 |
DDR und Deutschland Heute
Datenschutz - Personendaten |
Home
Sitemap |
Urteil
EuGH, Urteil vom 6. November 2003 - Az.: C-101/01 (Nennung von Personendaten
im Internet)
URTEIL DES GERICHTSHOFES
Richtlinie 95/46/EG - Anwendungsbereich - Veroeffentlichung personenbezogener
Daten im Internet - Ort der Veroeffentlichung - Begriff der uebermittlung
personenbezogener Daten in ein Drittland - Meinungsfreiheit - Vereinbarkeit
eines weiter gehenden Schutzes personenbezogener Daten nach den
Rechtsvorschriften eines Mitgliedstaats mit der Richtlinie 95/46
In der Rechtssache C-101/01
betreffend ein dem Gerichtshof nach Artikel 234 EG vom Goeta hovraett
(Schweden) in dem bei diesem anhaengigen Strafverfahren gegen
Bodil Lindqvist
vorgelegtes Ersuchen um Vorabentscheidung insbesondere ueber die Auslegung der
Richtlinie 95/46/EG des Europaeischen Parlaments und des Rates vom 24. Oktober
1995 zum Schutz natuerlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr (ABl. L 281, S. 31)
erlaesst
DER GERICHTSHOF
unter Mitwirkung des Praesidenten der Ersten Kammer P. Jann in Wahrnehmung der
Aufgaben des Praesidenten, der Kammerpraesidenten C. W. A. Timmermans, C. Gulmann,
J. N. Cunha Rodrigues und A. Rosas sowie der Richter D. A. O. Edward
(Berichterstatter) und J.-P. Puissochet, der Richterin F. Macken und des
Richters S. von Bahr,
Generalanwalt: A. Tizzano,
Kanzler: H. von Holstein, Hilfskanzler,
unter Beruecksichtigung der schriftlichen Erklaerungen
- von B. Lindqvist, vertreten durch S. Larsson, advokat,
- der schwedischen Regierung, vertreten durch A. Kruse als Bevollmaechtigten,
- der niederlaendischen Regierung, vertreten durch H. G. Sevenster als
Bevollmaechtigte,
- der Regierung des Vereinigten Koenigreichs, vertreten durch G. Amodeo als
Bevollmaechtigte im Beistand von J. Stratford, Barrister,
- der Kommission der Europaeischen Gemeinschaften, vertreten durch L. Stroem
und X. Lewis als Bevollmaechtigte,
aufgrund des Sitzungsberichts,
nach Anhoerung der muendlichen Ausfuehrungen von B. Lindqvist, vertreten durch
S. Larsson, der schwedischen Regierung, vertreten durch A. Kruse und B.
Hernqvist als Bevollmaechtigte, der niederlaendischen Regierung, vertreten durch
J. van Bakel als Bevollmaechtigte, der Regierung des Vereinigten Koenigreichs,
vertreten durch J. Stratford, der Kommission, vertreten durch L. Stroem und C.
Docksey als Bevollmaechtigten, und der EFTA-ueberwachungsbehoerde, vertreten durch
D. Sif Tynes als Bevollmaechtigte, in der Sitzung vom 30. April 2002,
nach Anhoerung der Schlussantraege des Generalanwalts in der Sitzung vom 19.
September 2002
folgendes
Urteil
1.
Das Goeta hovraett hat mit Beschluss vom 23. Februar 2001, beim Gerichtshof
eingegangen am 1. Maerz 2001, gemaess Artikel 234 EG sieben Fragen insbesondere
nach der Auslegung der Richtlinie 95/46/EG des Europaeischen Parlaments und des
Rates vom 24. Oktober 1995 zum Schutz natuerlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) zur
Vorabentscheidung vorgelegt.
2
Diese Fragen stellen sich in einem bei diesem Gericht anhaengigen
Strafverfahren gegen Frau Lindqvist, die angeklagt ist, gegen die schwedischen
Rechtsvorschriften ueber den Schutz personenbezogener Daten verstossen zu haben,
indem sie auf ihrer Website im Internet personenbezogene Daten ueber eine Reihe
von Personen veroeffentlicht habe, die wie sie ehrenamtlich in einer Gemeinde der
protestantischen Kirche von Schweden taetig seien.Rechtlicher Rahmen
Gemeinschaftsrecht
3.
Wie aus ihrem Artikel 1 Absatz 1 hervorgeht, bezweckt die Richtlinie 95/46
den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der
Privatsphaere natuerlicher Personen bei der Verarbeitung personenbezogener Daten.
4.
Artikel 3 der Richtlinie 95/46 bestimmt ueber deren Anwendungsbereich:(1) Diese Richtlinie gilt fuer die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie fuer die nicht automatisierte
Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder
gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung
personenbezogener Daten,
- die fuer die Ausuebung von Taetigkeiten erfolgt, die nicht in den
Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Taetigkeiten
gemaess den Titeln V und VI des Vertrags ueber die Europaeische Union, und auf
keinen Fall auf Verarbeitungen betreffend die oeffentliche Sicherheit, die
Landesverteidigung, die Sicherheit des Staates (einschliesslich seines
wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates
beruehrt) und die Taetigkeiten des Staates im strafrechtlichen Bereich;
- die von einer natuerlichen Person zur Ausuebung ausschliesslich persoenlicher
oder familiaerer Taetigkeiten vorgenommen wird.
5.
Artikel 8 (Verarbeitung besonderer Kategorien personenbezogener Daten) der
Richtlinie 95/46 sieht vor:(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten,
aus denen die rassische und ethnische Herkunft, politische Meinungen, religioese
oder philosophische ueberzeugungen oder die Gewerkschaftszugehoerigkeit
hervorgehen, sowie von Daten ueber Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Faellen keine Anwendung:
a) Die betroffene Person hat ausdruecklich in die Verarbeitung der genannten
Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats
kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person
nicht aufgehoben werden;
oder
b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des fuer
die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu
tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene
Garantien vorsieht, zulaessig ist;
oder
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen
Person oder eines Dritten erforderlich, sofern die Person aus physischen oder
rechtlichen Gruenden ausserstande ist, ihre Einwilligung zu geben;
oder
d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch
eine politisch, philosophisch, religioes oder gewerkschaftlich ausgerichtete
Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck
verfolgt, im Rahmen ihrer rechtmaessigen Taetigkeiten und unter der Voraussetzung,
dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf
Personen, die im Zusammenhang mit deren Taetigkeitszweck regelmaessige Kontakte mit
ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen
Personen an Dritte weitergegeben werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person
offenkundig oeffentlich gemacht hat, oder ist zur Geltendmachung, Ausuebung oder
Verteidigung rechtlicher Ansprueche vor Gericht erforderlich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der
Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung
oder Behandlung oder fuer die Verwaltung von Gesundheitsdiensten erforderlich ist
und die Verarbeitung dieser Daten durch aerztliches Personal erfolgt, das nach
dem einzelstaatlichen Recht, einschliesslich der von den zustaendigen
einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt,
oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht
unterliegen.
(4) Die Mitgliedstaaten koennen vorbehaltlich angemessener Garantien aus
Gruenden eines wichtigen oeffentlichen Interesses entweder im Wege einer
nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle
andere als die in Absatz 2 genannten Ausnahmen vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche
Verurteilungen oder Sicherungsmassregeln betreffen, darf nur unter behoerdlicher
Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien
vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund
innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen,
festlegen kann. Ein vollstaendiges Register der strafrechtlichen Verurteilungen
darf allerdings nur unter behoerdlicher Aufsicht gefuehrt werden.
Die Mitgliedstaaten koennen vorsehen, dass Daten, die administrative Strafen
oder zivilrechtliche Urteile betreffen, ebenfalls unter behoerdlicher Aufsicht
verarbeitet werden muessen.
(6) Die in den Absaetzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind
der Kommission mitzuteilen.
(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale
Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer
Verarbeitung sein duerfen.
6.
