ziele und dieser Rechte vorgenommen wird (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, Rn. 98).

107 Daher kann nicht davon ausgegangen werden, dass die durch Online-Bereitstellung im Handelsregister bewirkte öffentliche Zugänglichmachung nach der Richtlinie 2017/1132 oder den im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften nicht erforderlicher personenbezogener Daten, die in einem Gesellschaftsvertrag enthalten sind, der der in dieser Richtlinie vorgesehenen Offenlegungspflicht unterliegt und der Agentur übermittelt wurde, durch das Erfordernis gerechtfertigt sei, die Offenlegung der in Art. 14 dieser Richtlinie genannten Urkunden gemäß ihrem Art. 16 zu gewährleisten, und sich somit aus einer im Unionsrecht vorgesehenen rechtlichen Verpflichtung ergebe.

108 Die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Verarbeitung dürfte -vorbehaltlich der Prüfung durch das vorlegende Gericht – auch nicht auf einer rechtlichen Verpflichtung nach dem Recht des Mitgliedstaats beruhen, dem der für die Verarbeitung Verantwortliche im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO unterliegt, im vorliegenden Fall nach bulgarischem Recht, da zum einen aus den dem Gerichtshof vorliegenden Akten hervorgeht, dass Art. 2 Abs. 2 des Registergesetzes vorsieht, dass die im Handelsregister einzutragenden Urkunden der Öffentlichkeit ohne die Informationen zugänglich gemacht werden, die personenbezogene Daten darstellen, „mit Ausnahme der Informationen, die nach dem Gesetz der Öffentlichkeit zugänglich zu machen sind“, und da zum anderen Art. 13 Abs. 9 dieses Gesetzes eine Vermutung der Einwilligung einführt, die, wie aus Rn. 99 des vorliegenden Urteils hervorgeht, nicht den Anforderungen der DSGVO entspricht.

109 Was als Zweites die Frage betrifft, ob die im Ausgangsverfahren in Rede stehende Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde, und zwar im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO, auf den sich u. a. sowohl das vorlegende Gericht als auch die bulgarische Regierung und die Agentur berufen, hat der Gerichtshof bereits entschieden, dass die Tätigkeit eines Hoheitsträgers, die darin besteht, Daten, die Unternehmen aufgrund gesetzlicher Pflichten übermitteln müssen, in einer Datenbank zu speichern, interessierten Personen Einsicht zu gewähren und ihnen Kopien dieser Daten zur Verfügung zu stellen, zur Ausübung hoheitlicher Befugnisse gehört und eine im öffentlichen Interesse liegende Aufgabe im Sinne dieser Bestimmung darstellt (vgl. in diesem Sinne Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 43).

110 Daraus folgt, dass die im Ausgangsverfahren in Rede stehende Verarbeitung zwar offenbar anlässlich einer im öffentlichen Interesse liegenden Aufgabe im Sinne der genannten Bestimmung erfolgte. Um die in dieser Bestimmung aufgestellten Voraussetzungen zu erfüllen, ist es jedoch erforderlich, dass diese Verarbeitung tatsächlich den im allgemeinen Interesse liegenden Zielen entspricht, ohne über das hinauszugehen, was zur Erreichung dieser Ziele erforderlich ist (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 109).

111 Diese Anforderung der Erforderlichkeit ist nicht erfüllt, wenn das im allgemeinen Interesse liegende verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte der betroffenen Personen, insbesondere die in den Art. 7 und 8 der Charta verbürgten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, wobei sich die Ausnahmen und Einschränkungen hinsichtlich des Grundsatzes des Schutzes solcher Daten auf das absolut Notwendige beschränken müssen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 110 und die dort angeführte Rechtsprechung).

112 Wie die Generalanwältin in Nr. 51 ihrer Schlussanträge festgestellt hat, kann jedoch die Online-Veröffentlichung personenbezogener Daten, die weder nach der Richtlinie 2017/1132 noch nach nationalem Recht erforderlich sind, für sich genommen nicht als zur Erreichung der mit dieser Richtlinie verfolgten Ziele erforderlich angesehen werden.

