Rs.
C-101/01
Urteil vom
6. November 2003
RL 95/46/EG
des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezo-gener Daten und zum freien
Datenverkehr
Sachverhalt:
Frau Lindqvist war als Katechetin in der Kirchengemeinde
Alseda (Schweden) tätig. Ende 1998 richtete sie zu Hause auf ihrem Computer
eine Startseite im Internet ein, um den Konfirmanden ihrer Gemeinde den Zugang
zu möglicherweise nützlichen Informationen zu erleichtern. Die fraglichen
Internetseiten enthielten Informationen über Frau Lindqvist und 18 ihrer
Arbeitskollegen, die mit ihrem vollständigen Namen oder auch nur mit dem
Vornamen genannt wurden. Außerdem beschrieb Frau Lindqvist in leicht humoriger
Weise die Tätigkeiten und Freizeitbeschäftigungen ihrer Kollegen. Bei einigen
von ihnen beschrieb sie die Familienverhältnisse, nannte die Telefonnummer
oder erteilte weitere Informationen. Bei einer Kollegin wies sie darauf hin,
dass sich diese am Fuß verletzt habe und partiell krankgeschrieben sei. Über
die Existenz dieser Internetseiten wurden die Arbeitskollegen von Frau
Lindqvist weder informiert noch wurde deren Einwilligung dazu eingeholt, sie
verabsäumte es auch, ihr Vorgehen der schwedischen Dateninspektion zu melden.
In der Folge wurde Frau Lindqvist wegen
Verstoßes gegen das Personuppgiftslag (schwedisches Gesetz über
personenbezogene Daten, mit dem die RL 95/46/EG in schwedisches Recht umgesetzt
wurde) zur Zahlung einer Geldstrafe verurteilt. Sie legte beim zuständigen Gericht
Berufung ein, welches das Verfahren ausgesetzt und dem EuGH hinsichtlich der
Auslegung der RL 95/46/EG mehrere Fragen zur Vorabentscheidung vorgelegt hat.
Rechtsausführungen:
q Die erste Frage lautet, ob die Nennung von
Personen auf einer privaten Startseite im Internet sowie von Informationen
über deren Arbeitsverhältnis bzw. Freizeitverhalten eine ganz oder teilweise
automatisierte Verarbeitung personenbezogener Daten iSv. Art. 3 (1)
der RL 95/46/EG darstellt.
Der in
Art. 3 (1) der RL 95/46/EG verwendete Begriff „personenbezogene
Daten“ bezieht sich nach der Definition in Art. 2 lit. a auf
alle Informationen über eine bestimmte oder bestimmbare natürliche Person.
Dieser Ausdruck erfasst eindeutig die Nennung des Namens einer Person in
Verbindung mit deren Telefonnummern oder mit Informationen über ihr
Arbeitsverhältnis oder ihre Freizeitbeschäftigungen. Der Begriff Verarbeitung
personenbezogener Daten umfasst nach der Definition in
Art. 2 lit. b jeden mit oder ohne Hilfe automatisierter
Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten.
Diese Bestimmung führt mehrere Beispiele für solche Vorgänge an, darunter die
Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung
von Daten. Der Vorgang, der darin besteht, personenbezogene Daten auf eine
Internetseite zu stellen, ist somit als eine solche Verarbeitung anzusehen. Zu
bestimmen bleibt noch, ob diese Verarbeitung ganz oder teilweise automatisiert
ist. Hierzu ist festzustellen, dass es zur Wiedergabe von Informationen auf
einer Internetseite nach dem gegenwärtigen Stand der Technik eines Hochladens
dieser Seite auf einen Server sowie der erforderlichen Vorgänge bedarf, um
diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen.
Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form.
Da die
erste Frage bejaht worden ist, ist die zweite Frage, die nur für den Fall einer
Verneinung der ersten Frage vorgelegt worden ist, nicht zu beantworten.
q Die dritte Frage lautet, ob eine
Verarbeitung personenbezogener Daten der geschilderten Art unter eine der
Ausnahmen des Art. 3 (2) der RL 95/46/EG fällt.