Artikel 9 (Verarbeitung personenbezogener Daten und Meinungsfreiheit) der
Richtlinie 95/46 bestimmt:
Die Mitgliedstaaten sehen fuer die Verarbeitung personenbezogener Daten, die
allein zu journalistischen, kuenstlerischen oder literarischen Zwecken erfolgt,
Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI
nur insofern vor, als sich dies als notwendig erweist, um das Recht auf
Privatsphaere mit den fuer die Freiheit der Meinungsaeusserung geltenden
Vorschriften in Einklang zu bringen.
7.
Nach Artikel 13 (Ausnahmen und Einschraenkungen) der Richtlinie 95/46 koennen
die Mitgliedstaaten Beschraenkungen bestimmter den fuer die Verarbeitung
Verantwortlichen nach der Richtlinie obliegender Pflichten, insbesondere
hinsichtlich der Information der betreffenden Personen, vorsehen, sofern diese
Beschraenkungen beispielsweise fuer die Sicherheit des Staates, die
Landesverteidigung, die oeffentliche Sicherheit, ein wichtiges wirtschaftliches
oder finanzielles Interesse eines Mitgliedstaats oder der Europaeischen Union
oder die Ermittlung und Verfolgung von Straftaten oder Verstoessen gegen die
berufsstaendischen Regeln bei reglementierten Berufen notwendig sind.
8.
Artikel 25 in Kapitel IV (uebermittlung personenbezogener Daten in
Drittlaender) der Richtlinie 95/46 lautet:
(1) Die Mitgliedstaaten sehen vor, dass die uebermittlung personenbezogener
Daten, die Gegenstand einer Verarbeitung sind oder nach der uebermittlung
verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der
aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen
Vorschriften zulaessig ist, wenn dieses Drittland ein angemessenes Schutzniveau
gewaehrleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird
unter Beruecksichtigung aller Umstaende beurteilt, die bei einer Datenuebermittlung
oder einer Kategorie von Datenuebermittlungen eine Rolle spielen; insbesondere
werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten
Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden
Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort
geltenden Standesregeln und Sicherheitsmassnahmen beruecksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrichten einander ueber die
Faelle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im
Sinne des Absatzes 2 gewaehrleistet.
(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest,
dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des
vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die
erforderlichen Massnahmen, damit keine gleichartige Datenuebermittlung in das
Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um
Abhilfe fuer die gemaess Absatz 4 festgestellte Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2
feststellen, dass ein Drittland aufgrund seiner innerstaatlichen
Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere
infolge der Verhandlungen gemaess Absatz 5 eingegangen ist, hinsichtlich des
Schutzes der Privatsphaere sowie der Freiheiten und Grundrechte von Personen ein
angemessenes Schutzniveau im Sinne des Absatzes 2 gewaehrleistet.
Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission
gebotenen Massnahmen.
9.
Beim Erlass der Richtlinie 95/46 liess das Koenigreich Schweden folgende
Erklaerung zu Artikel 9 der Richtlinie in das Protokoll der Tagung des Rates
(Dokument Nr. 4649/95 des Rates vom 2. Februar 1995) aufnehmen:
Das Koenigreich Schweden ist der Auffassung, dass sich der Begriff des
kuenstlerischen und literarischen Schaffens eher auf die Ausdrucksmittel als auf
den Inhalt der Mitteilung oder deren Qualitaet bezieht.
10.
Die am 4. November 1950 in Rom unterzeichnete Europaeische Konvention zum
Schutze der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) sieht in
Artikel 8 das Recht auf Achtung des Privat- und Familienlebens vor und enthaelt
in Artikel 10 Bestimmungen ueber die freie Meinungsaeusserung.Nationales Recht
11.
Die Richtlinie 95/46 wurde mit dem Personuppgiftslag, SFS 1998, Nr. 204
(schwedisches Gesetz ueber personenbezogene Daten, im Folgenden: PUL), in
schwedisches Recht umgesetzt.Ausgangsverfahren und Vorlagefragen
12.
Neben ihrer unselbstaendigen Beschaeftigung als Reinigungskraft war Frau
Lindqvist als Katechetin in der Kirchengemeinde Alseda (Schweden) taetig. Sie
besuchte einen Informatikkurs, in dessen Rahmen sie u.a. eine Startseite im
Internet einzurichten hatte. Ende 1998 richtete Frau Lindqvist zu Hause auf
ihrem eigenen Computer Internetseiten ein, um den Konfirmanden ihrer Gemeinde
den Zugang zu Informationen, die sie moeglicherweise benoetigten, zu erleichtern.
Auf ihren Antrag stellte der Administrator der Website der Kirche von Schweden
eine Verbindung zwischen diesen Seiten und der Website her.
13.
Die fraglichen Internetseiten enthielten Informationen ueber Frau Lindqvist
und achtzehn ihrer Arbeitskollegen der Gemeinde; dabei wurde entweder der
vollstaendige Name oder manchmal auch nur der Vorname genannt. Ausserdem beschrieb
Frau Lindqvist in leicht humoriger Weise die Taetigkeiten und
Freizeitbeschaeftigungen ihrer Kollegen. Bei einigen von ihnen bezeichnete sie
die Familienverhaeltnisse, nannte die Telefonnummer oder erteilte weitere
Informationen. Bei einer Kollegin wies sie darauf hin, dass sich diese am Fuss
verletzt habe und partiell krankgeschrieben sei.
14.
Frau Lindqvist hatte weder ihre Kollegen vom Bestehen dieser Internetseiten
unterrichtet noch deren Einwilligung eingeholt, noch hatte sie ihr Vorgehen der
Datainspektion (oeffentliche Einrichtung zum Schutz von auf elektronischem Wege
uebermittelten Daten) gemeldet. Als sie erfuhr, dass die fraglichen Seiten von
einigen ihrer Kollegen missbilligt wurden, entfernte sie sie sofort wieder.
15.
Die Staatsanwaltschaft leitete gegen Frau Lindqvist
Strafverfolgungsmassnahmen wegen Verstosses gegen das PUL ein und beantragte ihre
Verurteilung mit der Begruendung, sie habe
- personenbezogene Daten in einem automatisierten Verfahren verarbeitet, ohne
dies zuvor der Datainspektion schriftlich gemeldet zu haben (Artikel 36 PUL),
- sensible personenbezogene Daten, naemlich ueber eine Fussverletzung und eine
Teilkrankschreibung, ohne Genehmigung verarbeitet (Artikel 13 PUL),
- ohne Genehmigung verarbeitete personenbezogene Daten in ein Drittland
uebermittelt (Artikel 33 PUL).
16.
Frau Lindqvist raeumte den Sachverhalt ein, liess sich aber dahin gehend ein,
dass sie keine Straftat begangen habe. Nachdem sie vom Eksjoe tingsraett
(Schweden) zur Zahlung einer Geldstrafe verurteilt worden war, legte sie gegen
diese Entscheidung beim vorlegenden Gericht Berufung ein.
17.
Die Geldstrafe belief sich auf 4 000 SEK, wobei der nach den finanziellen
Verhaeltnissen von Frau Lindqvist ermittelte Betrag von 100 SEK mit dem der
Schwere des Verstosses entsprechenden Koeffizienten 40 multipliziert wurde.
Ausserdem wurde Frau Lindqvist zur Zahlung von 300 SEK an einen schwedischen
Fonds zur Unterstuetzung von Opfern von Straftaten verurteilt.
18.
Da das Goeta hovraett Zweifel hinsichtlich der Auslegung des auf den
vorliegenden Fall anwendbaren Gemeinschaftsrechts, insbesondere der Richtlinie
95/46, hat, hat es das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen
zur Vorabentscheidung vorgelegt:
1. Faellt die Nennung einer Person (mit Namen oder mit Namen und
Telefonnummer) auf einer Startseite im Internet in den Anwendungsbereich der
Richtlinie 95/46? Liegt eine ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten vor, wenn auf einer persoenlich eingerichteten Startseite
im Internet eine Reihe von Personen genannt und Angaben ueber ihr
Arbeitsverhaeltnis, ihre Freizeitinteressen u.a. gemacht werden?