113 Insbesondere zu der Frage, ob Mittel zur Verfügung stehen, die weniger stark in die Grundrechte der betroffenen Personen eingreifen, ist festzustellen, dass die im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften vorsehen, dass derjenige, der die Eintragung einer Gesellschaft in das Handelsregister beantragt, eine um nicht erforderliche personenbezogene Daten bereinigte Kopie der Urkunde dieser Gesellschaft vorzulegen hat, die in diesem Register veröffentlicht und Dritten zugänglich gemacht werden soll, wobei der Agentur eine solche Kopie im vorliegenden Fall auch nach entsprechender Aufforderung nie zur Verfügung gestellt worden ist. Die bulgarische Regierung und die Agentur haben jedoch bestätigt, dass diese Rechtsvorschriften selbst dann, wenn eine angemessene Frist verstrichen und die betroffene Person nicht in der Lage ist, von der in Rede stehenden Gesellschaft oder ihren Vertretern eine solche Kopie zu erhalten, nicht vorsehen, dass die Agentur eine solche Kopie selbst erstellen kann, obwohl dies ein Mittel wäre, mit dem die Ziele der Gewährleistung der Offenlegung von Gesellschaftsurkunden, der Rechtssicherheit und des Schutzes der Interessen Dritter ebenso wirksam erreicht werden könnten und das gleichzeitig weniger stark in das Recht auf Schutz personenbezogener Daten eingreifen würde.

114 In Übereinstimmung mit der Generalanwältin in Nr. 56 ihrer Schlussanträge ist ferner darauf hinzuweisen, dass entgegen dem Vorbringen mehrerer Mitgliedstaaten in ihren Erklärungen vor dem Gerichtshof das Erfordernis, die Integrität und Zuverlässigkeit der nach der Richtlinie 2017/1132 offenlegungspflichtigen Urkunden der Gesellschaften zu wahren, das die Veröffentlichung dieser Urkunden in der Form gebiete, in der sie den für die Führung des Handelsregisters zuständigen Stellen übermittelt worden seien, nicht systematisch Vorrang vor diesem Recht haben kann, weil dessen Schutz andernfalls illusorisch wäre.

115 Insbesondere kann dieses Erfordernis es nicht gebieten, personenbezogene Daten, die weder nach der Richtlinie 2017/1132 noch nach nationalem Recht erforderlich sind, in diesem Register online öffentlich zugänglich zu halten, obwohl die Agentur, wie sich aus Rn. 113 des vorliegenden Urteils ergibt, die nach diesem Recht vorgesehene Kopie der Urkunde der betreffenden Gesellschaft im Hinblick auf diese Bereitstellung selbst erstellen könnte.

116 Daraus folgt, dass die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten jedenfalls über das hinausgehen dürfte, was zur Wahrnehmung der im öffentlichen Interesse liegenden Aufgabe, die der Agentur nach dem genannten nationalen Recht obliegt, erforderlich ist.

117 Folglich dürfte eine solche Verarbeitung, wie die Generalanwältin in Nr. 59 ihrer Schlussanträge festgestellt hat, vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfungen auch nicht die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e in Verbindung mit Art. 6 Abs. 3 DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit erfüllen.

118 In einem zweiten Schritt ist in Bezug auf den im Ausgangsverfahren in Rede stehenden Antrag auf Löschung nach Art. 17 DSGVO darauf hinzuweisen, dass für den Fall, dass das vorlegende Gericht nach seiner Beurteilung der Rechtmäßigkeit dieser Verarbeitung zu dem Ergebnis gelangen sollte, dass diese Verarbeitung nicht rechtmäßig war, die Agentur als Verantwortlicher, wie aus den Rn. 82 und 83 des vorliegenden Urteils hervorgeht, die betreffenden Daten nach dem klaren Wortlaut von Art. 17 Abs. 1 Buchst. d DSGVO unverzüglich zu löschen hätte (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C‑26/22 und C‑64/22, EU:C:2023:958, Rn. 108).