Art. 3 (2)
der RL 95/46/EG sieht zwei Ausnahmen von deren Anwendungsbereich vor. Die
Ausnahme im ersten Gedankenstrich betrifft die Verarbeitung personenbezogener
Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den
Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten
gemäß den Titeln V und VI des Vertrags über die Europäische Union, und jedenfalls
Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung,
die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen
Bereich. Es handelt sich dabei um spezifische staatliche Tätigkeiten, die mit
den Tätigkeiten von Einzelpersonen nichts zu tun haben.
Ehrenamtliche
oder religionsgemeinschaftliche Aktivitäten, wie sie von Frau Lindqvist
ausgeübt werden, sind jedoch auch den im zweiten Gedankenstrich genannten
Tätigkeiten nicht gleichzustellen. Als Beispiele dafür werden nämlich in der
zwölften Begründungserwägung die Datenverarbeitung, die von einer natürlichen
Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
vorgenommen wird, sowie der Schriftverkehr und die Führung von Anschriftenverzeichnissen
genannt. Damit sind wohl nur Aktivitäten gemeint, die zum Privat- oder
Familienleben von Einzelpersonen gehören, was offensichtlich nicht der Fall ist
bei der Verarbeitung personenbezogener Daten, die im Internet veröffentlicht
werden und einer unbegrenzten Zahl von Personen zugehen.
q Die vierte Frage lautet, ob die Angabe,
dass ein namentlich genannter Arbeitskollege sich den Fuß verletzt hat und
krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit iSv.
Art. 8 (1) der RL 95/46/EG gehört.
Der
Begriff „Daten über Gesundheit“ ist angesichts des Zweckes dieser Richtlinie
weit auszulegen. Er bezieht sich demnach auf alle Informationen, welche die
körperliche und psychische Gesundheit einer Person betreffen.
q Die fünfte Frage lautet, ob eine
Übermittlung von Daten in ein Drittland iSv. Art. 25 der RL 95/46/EG
vorliegt, wenn jemand in Schweden mit Hilfe eines Rechners personenbezogene
Daten auf einer Startseite, die auf einem Server in Schweden gespeichert ist,
veröffentlicht und sie damit jeder Person, die eine Verbindung zum Internet
herstellt, einschließlich Personen in Drittländern, zugänglich macht.
Die RL 95/46/EG definiert den Begriff
„Übermittlung in ein Drittland“ weder in Art. 25 noch in irgendeiner
anderen Bestimmung. Bei der Prüfung dieser Frage sind zum einen die technische
Seite der mit der Übermittlung von Daten verbundenen Vorgänge und zum anderen
der Zweck und die Systematik von Kapitel IV der RL 95/46/EG zu
berücksichtigen.
Aus den
Akten geht hervor, dass ein Internetbenutzer zum Erhalt der Informationen auf
den Internetseiten, in die Frau Lindqvist Daten über ihre Kollegen aufgenommen
hatte, nicht nur eine Verbindung zum Internet herstellen, sondern auch –
eigenhändig – die notwendigen Schritte zum Einsehen dieser Seiten unternehmen
musste. Die Internetseiten von Frau Lindqvist enthielten, anders gesagt, nicht
die technischen Mechanismen, die einen automatischen Versand dieser
Informationen an Personen ermöglicht hätten, die diese Seiten nicht bewusst
aufgesucht hatten. Daraus folgt, dass unter Umständen wie denen des Ausgangsverfahrens
die personenbezogenen Daten, die von einer Person aus, die sie auf eine Website
hochgeladen hat, in den Rechner einer sich in einem Drittland befindenden
Person gelangen, nicht zwischen diesen beiden Personen unmittelbar, sondern
über die EDV-Infrastruktur des Host-Service-Providers, auf der die Seite
gespeichert ist, übermittelt worden sind.
Kapitel
IV der RL 95/46/EG sieht – neben der allgemeinen Regelung von Kapitel II,
welche die Rechtmäßigkeit der Verarbeitung personenbezogener Daten betrifft –
eine Sonderregelung für die von den Mitgliedstaaten vorzunehmende Kontrolle der
Übermittlung personenbezogener Daten in Drittländer vor. Bietet ein Drittland
kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener
Daten in dieses Land zu untersagen. Art. 25 der RL 95/46/EG erlegt
den Mitgliedstaaten und der Kommission eine Reihe von Verpflichtungen zur
Kontrolle der Übermittlung personenbezogener Daten in Drittländer unter
Berücksichtigung des in jedem dieser Länder für diese Daten bestehenden
Schutzniveaus auf.