2. Wenn die vorstehende Frage zu verneinen ist: Kann die Einrichtung
besonderer Seiten fuer etwa fuenfzehn Personen im Rahmen einer Startseite im
Internet mit Links zwischen den Seiten, die eine namentliche Suche ermoeglichen,
als eine nicht automatisierte Verarbeitung personenbezogener Daten, die in
einer Datei gespeichert sind oder gespeichert werden sollen, im Sinne von
Artikel 3 Satz 1 angesehen werden?
Fuer den Fall, dass eine dieser Fragen zu bejahen ist, stellt das Hovraett
weiter folgende Fragen:
3. Kann die Eingabe von Daten der genannten Art ueber Arbeitskollegen auf
einer privaten Startseite, die jedoch fuer alle, die die Adresse der Seite
kennen, zugaenglich ist, aufgrund einer der Ausnahmen des Artikels 3 Absatz 2 der
Richtlinie 95/46 als nicht unter die Richtlinie fallend angesehen werden?
4. Gehoert die Angabe auf einer Startseite, dass ein namentlich genannter
Arbeitskollege sich den Fuss verletzt hat und partiell krankgeschrieben ist, zu
den personenbezogenen Daten ueber die Gesundheit, die nach Artikel 8 Absatz 1
nicht verarbeitet werden duerfen?
5. Die uebermittlung personenbezogener Daten in Drittstaaten ist gemaess der
Richtlinie 95/46 in bestimmten Faellen verboten. Liegt eine uebermittlung von
Daten in Drittstaaten im Sinne dieser Richtlinie vor, wenn jemand in Schweden
mit Hilfe eines Rechners personenbezogene Daten auf einer Startseite, die auf
einem Server in Schweden gespeichert ist, veroeffentlicht, wodurch diese Daten
Personen in Drittlaendern zugaenglich werden? Waere diese Frage genauso zu
beantworten, wenn, soweit bekannt, niemand in einem Drittland tatsaechlich
Kenntnis von den Daten erlangt hat oder wenn sich der betreffende Server rein
raeumlich in einem Drittland befindet?
6. Stellen die Bestimmungen der Richtlinie 95/46 in einem Fall wie dem
vorliegenden Beschraenkungen dar, die im Widerspruch zu den allgemeinen
Grundsaetzen im Bereich der Meinungsfreiheit oder zu anderen Freiheiten und
Rechten stehen, die innerhalb der Europaeischen Union gelten und u.a. eine
Entsprechung in Artikel 10 der Europaeischen Konvention zum Schutze der
Menschenrechte und Grundfreiheiten haben?
Schliesslich legt das Hovraett folgende Frage vor:
7. Kann ein Mitgliedstaat unter den in den vorstehenden Fragen geschilderten
Umstaenden einen weiter gehenden Schutz fuer personenbezogene Daten vorsehen oder
den Anwendungsbereich der Richtlinie 95/46 erweitern, auch wenn keine der
Voraussetzungen des Artikels 13 vorliegt?
Zur ersten Frage
19.
Mit seiner ersten Frage moechte das vorlegende Gericht wissen, ob die
Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen
hinzuweisen und sie entweder durch ihren Namen oder auf andere Weise, etwa durch
Angabe ihrer Telefonnummer oder durch Informationen ueber ihr Arbeitsverhaeltnis
oder ihre Freizeitbeschaeftigungen, erkennbar zu machen, eine ganz oder teilweise
automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3
Absatz 1 der Richtlinie 95/46 darstellt.Beim Gerichtshof eingereichte Erklaerungen
20.
Nach Ansicht von Frau Lindqvist ist die Annahme abwegig, dass die blosse
namentliche Nennung einer Person oder die blosse Angabe personenbezogener Daten
in einem auf einer Internetseite enthaltenen Text eine automatisierte
Verarbeitung von Daten darstelle. Dagegen koenne die Aufnahme solcher Daten als
Stichwoerter in die meta tags einer Internetseite, die es ermoegliche, eine
Indexierung vorzunehmen und diese Seite durch eine Suchmaschine aufzufinden,
eine solche Verarbeitung darstellen.
21.
Die schwedische Regierung vertritt die Ansicht, der Begriff Verarbeitung
ganz oder teilweise automatisierter personenbezogener Daten, der auf den Artikel
3 Absatz 1 der Richtlinie 95/46 abstelle, umfasse alle elektronischen
Datenverarbeitungen, d.h. Verarbeitungen von Binaerdateien. Sobald also
personenbezogene Daten mit einem Rechner, sei es mittels eines
Textverarbeitungsprogramms oder etwa zur Aufnahme in eine Internetseite,
verarbeitet wuerden, seien sie Gegenstand einer von der Richtlinie 95/46
erfassten Verarbeitung.
22.
Die niederlaendische Regierung macht geltend, die Aufnahme personenbezogener
Daten in eine Internetseite erfolge mit Hilfe eines Rechners und eines Servers,
was ein wesentliches Merkmal der Automatisierung darstelle, so dass von einer
automatisierten Verarbeitung dieser Daten auszugehen sei.
23.
Die Kommission fuehrt aus, die Richtlinie 95/46 sei unabhaengig von den
verwendeten technischen Mitteln auf jede Verarbeitung personenbezogener Daten
anwendbar, auf die sich ihr Artikel 3 beziehe. Die Bereitstellung
personenbezogener Daten im Internet stelle daher eine ganz oder teilweise
automatisierte Verarbeitung dar, sofern die Verarbeitung nicht aus technischen
Gruenden auf einen lediglich manuellen Vorgang beschraenkt sei. Schon ihrer Natur
nach falle eine Internetseite daher in den Anwendungsbereich der Richtlinie
95/46.Antwort des Gerichtshofes
24.
Der in Artikel 3 Absatz 1 der Richtlinie 95/46 verwendete Begriff
personenbezogene Daten bezieht sich nach der Definition ihres Artikels 2
Buchstabe a auf alle Informationen ueber eine bestimmte oder bestimmbare
natuerliche Person. Dieser Ausdruck erfasst eindeutig die Nennung des Namens
einer Person in Verbindung mit deren Telefonnummern oder mit Informationen ueber
ihr Arbeitsverhaeltnis oder ihre Freizeitbeschaeftigungen.
25.
Der in Artikel 3 Absatz 1 der Richtlinie 95/46 verwendete Begriff
Verarbeitung personenbezogener Daten umfasst nach der Definition in Artikel 3
Buchstabe b jeden mit oder ohne Hilfe automatisierter Verfahren ausgefuehrten
Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
Diese Bestimmung fuehrt mehrere Beispiele fuer solche Vorgaenge an, darunter die
Weitergabe durch uebermittlung, Verbreitung oder jede andere Form der
Bereitstellung von Daten. Der Vorgang, der darin besteht, personenbezogene Daten
auf eine Internetseite zu stellen, ist somit als eine solche Verarbeitung
anzusehen.26.
Zu bestimmen bleibt noch, ob diese Verarbeitung ganz oder teilweise
automatisiert ist. Hierzu ist festzustellen, dass es zur Wiedergabe von
Informationen auf einer Internetseite nach den gegenwaertig angewandten
technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server
sowie der erforderlichen Vorgaenge bedarf, um diese Seite den mit dem Internet
verbundenen Personen zugaenglich zu machen. Diese Vorgaenge erfolgen zumindest
teilweise in automatisierter Form.27.
Mithin ist auf die erste Frage zu antworten, dass die Handlung, die darin
besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese
entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer
Telefonnummer oder durch Informationen ueber ihr Arbeitsverhaeltnis oder ihre
Freizeitbeschaeftigungen, erkennbar zu machen, eine ganz oder teilweise
automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3
Absatz 1 der Richtlinie 95/46 darstellt.Zur zweiten Frage
28.
Da die erste Frage bejaht worden ist, ist die zweite Frage, die nur fuer den
Fall einer Verneinung der ersten Frage vorgelegt worden ist, nicht zu
beantworten.Zur dritten Frage
29.