119 Sollte dieses Gericht hingegen zu dem Schluss kommen, dass diese Verarbeitung tatsächlich den in Art. 6 Abs. 1 Buchst. e DSGVO vorgesehenen Rechtmäßigkeitsgrund erfüllt, insbesondere weil die durch Online-Bereitstellung im Handelsregister bewirkte öffentliche Zugänglichmachung nach der Richtlinie 2017/1132 oder den im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften nicht erforderlicher personenbezogener Daten notwendig gewesen sei, um eine Verzögerung der Eintragung der betroffenen Gesellschaft im Interesse des Schutzes Dritter zu vermeiden, ist darauf hinzuweisen, dass dann Art. 17 Abs. 1 Buchst. c DSGVO Anwendung finden würde.

120 Aus der letztgenannten Bestimmung in Verbindung mit Art. 21 Abs. 1 DSGVO ergibt sich, dass die betroffene Person ein Recht auf Widerspruch gegen die Verarbeitung und ein Recht auf Löschung hat, es sei denn, es liegen zwingende schutzwürdige Gründe vor, die die Interessen, Rechte und Freiheiten dieser Person im Sinne dieses Art. 21 Abs. 1 überwiegen, was der für die Verarbeitung Verantwortliche nachzuweisen hat (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C‑26/22 und C‑64/22, EU:C:2023:958, Rn. 111).

121 In einer Situation wie der des Ausgangsverfahrens sind jedoch keine zwingenden schutzwürdigen Gründe im Sinne dieser Bestimmung ersichtlich, die einem solchen Löschungsantrag entgegenstehen könnten.

122 Zum einen geht nämlich aus der Vorlageentscheidung hervor, dass die Gesellschaft, deren Gesellschafterin OL ist, bereits im Handelsregister eingetragen ist.

123 Zum anderen kann, wie in Rn. 115 des vorliegenden Urteils festgestellt wurde, das Erfordernis, die Integrität und Zuverlässigkeit der nach der Richtlinie 2017/1132 offenlegungspflichtigen Urkunden der Gesellschaften zu wahren, es nicht gebieten, personenbezogene Daten, die weder nach der Richtlinie 2017/1132 noch nach nationalem Recht erforderlich sind, in diesem Register online öffentlich zugänglich zu halten.

124 Schließlich ist für den Fall, dass das vorlegende Gericht zu dem Schluss kommen sollte, dass die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten tatsächlich den in Art. 6 Abs. 1 Buchst. c DSGVO vorgesehenen Rechtmäßigkeitsgrund erfüllt, darauf hinzuweisen, dass die DSGVO und insbesondere ihr Art. 17 Abs. 3 Buchst. b ausdrücklich eine Abwägung zwischen den in den Art. 7 und 8 der Charta verankerten Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten einerseits und den durch das Unionsrecht oder das Recht der Mitgliedstaaten rechtmäßig verfolgten Zielen andererseits, die der rechtlichen Verpflichtung zugrunde liegen, zu deren Erfüllung die Verarbeitung erforderlich ist, verlangen (vgl. entsprechend Urteil vom 8. Dezember 2022, Google [Auslistung eines angeblich unrichtigen Inhalts], C‑460/20, EU:C:2022:962, Rn. 58 und die dort angeführte Rechtsprechung).

125 Wie der Gerichtshof bereits entschieden hat, kann es im Einzelfall aus überwiegenden und schutzwürdigen Gründen, die sich aus dem konkreten Fall der betroffenen Person ergeben, gerechtfertigt sein, den Zugang zu personenbezogenen Daten, die nach dem Unionsrecht offenlegungspflichtig sind, auf Dritte zu beschränken, die ein besonderes Interesse nachweisen (vgl. in diesem Sinne Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 60).

126 Wie die Generalanwältin in Nr. 67 ihrer Schlussanträge ausgeführt hat, muss dies erst recht in Fällen gelten, in denen die betreffenden personenbezogenen Daten, wie im vorliegenden Fall, weder nach der Richtlinie 2017/1132 noch nach dem nationalem Recht erforderlich sind.

127 In Anbetracht dessen ist auf die vierte Frage zu antworten, dass die Richtlinie 2017/1132, insbesondere deren Art. 16, sowie Art. 17 DSGVO dahin auszulegen sind, dass sie einer Regelung oder Praxis eines Mitgliedstaats entgegenstehen, die dazu führt, dass die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle jeden Antrag auf Löschung von nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht erforderlichen personenbezogenen Daten ablehnt, die in einem in diesem Register offengelegten Gesellschaftsvertrag enthalten sind, wenn dieser Stelle entgegen den in dieser Regelung vorgesehenen Verfahrensmodalitäten keine Kopie dieses Vertrags vorgelegt wurde, in der diese Daten unkenntlich gemacht wurden.