Angesichts
des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der
RL 95/46/EG und des Fehlens von Kriterien für die Internetbenutzung in
Kapitel IV dieser Richtlinie kann nicht angenommen werden, dass der Gemeinschaftsgesetzgeber
unter den Begriff „Übermittlung von Daten“ in ein Drittland auch den Vorgang
erfassen wollte, dass eine Person Daten in eine Internetseite aufnimmt, auch
wenn diese Daten dadurch Personen aus Drittländern zugänglich gemacht werden,
die über die technischen Mittel für diesen Zugang verfügen. Würde Art. 25
der RL 95/46/EG dahin ausgelegt, dass immer dann, wenn personenbezogene
Daten auf eine Internetseite hochgeladen werden, eine Übermittlung von Daten in
ein Drittland vorliegt, würde die in Kapitel IV vorgesehene Sonderregelung
notwendig zu einer allgemeinen Regelung für Vorgänge im Rahmen des Internets
werden.
Sobald
die Kommission nach Art. 25 (4) der RL 95/46/EG feststellen
würde, dass auch nur ein Land kein angemessenes Schutzniveau aufweist, wären
die Mitgliedstaaten verpflichtet, jede Aufnahme personenbezogener Daten in das
Internet zu unterbinden. Deshalb ist Art. 25 der RL 95/46/EG dahin
auszulegen, dass Vorgänge, wie sie von Frau Lindqvist ausgeführt worden sind,
als solche keine Übermittlung von Daten in ein Drittland darstellen.
q Die sechste Frage lautet, ob die
Bestimmungen der RL 95/46/EG Beschränkungen enthalten, die im Widerspruch
zum Grundsatz der Meinungsfreiheit gemäß Art. 10 EMRK oder zu
anderen Freiheiten und Rechten stehen, die innerhalb der Europäischen Union
gelten.
Die wirtschaftliche
und soziale Integration, die sich aus der Errichtung und dem Funktionieren des
Binnenmarktes ergibt, führt notwendig zu einer spürbaren Zunahme der Ströme
personenbezogener Daten zwischen allen am wirtschaftlichen und sozialen Leben
der Mitgliedstaaten Beteiligten. Diese müssen in gewissem Umfang über
personenbezogene Daten verfügen können, um innerhalb des Binnenmarktes ihre
Geschäfte tätigen oder ihre Aufgabe erfüllen zu können. Andererseits verlangen
die von der Verarbeitung personenbezogener Daten betroffenen Personen zu
Recht, dass diese Daten wirksam geschützt werden.
Was die
RL 95/46/EG betrifft, so sind deren Bestimmungen allgemein gehalten, da
sie auf viele ganz unterschiedliche Situationen Anwendung finden soll. Zu Recht
enthält diese Richtlinie daher entgegen der Auffassung von Frau Lindqvist
Vorschriften, die durch eine gewisse Flexibilität gekennzeichnet sind, und
überlässt es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln
oder zwischen Optionen zu wählen. Zwar verfügen die Mitgliedstaaten zur Umsetzung
der RL 95/46/EG in vielerlei Hinsicht über einen Handlungsspielraum.
Dennoch lässt nichts die Annahme zu, dass es der in ihr vorgesehenen Regelung
an Vorhersehbarkeit mangelt oder dass ihre Bestimmungen als solche gegen die
allgemeinen Grundsätze des Gemeinschaftsrechts, insbesondere die durch die
Gemeinschaftsrechtsordnung geschützten Grundrechte, verstoßen.