Mit seiner dritten Frage moechte das nationale Gericht wissen, ob eine
Verarbeitung personenbezogener Daten wie die, auf die sich die erste Frage
bezieht, unter eine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten
Ausnahmen faellt.Beim Gerichtshof eingereichte Erklaerungen
30.
Frau Lindqvist traegt vor, eine Privatperson, die von ihrer Meinungsfreiheit
Gebrauch mache und im Rahmen einer nicht auf Gewinnerzielung gerichteten
Taetigkeit oder als Freizeitbeschaeftigung Internetseiten einrichte, uebe keine
wirtschaftliche Taetigkeit aus und sei somit der Anwendung des
Gemeinschaftsrechts entzogen. Wenn der Gerichtshof gegenteiliger Auffassung sein
sollte, wuerde sich die Frage nach der Gueltigkeit der Richtlinie 95/46 stellen,
da dann der Gemeinschaftsgesetzgeber mit deren Erlass ueber die ihm in Artikel
100a EG-Vertrag (nach aenderung jetzt Artikel 95 EG) verliehenen Befugnisse
hinausgegangen waere. Die Rechtsangleichung, die auf die Errichtung und das
Funktionieren des Binnenmarktes gerichtet sei, koenne naemlich nicht als
Rechtsgrundlage fuer Massnahmen der Gemeinschaft dienen, die das Recht von
Privatpersonen auf freie Meinungsaeusserung im Internet regelten.31.
Die schwedische Regierung macht geltend, bei der Umsetzung der Richtlinie
95/46 in innerstaatliches Recht sei der schwedische Gesetzgeber davon
ausgegangen, dass die Verarbeitung personenbezogener Daten durch eine natuerliche
Person dergestalt, dass diese Daten, z.B. ueber das Internet, an eine unbestimmte
Zahl von Empfaengern uebermittelt wuerden, nicht als Ausuebung ausschliesslich
persoenlicher oder familiaerer Taetigkeiten im Sinne von Artikel 3 Absatz 2 zweiter
Gedankenstrich der Richtlinie 95/46 angesehen werden koenne. Es sei jedoch nicht
auszuschliessen, dass die Ausnahme des Artikels 3 Absatz 2 erster Gedankenstrich
den Fall betreffe, dass eine natuerliche Person allein im Rahmen ihrer
Meinungsfreiheit und ohne Bezug zu irgend einer beruflichen oder kommerziellen
Taetigkeit personenbezogene Daten auf einer Internetseite veroeffentliche.32.
Nach Ansicht der niederlaendischen Regierung faellt eine automatisierte
Verarbeitung von Daten wie die, um die es im Ausgangsverfahren geht, unter keine
der Ausnahmen des Artikels 3 Absatz 2 der Richtlinie 95/46. Soweit es speziell
um die Ausnahme des zweiten Gedankenstrichs dieser Bestimmung gehe, bringe der
Einrichter einer Internetseite die darin aufgenommenen Daten einer grundsaetzlich
unbestimmten Gruppe von Personen zur Kenntnis.33.
Nach Auffassung der Kommission kann nicht davon ausgegangen werden, dass
eine Internetseite wie die im Ausgangsverfahren fragliche dem Anwendungsbereich
der Richtlinie 95/46 nach deren Artikel 3 Absatz 2 entzogen sei; angesichts
ihres Zweckes stelle sie vielmehr eine kuenstlerische und literarische Schoepfung
im Sinne von Artikel 9 der Richtlinie 95/46 dar.34.
Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 lasse zwei
verschiedene Auslegungen zu. Nach der einen Auslegung werde der
Anwendungsbereich dieser Bestimmung auf die beispielhaft genannten Bereiche,
naemlich Taetigkeiten, die im Wesentlichen zur so genannten ersten Saeule und zur
so genannten zweiten Saeule gehoerten, beschraenkt. Nach der anderen sei die
Ausuebung aller nicht vom Gemeinschaftsrecht erfassten Taetigkeiten dem
Anwendungsbereich der Richtlinie 95/46 entzogen.35.
Das Gemeinschaftsrecht gelte nicht nur fuer wirtschaftliche Taetigkeiten, die
mit den vier Grundfreiheiten in Zusammenhang stuenden.Aus der Rechtsgrundlage
der Richtlinie 95/46, deren Zweck, Artikel 6 EU, der am 18. Dezember 2000 in
Nizza proklamierten Charta der Grundrechte der Europaeischen Union (ABl. C 364,
S. 1) und dem uebereinkommen des Europarats vom 28. Januar 1981 zum Schutz des
Menschen bei der automatischen Verarbeitung personenbezogener Daten sei zu
schliessen, dass diese Richtlinie bezwecke, den freien Verkehr personenbezogener
Daten als Ausdruck nicht nur einer wirtschaftlichen, sondern auch einer sozialen
Taetigkeit im Rahmen der Integration und des Funktionierens des Binnenmarktes zu
regeln.36.
Zudem koennte ein allgemeiner Ausschluss von Internetseiten, die keine
kommerziellen oder dienstleistungsbezogenen Elemente enthielten, vom
Anwendungsbereich der Richtlinie 95/46 zu schwerwiegenden Abgrenzungsproblemen
fuehren. Dann koennten naemlich viele personenbezogene Daten enthaltende
Internetseiten, die darauf gerichtet seien, bestimmte Personen zu bestimmten
Zwecken zu stigmatisieren, vom Anwendungsbereich dieser Richtlinie
ausgeschlossen sein.Antwort des Gerichtshofes
37.
Artikel 3 Absatz 2 der Richtlinie 95/46 sieht zwei Ausnahmen von deren
Anwendungsbereich vor.38.
Die erste Ausnahme betrifft die Verarbeitung personenbezogener Daten, die
fuer die Ausuebung von Taetigkeiten erfolgt, die nicht in den Anwendungsbereich des
Gemeinschaftsrechts fallen, beispielsweise Taetigkeiten gemaess den Titeln V und VI
des Vertrags ueber die Europaeische Union, und jedenfalls Verarbeitungen
betreffend die oeffentliche Sicherheit, die Landesverteidigung, die Sicherheit
des Staates (einschliesslich seines wirtschaftlichen Wohls, wenn diese
Verarbeitungen die Sicherheit des Staates beruehren) und die Taetigkeiten des
Staates im strafrechtlichen Bereich.39.
Da die Taetigkeiten von Frau Lindqvist, um die es im Ausgangsverfahren geht,
im Wesentlichen nicht wirtschaftlicher, sondern ehrenamtlicher und
religionsgemeinschaftlicher Natur sind, ist zu pruefen, ob sie die Verarbeitung
personenbezogener Daten, die fuer die Ausuebung von Taetigkeiten erfolgt, die nicht
in den Anwendungsbereich des Gemeinschaftsrechts fallen, im Sinne von Artikel 3
Absatz 2 erster Gedankenstrich der Richtlinie 95/46 darstellen.40.
Zu der auf Artikel 100a EG-Vertrag gestuetzten Richtlinie 95/46 hat der
Gerichtshof bereits festgestellt, dass die Heranziehung von Artikel 100a
EG-Vertrag als Rechtsgrundlage nicht voraussetzt, dass in jedem Einzelfall, der
von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird,
tatsaechlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten
besteht (vgl. Urteil vom 20. Mai 2003 in den Rechtssachen C-465/00, C-138/01 und
C-139/01, oesterreichischer Rundfunk u.a., Slg. 2003, I-0000, Randnr. 41 und die
dort angefuehrte Rechtsprechung).41.
Die gegenteilige Auslegung wuerde naemlich dazu fuehren, dass die Abgrenzung
des Anwendungsbereichs der Richtlinie 95/46 ungewiss waere und von Zufaelligkeiten
abhinge, was ihrem Hauptzweck zuwiderliefe, die Rechts- und
Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen, um
Hindernisse fuer das Funktionieren des Binnenmarktes zu beseitigen, die sich
gerade aus den Unterschieden zwischen den nationalen Regelungen ergeben (Urteil
oesterreichischer Rundfunk u.a., Randnr. 42).42.