Zur sechsten Frage

128 Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 1 DSGVO dahin auszulegen ist, dass die eigenhändige Unterschrift einer natürlichen Person unter den Begriff „personenbezogene Daten“ im Sinne dieser Bestimmung fällt.

129 Diese Bestimmung sieht vor, dass als personenbezogene Daten „alle Informationen [anzusehen sind], die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und stellt klar, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

130 Insoweit hat der Gerichtshof bereits entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Vorschrift das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 23).

131 Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 24).

132 Zur „Identifizierbarkeit“ von Daten heißt es im 26. Erwägungsgrund der DSGVO, dass „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern“.

133 Daraus folgt, dass die weite Definition des Begriffs „personenbezogene Daten“ nicht nur die von dem für die Verarbeitung Verantwortlichen erhobenen und auf Vorrat gespeicherten Daten erfasst, sondern auch alle Informationen über eine identifizierte oder identifizierbare Person, die aus einer Verarbeitung personenbezogener Daten resultieren (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 26).

134 Aus der Rechtsprechung des Gerichtshofs ergibt sich auch, dass die Handschrift einer natürlichen Person eine Information über diese Person liefert (vgl. in diesem Sinne Urteil vom 20. Dezember 2017, Nowak, C‑434/16, EU:C:2017:994, Rn. 37).

135 Schließlich ist darauf hinzuweisen, dass die eigenhändige Unterschrift einer natürlichen Person im Allgemeinen dazu verwendet wird, diese Person zu identifizieren, den Dokumenten, auf denen sie angebracht ist, hinsichtlich ihrer Richtigkeit und Aufrichtigkeit Beweiskraft zu verleihen oder die Verantwortung für sie zu übernehmen. Außerdem sind in dem betreffenden Gesellschaftsvertrag den Unterschriften der Gesellschafter offenbar deren Namen beigefügt.

136 Nach alledem ist auf die sechste Frage zu antworten, dass Art. 4 Nr. 1 DSGVO dahin auszulegen ist, dass die eigenhändige Unterschrift einer natürlichen Person unter den Begriff „personenbezogene Daten“ im Sinne dieser Bestimmung fällt.

Zur siebten Frage

137 Mit seiner siebten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister eines Mitgliedstaats bewirkten öffentlichen Zugänglichmachung dieser Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, oder ob dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert.

138 Insoweit ist daran zu erinnern, dass nach dieser Bestimmung „[j]ede Person, der wegen eines Verstoßes gegen [die DSGVO] ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

139 Da die DSGVO in Bezug auf den Sinn und die Tragweite der in dieser Bestimmung enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Anwendung dieser Verordnung als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 30).

140 Zu diesem Zweck ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 34).

141 Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42 und 50, sowie vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 35).

142 Insbesondere muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen (Urteil vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 60 und die dort angeführte Rechtsprechung).

143 Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, muss das angerufene nationale Gericht daher prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 85).

144 Der Gerichtshof hat allerdings bereits entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (Urteil vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C‑590/22, EU:C:2024:536, Rn. 32 und die dort angeführte Rechtsprechung).

145 Insbesondere geht aus der im ersten Satz des 85. Erwägungsgrundes der DSGVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 82).

146 Außerdem wäre eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit dieser Verordnung bezweckt wird (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 83).

147 Ebenso wenig kann dieser Begriff allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden, insbesondere was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 16 und 19 sowie die dort angeführte Rechtsprechung).

148 Somit kann nicht angenommen werden, dass über die drei in Rn. 140 des vorliegenden Urteils genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss (Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 17).

149 Diese Bestimmung verlangt auch nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist (Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 18).

150 Folglich steht zwar nichts dem entgegen, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können, der zum Schadenersatz berechtigt, doch müssen diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben (vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 22, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 42).