Daher
muss ein angemessenes Gleichgewicht zwischen den genannten Rechten und
Interessen eher auf nationaler Ebene – im Stadium der Anwendung der die
RL 95/46/EG umsetzenden Regelung auf konkrete Fälle – gefunden werden. In
diesem Zusammenhang kommt den Grundrechten besondere Bedeutung zu. Wie das
Ausgangsverfahren zeigt, geht es im Kern darum, die Meinungsfreiheit von Frau
Lindqvist im Rahmen ihrer Arbeit als Katechetin und die Freiheit, Tätigkeiten
auszuüben, die zum religiösen Leben beitragen, gegen den Schutz der
Privatsphäre der Personen abzuwägen, über die Frau Lindqvist Daten auf ihre
Website gestellt hat. Demgemäß haben die Behörden und Gerichte der Mitgliedstaaten
nicht nur ihr nationales Recht im Einklang mit der RL 95/46/EG auszulegen,
sondern auch darauf zu achten, dass sie sich nicht auf eine Auslegung stützen,
die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder
den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz
der Verhältnismäßigkeit, kollidiert.
q Die siebte Frage lautet, ob es den Mitgliedstaaten
freisteht, einen weiter gehenden Schutz für personenbezogene Daten vorzusehen
oder den Anwendungsbereich – über die RL 95/46/EG hinaus – zu erweitern.
Es
trifft zwar zu, dass diese Richtlinie den Mitgliedstaaten einen weiten
Handlungsspielraum in bestimmten Bereichen einräumt und sie ermächtigt, für
bestimmte Fälle besondere Regelungen beizubehalten oder einzuführen. Von diesen
Möglichkeiten muss aber in der in der RL 95/46/EG vorgesehenen Art und
Weise und im Einklang mit ihrem Ziel Gebrauch gemacht werden, ein Gleichgewicht
zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der
Privatsphäre zu wahren. Dagegen sind die Mitgliedstaaten durch nichts daran
gehindert, den Geltungsbereich der die RL 95/64/EG umsetzenden innerstaatlichen
Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste
Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts
entgegensteht.
q Der EuGH hat für Recht erkannt:
„1. Die Handlung, die darin besteht, auf einer
Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch
ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder
durch Informationen über ihr Arbeitsverhältnis oder ihre
Freizeitbeschäftigungen, erkennbar zu machen, stellt eine ganz oder teilweise
automatisierte Verarbeitung personenbezogener Daten iSv. Art. 3 (1)
der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
und zum freien Datenverkehr dar.
2. Eine solche Verarbeitung personenbezogener Daten
fällt unter keine der in Art. 3 (2) der RL 95/46/EG genannten
Ausnahmen.
3. Die Angabe, dass sich eine Person den Fuß verletzt
hat und partiell krankgeschrieben ist, gehört zu den personenbezogenen Daten
über die Gesundheit iSv. Art. 8 (1) der RL 95/46/EG.
4. Es liegt keine Übermittlung von Daten in ein
Drittland im Sinne von Art. 25 der RL 95/46/EG vor, wenn eine
sich in einem Mitgliedstaat aufhaltende Person in eine Internetseite, die bei
einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen
oder juristischen Person gespeichert ist, welche die Website unterhält, auf der
diese Seite abgerufen werden kann, personenbezogene Daten aufnimmt und diese
damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich
Personen in Drittländern, zugänglich macht.
5. Die Bestimmungen der RL 95/46/EG enthalten
als solche keine Beschränkung, die im Widerspruch zum allgemeinen Grundsatz der
Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden
Rechten und Freiheiten steht, die ua. dem Recht aus Art. 10 EMRK
entsprechen. Es ist Sache der nationalen Behörden und Gerichte, die für die
Anwendung der die RL 95/46/EG umsetzenden nationalen Regelung zuständig
sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und
Interessen einschließlich der durch die Gemeinschaftsrechtsordnung geschützten
Grundrechte sicherzustellen.
6. Die von den Mitgliedstaaten zur Gewährleistung des
Schutzes personenbezogener Daten getroffenen Maßnahmen müssen sowohl mit den
Bestimmungen der RL 95/46/EG als auch mit deren Ziel im Einklang stehen,
ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem
Schutz der Privatsphäre zu wahren. Dagegen sind die Mitgliedstaaten durch
nichts daran gehindert, den Geltungsbereich der die RL 95/46/EG
umsetzenden innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich
dieser Richtlinie nicht erfasste Bereiche auszudehnen, soweit dem keine andere
Bestimmung des Gemeinschaftsrechts entgegensteht.“
C.S.
Das Urteil im deutschen
Originalwortlaut (pdf-Format).