Unter diesen Umstaenden waere es unangebracht, den Ausdruck Taetigkeiten, die
nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen dahin auszulegen,
dass in jedem Einzelfall geprueft werden muesste, ob die betreffende konkrete
Taetigkeit den freien Verkehr zwischen Mitgliedstaaten unmittelbar
beeintraechtigt.43.
Die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46
beispielhaft aufgefuehrten Taetigkeiten (naemlich solche nach den Titeln V und VI
des Vertrags ueber die Europaeische Union sowie Verarbeitungen betreffend die
oeffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und
die Taetigkeiten des Staates im strafrechtlichen Bereich) sind jedenfalls
spezifische Taetigkeiten der Staaten oder der staatlichen Stellen und haben mit
den Taetigkeitsbereichen von Einzelpersonen nichts zu tun.44.
Daher ist davon auszugehen, dass die in Artikel 3 Absatz 2 erster
Gedankenstrich der Richtlinie 95/46 als Beispiele aufgefuehrten Taetigkeiten dazu
dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen,
so dass diese nur fuer Taetigkeiten gilt, die entweder dort ausdruecklich genannt
sind oder derselben Kategorie zugeordnet werden koennen (ejusdem generis).45.
Ehrenamtliche oder religionsgemeinschaftliche Taetigkeiten, wie sie von Frau
Lindqvist ausgeuebt werden, sind jedoch den in Artikel 3 Absatz 2 erster
Gedankenstrich der Richtlinie 95/46 genannten Taetigkeiten nicht gleichzustellen
und werden daher von dieser Ausnahme nicht erfasst.46.
Als Beispiele fuer die in Artikel 3 Absatz 2 zweiter Gedankenstrich der
Richtlinie 95/46 geregelte Ausnahme werden in der zwoelften Begruendungserwaegung
dieser Richtlinie die Datenverarbeitung, die von einer natuerlichen Person in
Ausuebung ausschliesslich persoenlicher oder familiaerer Taetigkeiten vorgenommen
wird, sowie der Schriftverkehr und die Fuehrung von Anschriftenverzeichnissen
genannt.47.
Diese Ausnahme ist somit dahin auszulegen, dass mit ihr nur Taetigkeiten
gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehoeren, was
offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten,
die in deren Veroeffentlichung im Internet besteht, so dass diese Daten einer
unbegrenzte Zahl von Personen gemacht werden.48.
Daher ist auf die dritte Frage zu antworten, dass eine Verarbeitung
personenbezogener Daten wie die in der Antwort auf die erste Frage angefuehrte
unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen
faellt.Zur vierten Frage
49.
Mit seiner vierten Frage moechte das vorlegende Gericht wissen, ob die
Angabe, dass sich eine Person den Fuss verletzt hat und partiell krankgeschrieben
ist, zu den personenbezogenen Daten ueber die Gesundheit im Sinne von Artikel 8
Absatz 1 der Richtlinie 95/46 gehoert.50.
Angesichts des Zweckes der Richtlinie 95/46 ist der in ihrem Artikel 8
Absatz 1 verwendete Begriff Daten ueber Gesundheit in dem Sinne weit auszulegen,
dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person
unter allen Aspekten - koerperlichen wie psychischen - betreffen.51.
Mithin ist auf die vierte Frage zu antworten, dass die Angabe, dass sich
eine Person den Fuss verletzt hat und partiell krankgeschrieben ist, zu den
personenbezogenen Daten ueber die Gesundheit im Sinne von Artikel 8 Absatz 1 der
Richtlinie 95/46 gehoert.Zur fuenften Frage
52.
Mit der fuenften Frage des vorlegenden Gerichts soll geklaert werden, ob eine
uebermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie
95/46 vorliegt, wenn eine Person, die sich in einem Mitgliedstaat befindet, in
eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat
ansaessigen natuerlichen oder juristischen Person gespeichert ist, die die Website
unterhaelt, auf der diese Seite abgerufen werden kann (im Folgenden:
Host-Service-Provider), personenbezogene Daten aufnimmt und sie damit jeder
Person, die eine Verbindung zum Internet herstellt, einschliesslich Personen in
Drittlaendern, zugaenglich macht. Das vorlegende Gericht fragt weiter, ob die
Frage genauso zu beantworten waere, wenn sich zeigt, dass tatsaechlich kein
Angehoeriger eines Drittlands von diesen Daten Kenntnis erlangt hat oder dass
sich der Server, auf dem die Seite gespeichert ist, rein raeumlich in einem
Drittland befindet.Beim Gerichtshof eingereichte Erklaerungen
53.
Die Kommission und die schwedische Regierung vertreten die Auffassung, die
Aufnahme personenbezogener Daten in eine Internetseite mittels eines Rechners
dergestalt, dass diese Daten Angehoerigen von Drittlaendern zugaenglich gemacht
wuerden, stelle eine uebermittlung von Daten in Drittlaender im Sinne der
Richtlinie 95/46 dar. Die Antwort sei die gleiche, wenn kein Angehoeriger eines
Drittlands von diesen Daten tatsaechlich Kenntnis erlange oder wenn sich der
Server, auf dem sie gespeichert seien, rein raeumlich in einem Drittland befinde.
54.
Die niederlaendische Regierung weist darauf hin, dass der Begriff
uebermittlung in der Richtlinie 95/46 nicht definiert sei. Zum einen sei dieser
Begriff dahin auszulegen, dass er sich auf eine Handlung beziehe, mit der
bewusst personenbezogene Daten vom Gebiet eines Mitgliedstaats in ein Drittland
uebermittelt werden sollten; zum anderen sei es nicht moeglich, zwischen den
einzelnen Formen zu unterscheiden, in denen die Daten Dritten zugaenglich gemacht
wuerden. Infolgedessen koenne die Aufnahme personenbezogener Daten in eine
Internetseite mittels eines Rechners nicht als uebermittlung personenbezogener
Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 angesehen
werden.55.
Die Regierung des Vereinigten Koenigreich macht geltend, Artikel 25 der
Richtlinie 95/46 beziehe sich auf die uebermittlung von Daten in ein Drittland
und nicht auf die Frage, inwieweit aus diesen Laendern Zugang zu diesen Daten
bestehe. Der Begriff uebermittlung setze voraus, dass Daten durch eine an einem
bestimmten Ort befindliche Person an eine an einem anderen Ort befindliche
dritte Person uebermittelt wuerden. Nur fuer den Fall einer solchen uebermittlung
schreibe Artikel 25 der Richtlinie 95/46 den Mitgliedstaaten vor, fuer einen
angemessenen Schutz der personenbezogenen Daten in einem Drittland zu sorgen.Antwort des Gerichtshofes
56.
Die Richtlinie 95/46 definiert den Begriff uebermittlung in ein Drittland
weder in Artikel 25 noch in irgendeiner anderen Bestimmung, insbesondere auch
nicht in Artikel 2.57.
Bei der Pruefung der Frage, ob die Aufnahme personenbezogener Daten in eine
Internetseite schon deshalb eine uebermittlung dieser Daten in ein Drittland im
Sinne von Artikel 25 der Richtlinie 95/46 darstellt, weil die Daten durch diese
Aufnahme den in diesem Drittland befindlichen Personen zugaenglich gemacht
werden, sind zum einen die technische Seite der damit verbundenen Vorgaenge und
zum anderen der Zweck und die Systematik von Kapitel IV der Richtlinie 95/46, in
dem Artikel 25 steht, zu beruecksichtigen.58.
Die im Internet zu findenden Informationen koennen fast jederzeit von einer
unbestimmten Zahl von Personen von den verschiedensten Orten aus abgerufen
werden. Die umfassende Abrufbarkeit dieser Informationen folgt insbesondere
daraus, dass die beim Internet verwendeten technischen Mittel verhaeltnismaessig
einfach und immer weniger kostspielig sind.59.
