Im Zusammenhang mit Covid-19-Immunitätszertifikaten, argumentierte der Beschwerdeführer, dass die Behörde keine ausreichenden Datenschutzinformationen bereitgestellt hatte. Die Behörde erklärte, dass die Verarbeitung auf der Grundlage einer nationalen Verordnung erfolgt sei und die Daten über automatische Informationsübermittlungen von anderen Stellen bezogen wurden. Die Aufsichtsbehörde wies die Beschwerde ab, weil der Ausnahmetatbestand des Art 14 Abs 5 lit c EU-DSGVO zur Anwendung gelange und die Behörde deshalb keine Informationen zur Verfügung stellen müsse.
Darauf basierend wurden dem EuGH drei Vorlagefragen im Zusammenhang mit der Pflicht zur Information nach Art 14 EU-DSGVO, etwaigen Ausnahmen von dieser Verpflichtung und der Untersuchungsbefugnis der Aufsichtsbehörden vorgelegt. Die Generalanwältin schlägt zusammengefasst folgende Rechtsansicht vor:
1️⃣ Jede Aufsichtsbehörde kann in einem Beschwerdeverfahren prüfen, ob die Bedingungen des Art 14 Abs 5 lit c EU-DSGVO erfüllt sind.
2️⃣ Dies umfasst, ob sich die gesetzliche Regelung unmittelbar an den Verantwortlichen richtet, die Erlangung oder Offenlegung für den Verantwortlichen zwingend ist, die Regelung geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht und, ob der Verantwortliche nachweisen kann, dass die Erlangung oder Offenlegung personenbezogener Daten mit diesen Maßnahmen im Einklang steht.
3️⃣ Die gesetzliche Regelung muss die betroffene Person in die Lage versetzen, die Kontrolle über ihre Daten auszuüben und ihre Rechte gemäß der EU-DSGVO wahrzunehmen.
Betreffend die Informationspflicht allgemein:
4️⃣ Während Art 13 EU-DSGVO regelt, welche Informationen zu erteilen sind, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, betrifft Art 14 EU-DSGVO die Erteilung von Informationen, wenn personenbezogene Daten nicht von der betroffenen Person erlangt wurden.
5️⃣ Art 14 EU-DSGVO betrifft die Erlangung oder Offenlegung personenbezogener Daten und nicht Informationen.
6️⃣ Es ist bei Art 14 EU-DSGVO unerheblich, ob die Daten vom Verantwortlichen erzeugt werden, soweit sie nicht von der betroffenen Person erlangt werden, weil sich dieser auf Daten bezieht, die „aus einer anderen Quelle erlangt werden“, dh aus einer anderen Quelle als der betroffenen Person.