151 Schließlich ist klarzustellen, dass im Rahmen der Festsetzung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes ein solcher Schaden, der durch eine Verletzung personenbezogener Daten verursacht wurde, seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (Urteil vom 20. Juni 2024, Scalable Capital, C‑182/22 und C‑189/22, EU:C:2024:531, Rn. 39).

152 Außerdem müssen, sofern eine Person nachweisen kann, dass ihr durch den Verstoß gegen die DSGVO ein Schaden im Sinne von Art. 82 dieser Verordnung entstanden ist, die Kriterien für die Bemessung des Schadenersatzes, der im Rahmen von Klageverfahren geschuldet wird, die den Schutz der dem Einzelnen aus der genannten Vorschrift erwachsenden Rechte gewährleisten sollen, innerhalb der Rechtsordnung eines jeden Mitgliedstaats festgelegt werden, wobei ein solcher Schadenersatz vollständig und wirksam sein muss (vgl. in diesem Sinne Urteil vom 20. Juni 2024, Scalable Capital, C‑182/22 und C‑189/22, EU:C:2024:531, Rn. 43).

153 Insoweit erfüllt das in Art. 82 Abs. 1 DSGVO vorgesehene Recht auf Schadenersatz, insbesondere im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion, da eine auf diese Bestimmung gestützte finanzielle Entschädigung es ermöglichen muss, den durch die Verletzung dieser Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, aber keine abschreckende oder strafende Funktion erfüllen soll (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 57 und 58, sowie vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 61).

154 Zudem hängt zum einen die Haftung des Verantwortlichen nach Art. 82 DSGVO vom Vorliegen eines ihm anzulastenden Verschuldens ab, das vermutet wird, sofern er nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, und zum anderen verlangt Art. 82 DSGVO nicht, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird (Urteile vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 103, und vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 52).

155 Im vorliegenden Fall hat das vorlegende Gericht – wie in Rn. 42 des vorliegenden Urteils ausgeführt – klargestellt, dass der Administrativen sad Dobrich (Verwaltungsgericht Dobrich) das Vorliegen eines immateriellen Schadens festgestellt hatte, der in den negativen psychologischen und emotionalen Erfahrungen von OL bestanden habe, nämlich der Angst und Sorge vor möglichem Missbrauch sowie der Hilflosigkeit und Enttäuschung über die Unmöglichkeit, ihre persönlichen Daten zu schützen. Er hatte außerdem befunden, dass dieser Schaden durch das Schreiben der Agentur vom 26. Januar 2022 entstanden sei, das das Recht von OL auf Löschung gemäß Art. 17 Abs. 1 DSGVO verletzt und zur rechtswidrigen Verarbeitung ihrer in dem öffentlich zugänglich gemachten betreffenden Gesellschaftsvertrag enthaltenen personenbezogenen Daten geführt habe.

156 Nach alledem ist auf die siebte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister eines Mitgliedstaats bewirkten öffentlichen Zugänglichmachung dieser Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert.

Zur achten Frage

157 Mit seiner achten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 3 DSGVO dahin auszulegen ist, dass eine auf der Grundlage von Art. 58 Abs. 3 Buchst. b dieser Verordnung abgegebene Stellungnahme der Aufsichtsbehörde eines Mitgliedstaats ausreicht, um die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle, die „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 dieser Verordnung ist, von der Haftung nach Art. 82 Abs. 2 dieser Verordnung zu befreien.

158 Als Erstes ist zur Haftungsregelung in Art. 82 DSGVO darauf hinzuweisen, dass dieser Artikel in seinem Abs. 1 vorsieht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Wie aus Rn. 140 des vorliegenden Urteils hervorgeht, hängt dieser Anspruch vom Vorliegen dreier kumulativer Voraussetzungen ab.

159 Nach Art. 82 Abs. 2 Satz 1 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Diese Bestimmung, die die Haftungsregelung präzisiert, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 36).

160 Art. 82 Abs. 3 DSGVO bestimmt seinerseits, dass der Verantwortliche von der Haftung gemäß Art. 82 Abs. 2 dieser Verordnung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

161 Wie der Gerichtshof bereits entschieden hat, ist einer kombinierten Analyse der Abs. 1 bis 3 von Art. 82 DSGVO, dem Zusammenhang, in den sich dieser Artikel einfügt, und den durch die vom Unionsgesetzgeber mit dieser Verordnung verfolgten Zielen zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 94 und 95).