Nach den Modalitaeten fuer die Benutzung des Internets, wie sie in den 1990er
Jahren fuer Einzelpersonen wie Frau Lindqvist verfuegbar geworden sind,
uebermittelt der Urheber einer fuer die Veroeffentlichung im Internet bestimmten
Seite die fuer diese Seite konstitutiven Daten seinem Host-Service-Provider.
Dieser verwaltet die EDV-Infrastruktur, die zur Speicherung dieser Daten und fuer
die Verbindung mit dem Server, auf dem die Internetseite untergebracht ist,
notwendig ist. Dies ermoeglicht die spaetere uebermittlung dieser Daten an jede mit
dem Internet verbundene Person, die sie erhalten moechte. Die Rechner, die diese
EDV-Infrastruktur bilden, koennen sich in einem oder mehreren anderen Laendern als
dem der Niederlassung des Host-Service-Providers befinden - was oft der Fall ist
-, ohne dass dessen Kunden hiervon Kenntnis haben oder normalerweise Kenntnis
nehmen koennen.60.
Aus den Akten geht hervor, dass ein Internetbenutzer zum Erhalt der
Informationen auf den Internetseiten, in die Frau Lindqvist Daten ueber ihre
Kollegen aufgenommen hatte, nicht nur eine Verbindung zum Internet herstellen,
sondern auch - eigenhaendig - die notwendigen Schritte zum Einsehen dieser Seiten
unternehmen musste. Die Internetseiten von Frau Lindqvist enthielten, anders
gesagt, nicht die technischen Mechanismen, die einen automatischen Versand
dieser Informationen an Personen ermoeglicht haetten, die diese Seiten nicht
bewusst aufgesucht hatten.61.
Daraus folgt, dass unter Umstaenden wie denen des Ausgangsverfahrens die
personenbezogenen Daten, die von einer Person aus, die sie auf eine Website
hochgeladen hat, in den Rechner einer sich in einem Drittland befindenden Person
gelangen, nicht zwischen diesen beiden Personen unmittelbar, sondern ueber die
EDV-Infrastruktur des Host-Service-Providers, auf der die Seite gespeichert ist,
uebermittelt worden sind.62.
Dies ist der Kontext, in dem zu pruefen ist, ob der Gemeinschaftsgesetzgeber
im Hinblick auf die Anwendung von Kapitel IV der Richtlinie 95/46 unter den
Begriff uebermittlung von Daten in ein Drittland im Sinne von Artikel 25 dieser
Richtlinie auch Vorgaenge fassen wollte, wie sie von Frau Lindqvist ausgefuehrt
worden sind. Zu beachten ist, dass die fuenfte Frage des vorliegenden Gerichts
nur diese und nicht jene Vorgaenge betrifft, die von den Host-Service-Providern
ausgefuehrt werden.63.
Kapitel IV der Richtlinie 95/46, in dem Artikel 25 steht, sieht eine
Sonderregelung vor, die besondere Bestimmungen fuer die von den Mitgliedstaaten
vorzunehmende Kontrolle der uebermittlung personenbezogener Daten in Drittlaender
enthaelt. Mit diesem Kapitel ist eine Regelung eingefuehrt worden, die die
allgemeine Regelung von Kapitel II der Richtlinie 95/46, die die Rechtmaessigkeit
der Verarbeitung personenbezogener Daten betrifft, ergaenzt.64.
Der Zweck des Kapitels IV wird in den Begruendungserwaegungen 56 bis 60 der
Richtlinie 95/46 dargelegt; darin heisst es u.a., dass der in der Gemeinschaft
durch diese Richtlinie garantierte Schutz von Personen der uebermittlung
personenbezogener Daten in Drittlaender, die ein angemessenes Schutzniveau
aufweisen, zwar nicht entgegensteht, dass jedoch die Angemessenheit dieses
Schutzniveaus unter Beruecksichtigung aller Umstaende hinsichtlich einer
uebermittlung oder einer Kategorie von uebermittlungen zu beurteilen ist. Bietet
ein Drittland kein angemessenes Schutzniveau, so ist die uebermittlung
personenbezogener Daten in dieses Land zu untersagen.65.
Artikel 25 der Richtlinie 95/46 erlegt den Mitgliedstaaten und der
Kommission eine Reihe von Verpflichtungen zur Kontrolle der uebermittlung
personenbezogener Daten in Drittlaender unter Beruecksichtigung des in jedem
dieser Laender fuer diese Daten bestehenden Schutzniveaus auf.66.
Artikel 25 Absatz 4 der Richtlinie 95/46 sieht vor, dass die Mitgliedstaaten
dann, wenn die Kommission feststellt, dass ein Drittland kein angemessenes
Schutzniveau aufweist, die erforderlichen Massnahmen treffen, damit keine
uebermittlung personenbezogener Daten in das betreffende Drittland erfolgt.
67.
Kapitel IV der Richtlinie 95/46 enthaelt keine Bestimmung ueber die Benutzung
des Internets. So fuehrt es auch keine Kriterien fuer die Klaerung der Frage an, ob
fuer die unter Vermittlung von Host-Service-Providern ausgefuehrten Vorgaenge auf
den Ort der Niederlassung oder des beruflichen Sitzes des Providers oder aber
auf den oder die Orte abzustellen ist, an denen sich die Rechner befinden, die
die EDV-Infrastruktur des Providers ausmachen.68.
Angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung
der Richtlinie 95/46 und des Fehlens von Kriterien fuer die Internetbenutzung in
Kapitel IV dieser Richtlinie kann nicht angenommen werden, dass der
Gemeinschaftsgesetzgeber unter den Begriff uebermittlung von Daten in ein
Drittland im Vorgriff auch den Vorgang fassen wollte, dass eine Person in der
Lage von Frau Lindqvist Daten in eine Internetseite aufnimmt, auch wenn diese
Daten dadurch Personen aus Drittlaendern zugaenglich gemacht werden, die ueber die
technischen Mittel fuer diesen Zugang verfuegen.69.
Wuerde Artikel 25 der Richtlinie 95/46 dahin ausgelegt, dass immer dann, wenn
personenbezogene Daten auf eine Internetseite hochgeladen werden, eine
uebermittlung von Daten in ein Drittland vorliegt, so waere diese uebermittlung
notwendig eine solche in alle Drittlaender, in denen die fuer einen Zugang zum
Internet notwendigen technischen Mittel vorliegen. Damit wuerde die in Kapitel IV
der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen
Regelung fuer Vorgaenge im Rahmen des Internets werden. Sobald die Kommission nach
Artikel 25 Absatz 4 der Richtlinie 95/46 feststellen wuerde, dass auch nur ein
Land kein angemessenes Schutzniveau aufweist, waeren die Mitgliedstaaten naemlich
verpflichtet, jede Aufnahme personenbezogener Daten in das Internet zu
unterbinden.70.
Deshalb ist Artikel 25 der Richtlinie 95/46 dahin auszulegen, dass Vorgaenge,
wie sie von Frau Lindqvist ausgefuehrt worden sind, als solche keine uebermittlung
von Daten in ein Drittland darstellen. Daher braucht nicht untersucht zu werden,
ob eine Person aus einem Drittland zu der betreffenden Internetseite Zugang
hatte oder ob sich der Server des betreffenden Providers in einem Drittland
befindet.71.
Somit ist auf die fuenfte Frage zu antworten, dass keine uebermittlung von
Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vorliegt,
wenn eine sich in einem Mitgliedstaat aufhaltende Personen in eine
Internetseite, die bei ihrem in demselben oder einem anderen Mitgliedstaat
ansaessigen Host-Service-Provider gespeichert ist, personenbezogene Daten
aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet
herstellt, einschliesslich Personen in Drittlaendern, zugaenglich macht.Zur sechsten Frage
72.
Mit seiner sechsten Frage moechte das vorlegende Gericht wissen, ob die
Bestimmungen der Richtlinie 95/46 fuer einen Fall wie den vorliegenden eine
Beschraenkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der
Meinungsfreiheit oder zu anderen innerhalb der Europaeischen Union geltenden
Rechten und Freiheiten steht, die u.a. dem Recht aus Artikel 10 EMRK
entsprechen.Beim Gerichtshof eingereichte Erklaerungen
73.
Frau Lindqvist macht u.a. unter Hinweis auf das Urteil vom 6. Maerz 2001 in
der Rechtssache C-274/99 P (Connolly/Kommission, Slg. 2001, I-1611) geltend, die
Richtlinie 95/46 und das PUL verstiessen gegen den im Gemeinschaftsrecht
anerkannten allgemeinen Grundsatz der Meinungsfreiheit, soweit sie
Voraussetzungen einer vorherigen Einwilligung und einer vorherigen Mitteilung an
eine Kontrollbehoerde sowie ein generelles Verbot der Verarbeitung sensibler
personenbezogener Daten einfuehrten. Insbesondere genuege das Tatbestandsmerkmal
ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten nicht
den Kriterien der Vorhersehbarkeit und Genauigkeit.74.
Ausserdem koenne der blosse Umstand, dass eine natuerliche Person namentlich
genannt werde, dass ihre Telefonnummern und Arbeitsbedingungen bekannt gegeben
und dass Informationen ueber ihren Gesundheitszustand und ihre
Freizeitbeschaeftigungen gegeben wuerden, Informationen, die oeffentlich
zugaenglich, allgemein bekannt gegeben oder banal seien, keinen schweren Verstoss
gegen das Recht auf Achtung der Privatsphaere begruenden. Jedenfalls seien die mit
der Richtlinie 95/46 auferlegten Beschraenkungen angesichts des angestrebten
Zweckes, das Ansehen und die Privatsphaere anderer zu schuetzen,
unverhaeltnismaessig.75.
Die schwedische Regierung vertritt die Ansicht, die Richtlinie 95/46
ermoegliche es, die betroffenen Interessen gegeneinander abzuwaegen und damit die
Meinungsfreiheit und den Schutz der Privatsphaere zu wahren. Zudem seien nur die
nationalen Gerichte unter Beruecksichtigung der Umstaende jedes Einzelfalls in der
Lage, die Angemessenheit der mit der Anwendung von Vorschriften zur Wahrung der
Rechte anderer verbundenen Beschraenkung der Ausuebung des Rechts auf
Meinungsfreiheit zu beurteilen.76.
Die niederlaendische Regierung weist darauf hin, dass sowohl die
Meinungsfreiheit als auch das Recht auf Wahrung der Privatsphaere zu den
allgemeinen Rechtsgrundsaetzen gehoerten, deren Wahrung der Gerichtshof
sicherstelle, und dass die EMRK keine Hierarchie zwischen den verschiedenen
Grundrechten aufstelle. Daher muesse sich das nationale Gericht bemuehen, die
verschiedenen betroffenen Grundrechte unter Beruecksichtigung der Umstaende des
Einzelfalls miteinander in Einklang zu bringen.77.
Die Regierung des Vereinigten Koenigreichs fuehrt aus, ihr in Randnummer 55
dieses Urteils dargelegter Vorschlag einer Antwort auf die fuenfte Frage stehe
mit den Grundrechten in vollem Einklang und ermoegliche es, einen
unverhaeltnismaessigen Eingriff in die Meinungsfreiheit zu verhindern. Auch waere
eine Auslegung, die dahin ginge, dass die Bekanntgabe personenbezogener Daten in
einer bestimmten Form, naemlich auf einer Internetseite, viel strengeren
Beschraenkungen unterliege als eine Bekanntgabe in anderer Form, wie etwa auf
Papier, kaum zu rechtfertigen.78.
Auch die Kommission meint, dass die Richtlinie 95/46 nicht zu einer
Beschraenkung fuehre, die gegen den allgemeinen Grundsatz der Meinungsfreiheit
oder andere in der Europaeischen Union geltende Rechte und Freiheiten, die
namentlich dem in Artikel 10 EMRK normierten Recht entspraechen, verstosse.Antwort des Gerichtshofes
79.
Der siebten Begruendungserwaegung der Richtlinie 95/46 zufolge koennen die
Errichtung und das Funktionieren des Binnenmarktes durch die in den nationalen
Regelungen ueber die Verarbeitung personenbezogener Daten bestehenden
Unterschiede in schwerwiegender Weise beeintraechtigt werden. Nach der dritten
Begruendungserwaegung der Richtlinie 95/46 muss die Harmonisierung dieser
nationalen Regelungen nicht nur auf den freien Verkehr dieser Daten zwischen
Mitgliedstaaten, sondern auch auf die Wahrung der Grundrechte der Personen
abzielen. Diese Ziele koennen offenkundig miteinander in Konflikt geraten.80.
Einerseits wird die wirtschaftliche und soziale Integration, die sich aus
der Errichtung und dem Funktionieren des Binnenmarktes ergibt, notwendig zu
einer spuerbaren Zunahme der Stroeme personenbezogener Daten zwischen allen am
wirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten fuehren,
unabhaengig davon, ob es sich dabei um Unternehmen oder um Verwaltungen der
Mitgliedstaaten handelt. Diese Beteiligten muessen in gewissem Umfang ueber
personenbezogene Daten verfuegen koennen, um in dem Raum ohne Grenzen, den der
Binnenmarkt bildet, ihre Geschaefte taetigen oder ihre Aufgabe erfuellen zu koennen.
81.
Andererseits verlangen die von der Verarbeitung personenbezogener Daten
betroffenen Personen zu Recht, dass diese Daten wirksam geschuetzt werden.82.
Die Mechanismen, die eine Abwaegung der verschiedenen Rechte und Interessen
ermoeglichen, sind zum einen in der Richtlinie 95/46 selbst festgelegt, soweit
diese Vorschriften enthaelt, die bestimmen, in welchen Situationen und in welchem
Umfang die Verarbeitung personenbezogener Daten rechtmaessig ist und welche
Schutzvorkehrungen vorzusehen sind. Zum anderen resultieren sie aus dem Erlass
nationaler Regelungen zur Umsetzung dieser Richtlinie durch die Mitgliedstaaten
sowie aus der moeglichen Anwendung dieser Regelungen durch die nationalen
Behoerden.83.
Was die Richtlinie 95/46 selbst betrifft, so sind deren Bestimmungen
notwendig verhaeltnismaessig allgemein gehalten, da sie auf viele ganz
unterschiedliche Situationen Anwendung finden soll. Zu Recht enthaelt diese
Richtlinie daher entgegen der Auffassung von Frau Lindqvist Vorschriften, die
durch eine gewisse Flexibilitaet gekennzeichnet sind, und ueberlaesst es in vielen
Faellen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu
waehlen.84.
Zwar verfuegen die Mitgliedstaaten zur Umsetzung der Richtlinie 95/46 in
vielerlei Hinsicht ueber einen Handlungsspielraum. Dennoch laesst nichts die
Annahme zu, dass es der in ihr vorgesehenen Regelung an Vorhersehbarkeit mangelt
oder dass ihre Bestimmungen als solche gegen die allgemeinen Grundsaetze des
Gemeinschaftsrechts, insbesondere die durch die Gemeinschaftsrechtsordnung
geschuetzten Grundrechte, verstossen.85.
Daher muss ein angemessenes Gleichgewicht zwischen den genannten Rechten und
Interessen eher auf nationaler Ebene im Stadium der Anwendung der die Richtlinie
95/46 umsetzenden Regelung auf konkrete Faelle gefunden werden.86.
In diesem Zusammenhang kommt den Grundrechten besondere Bedeutung zu, wie
das Ausgangsverfahren zeigt, in dem es im Kern darum geht, die Meinungsfreiheit
von Frau Lindqvist im Rahmen ihrer Arbeit als Katechetin und die Freiheit,
Taetigkeiten auszuueben, die zum religioesen Leben beitragen, gegen den Schutz der
Privatsphaere der Personen abzuwaegen, ueber die Frau Lindqvist Daten auf ihre
Website gestellt hat.87.