162 Insbesondere stünde es nicht im Einklang mit dem Ziel, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 99).

163 Nach der in Rn. 154 des vorliegenden Urteils angeführten Rechtsprechung hängt die Haftung des Verantwortlichen nach Art. 82 DSGVO somit vom Vorliegen eines ihm anzulastenden Verschuldens ab, das vermutet wird, sofern er nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

164 In dieser Hinsicht müssen, wie die ausdrückliche Hinzufügung des Ausdrucks „in keinerlei Hinsicht“ im Lauf des Gesetzgebungsverfahrens zeigt, die Umstände, unter denen der Verantwortliche von der ihm nach Art. 82 DSGVO drohenden zivilrechtlichen Haftung befreit werden kann, streng auf solche beschränkt werden, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 70).

165 Der Gerichtshof hat auch entschieden, dass sich der Verantwortliche im Fall einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten, wie z. B. einen Cyberkriminellen, oder durch eine Person, die unter der Aufsicht des Verantwortlichen handelt, auf der Grundlage von Art. 82 Abs. 3 DSGVO nur dann von seiner Haftung befreien kann, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm nach dieser Verordnung obliegenden Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt (vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 72, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 51).

166 Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat (Urteil vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 52).

167 Als Zweites ist im Hinblick auf die Regeln für die Beweismittel festzustellen, dass die DSGVO keine Regeln über die Zulassung und den Beweiswert eines Beweismittels aufstellt, die von den nationalen Gerichten anzuwenden sind, die mit einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage befasst sind. Daher ist es in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 60 und die dort angeführte Rechtsprechung).

168 Als Drittes ist in Bezug auf eine nach Art. 58 Abs. 3 Buchst. b DSGVO abgegebene Stellungnahme darauf hinzuweisen, dass dieser Artikel die Befugnisse der Aufsichtsbehörden festlegt.

169 So verleiht Art. 58 DSGVO diesen Behörden in Abs. 1 Untersuchungsbefugnisse, in Abs. 2 die Befugnis, Abhilfemaßnahmen zu ergreifen, in Abs. 3 die dort aufgeführten Genehmigungsbefugnisse und beratenden Befugnisse sowie in Abs. 5 die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, um die Bestimmungen dieser Verordnung durchzusetzen.

170 Zu den in Art. 58 Abs. 3 DSGVO aufgeführten Befugnissen gehört nach Art. 58 Abs. 3 Buchst. b die Befugnis, „zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten“.

171 Aus dem Wortlaut der letztgenannten Bestimmung, insbesondere aus dem Begriff „Stellungnahmen“, geht eindeutig hervor, dass die Abgabe einer solchen Stellungnahme zu den beratenden Befugnissen und nicht zu den Genehmigungsbefugnissen der Aufsichtsbehörde gehört.

172 Die Verwendung der Begriffe „Stellungnahmen“ und „beratende Befugnisse“ weist auch darauf hin, dass eine auf der Grundlage von Art. 58 Abs. 3 Buchst. b DSGVO abgegebene Stellungnahme nach dem Unionsrecht rechtlich nicht bindend ist.

173 Der 143. Erwägungsgrund der DSGVO bestätigt diese Auslegung. Darin heißt es nämlich, dass „jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben [sollte], der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs‑, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen.“

174 Da eine gegenüber dem Verantwortlichen abgegebene Stellungnahme rechtlich nicht bindend ist, kann sie für sich genommen kein Nachweis dafür sein, dass der Verantwortliche im Sinne der in Rn. 164 des vorliegenden Urteils angeführten Rechtsprechung selbst nicht für den Schaden verantwortlich ist, und reicht daher nicht aus, diesen Verantwortlichen von der Haftung nach Art. 82 Abs. 3 DSGVO zu befreien.

175 Eine solche Auslegung von Art. 82 Abs. 3 DSGVO steht auch im Einklang mit den von dieser Verordnung verfolgten Zielen, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten und einen wirksamen Ersatz für Schäden sicherzustellen, die ihnen aufgrund einer gegen diese Verordnung verstoßenden Verarbeitung dieser Daten entstehen können. Würde es nämlich ausreichen, dass sich der Verantwortliche auf eine rechtlich nicht bindende Stellungnahme beruft, um sich jeglicher Haftung und damit auch jeglicher Schadenersatzpflicht zu entziehen, bestünde für ihn kein Anreiz, alles in seiner Macht Stehende zu tun, um dieses hohe Schutzniveau zu gewährleisten und den durch die DSGVO auferlegten Verpflichtungen nachzukommen.

176 Nach alledem ist auf die achte Frage zu antworten, dass Art. 82 Abs. 3 DSGVO dahin auszulegen ist, dass eine auf der Grundlage von Art. 58 Abs. 3 Buchst. b dieser Verordnung abgegebene Stellungnahme der Aufsichtsbehörde eines Mitgliedstaats nicht ausreicht, um die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle, die „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 dieser Verordnung ist, von der Haftung nach Art. 82 Abs. 2 dieser Verordnung zu befreien.

Kosten

177 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:

1. Art. 21 Abs. 2 der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts

   ist dahin auszulegen, dass

   er einem Mitgliedstaat keine Verpflichtung auferlegt, die Offenlegung eines Gesellschaftsvertrags im Handelsregister zuzulassen, der der Offenlegungspflicht nach dieser Richtlinie unterliegt und der über die erforderlichen personenbezogenen Mindestdaten hinaus weitere personenbezogene Daten enthält, deren Offenlegung nach dem Recht dieses Mitgliedstaats nicht vorgeschrieben ist.

2. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), insbesondere deren Art. 4 Nrn. 7 und 9,

   ist dahin auszulegen, dass

   die für die Führung des Handelsregisters eines Mitgliedstaats zuständige Stelle, die in diesem Register die personenbezogenen Daten veröffentlicht, die in einem Gesellschaftsvertrag enthalten sind, der der Offenlegungspflicht nach der Richtlinie 2017/1132 unterliegt und der ihr im Rahmen eines Antrags auf Eintragung der betreffenden Gesellschaft in das Register übermittelt wurde, sowohl „Empfänger“ dieser Daten als auch – insbesondere indem sie diese der Öffentlichkeit zugänglich macht – für die Verarbeitung dieser Daten „Verantwortlicher“ im Sinne dieser Bestimmung ist, selbst wenn dieser Vertrag personenbezogene Daten enthält, die nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht vorgeschrieben sind.

3. Die Richtlinie 2017/1132, insbesondere deren Art. 16, sowie Art. 17 der Verordnung 2016/679

   sind dahin auszulegen, dass

   sie einer Regelung oder Praxis eines Mitgliedstaats entgegenstehen, die dazu führt, dass die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle jeden Antrag auf Löschung von nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht erforderlichen personenbezogenen Daten ablehnt, die in einem in diesem Register offengelegten Gesellschaftsvertrag enthalten sind, wenn dieser Stelle entgegen den in dieser Regelung vorgesehenen Verfahrensmodalitäten keine Kopie des Vertrags vorgelegt wurde, in der diese Daten unkenntlich gemacht wurden.

4. Art. 4 Abs. 1 der Verordnung 2016/679

   ist dahin auszulegen, dass

   die eigenhändige Unterschrift einer natürlichen Person unter den Begriff „personenbezogene Daten“ im Sinne dieser Bestimmung fällt.

5. Art. 82 Abs. 1 der Verordnung 2016/679

   ist dahin auszulegen, dass

   ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister eines Mitgliedstaats bewirkten öffentlichen Zugänglichmachung dieser Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher spürbarer negativer Folgen erfordert.

6. Art. 82 Abs. 3 der Verordnung 2016/679

   ist dahin auszulegen, dass

   eine auf der Grundlage von Art. 58 Abs. 3 Buchst. b dieser Verordnung abgegebene Stellungnahme der Aufsichtsbehörde eines Mitgliedstaats nicht ausreicht, um die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle, die „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 dieser Verordnung ist, von der Haftung nach Art. 82 Abs. 2 dieser Verordnung zu befreien.