Demgemaess haben die Behoerden und Gerichte der Mitgliedstaaten nicht nur ihr
nationales Recht im Einklang mit der Richtlinie 95/46 auszulegen, sondern auch
darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie
stuetzen, die mit den durch die Gemeinschaftsrechtsordnung geschuetzten
Grundrechten oder den anderen allgemeinen Grundsaetzen des Gemeinschaftsrechts,
wie dem Grundsatz der Verhaeltnismaessigkeit, kollidiert.88.
Zwar erfordert der Schutz der Privatsphaere die Anwendung wirksamer
Sanktionen gegen Personen, die personenbezogene Daten in mit der Richtlinie
95/46 nicht vereinbarer Weise verarbeiten, doch muessen solche Sanktionen stets
den Grundsatz der Verhaeltnismaessigkeit wahren. Das gilt umso mehr, als der
Anwendungsbereich der Richtlinie 95/46 sehr weit ist und die den Personen, die
personenbezogene Daten verarbeiten, obliegenden Verpflichtungen zahlreich und
weitgehend sind.89.
Nach dem Grundsatz der Verhaeltnismaessigkeit hat das vorlegende Gericht alle
Umstaende der Rechtssache, mit der es befasst ist, insbesondere die Dauer der
Zuwiderhandlung gegen die die Richtlinie 95/46 durchfuehrenden Vorschriften und
die Bedeutung, die der Schutz der verbreiteten Daten fuer die Betroffenen hat, zu
beruecksichtigen.90.
Demgemaess ist auf die sechste Frage zu antworten, dass die Bestimmungen der
Richtlinie 95/46 als solche keine Beschraenkung enthalten, die im Widerspruch zum
allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der
Europaeischen Union geltenden Rechten und Freiheiten steht, die u.a. dem Recht
aus Artikel 10 EMRK entsprechen. Es ist Sache der nationalen Behoerden und
Gerichte, die fuer die Anwendung der die Richtlinie 95/46 umsetzenden nationalen
Regelung zustaendig sind, ein angemessenes Gleichgewicht zwischen den betroffenen
Rechten und Interessen einschliesslich der durch die Gemeinschaftsrechtsordnung
geschuetzten Grundrechte sicherzustellen.Zur siebten Frage
91.
Mit seiner siebten Frage moechte das vorlegende Gericht wissen, ob es den
Mitgliedstaaten freisteht, einen weiter gehenden Schutz fuer personenbezogene
Daten oder einen weiteren Anwendungsbereich als nach der Richtlinie 95/46
vorzusehen.Beim Gerichtshof eingereichte Erklaerungen
92.
Die schwedische Regierung vertritt die Auffassung, die Richtlinie 95/46 lege
nicht nur Mindestanforderungen an den Schutz personenbezogener Daten fest.
Vielmehr seien die Mitgliedstaaten bei der Umsetzung der Richtlinie zur
Verwirklichung des durch diese vorgegebenen Schutzniveaus verpflichtet, so dass
sie keinen staerkeren oder schwaecheren Schutz vorsehen duerften. Zu beachten sei
jedoch der den Mitgliedstaaten im Rahmen dieser Umsetzung eingeraeumte
Ermessensspielraum im Hinblick auf die genaue Festlegung der allgemeinen
Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmaessig
sei, im innerstaatlichen Recht.93.
Nach Ansicht der niederlaendischen Regierung verbietet es die Richtlinie
95/46 den Mitgliedstaaten nicht, in bestimmten Bereichen einen staerkeren Schutz
vorzusehen. Aus den Artikeln 10, 11 Absatz 1, 14 Absatz 1 Buchstabe a, 17 Absatz
3, 18 Absatz 5 und 19 Absatz 1 dieser Richtlinie gehe beispielsweise hervor,
dass sie einen weiter gehenden Schutz vorsehen koennten. Ausserdem stehe es den
Mitgliedstaaten frei, die Grundsaetze der Richtlinie 95/46 auch auf Taetigkeiten
anzuwenden, die nicht in deren Anwendungsbereich fielen.94.
Die Kommission macht geltend, die Richtlinie 95/46 sei auf Artikel 100a
EG-Vertrag gestuetzt; wenn ein Mitgliedstaat Rechtsvorschriften beibehalten oder
einfuehren wolle, die von dieser Harmonisierungsrichtlinie abwichen, muesse er sie
der Kommission gemaess Artikel 95 Absatz 4 oder Absatz 5 EG mitteilen.
Infolgedessen duerften die Mitgliedstaaten keinen weiter gehenden Schutz
personenbezogener Daten oder einen weiteren Anwendungsbereich als nach der
Richtlinie vorsehen.Antwort des Gerichtshofes
95.
Wie sich insbesondere aus ihrer achten Begruendungserwaegung ergibt, bezweckt
die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei
der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein
gleichwertiges Schutzniveau herzustellen. Nach der zehnten Begruendungserwaegung
der Richtlinie 95/46 darf ausserdem die Angleichung der einschlaegigen nationalen
Rechtsvorschriften nicht zu einer Verringerung des durch diese Vorschriften
garantierten Schutzes fuehren, sondern muss im Gegenteil darauf abzielen, in der
Gemeinschaft ein hohes Schutzniveau sicherzustellen.96.
Die Harmonisierung dieser nationalen Rechtsvorschriften ist daher nicht auf
eine Mindestharmonisierung beschraenkt, sondern fuehrt zu einer grundsaetzlich
umfassenden Harmonisierung. Im Hinblick darauf will die Richtlinie 95/46 den
freien Verkehr personenbezogener Daten sicherstellen, wobei sie zugleich ein
hohes Niveau des Schutzes der Rechte und Interessen der von diesen Daten
betroffenen Personen gewaehrleistet.97.
Zwar trifft es zu, dass die Richtlinie 95/46 den Mitgliedstaaten einen
weiten Handlungsspielraum in bestimmten Bereichen einraeumt und sie ermaechtigt,
fuer bestimmte Faelle besondere Regelungen beizubehalten oder einzufuehren, wie
viele ihrer Bestimmungen zeigen. Von diesen Moeglichkeiten muss aber in der in
der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel
Gebrauch gemacht werden, ein Gleichgewicht zwischen dem freien Verkehr
personenbezogener Daten und dem Schutz der Privatsphaere zu wahren.98.
Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den
Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen
Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste
Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts
entgegensteht.99.
Aufgrund dessen ist auf die siebte Frage zu antworten, dass die von den
Mitgliedstaaten zur Gewaehrleistung des Schutzes personenbezogener Daten
getroffenen Massnahmen sowohl mit den Bestimmungen der Richtlinie 95/46 als auch
mit deren Ziel im Einklang stehen muessen, ein Gleichgewicht zwischen dem freien
Verkehr personenbezogener Daten und dem Schutz der Privatsphaere zu wahren.
Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den
Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen
Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste
Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts
entgegensteht.Kosten
100.
Die Auslagen der schwedischen und der niederlaendischen Regierung, der
Regierung des Vereinigten Koenigreichs, der Kommission und der
EFTA-ueberwachungsbehoerde, die Erklaerungen vor dem Gerichtshof abgegeben haben,
sind nicht erstattungsfaehig. Fuer die Parteien des Ausgangsverfahrens ist das
Verfahren Teil des bei dem vorlegenden Gericht anhaengigen Verfahrens; die
Kostenentscheidung ist daher Sache dieses Gerichts.Aus diesen Gruenden hat
DER GERICHTSHOF
auf die ihm vom Goeta hovraett mit Beschluss vom 23. Februar 2001 vorgelegten
Fragen fuer Recht erkannt:
1. Die Handlung, die darin besteht, auf einer Internetseite auf
verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf
andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen
ueber ihr Arbeitsverhaeltnis oder ihre Freizeitbeschaeftigungen, erkennbar zu
machen, stellt eine ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46/EG
des Europaeischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natuerlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr dar.
2. Eine solche Verarbeitung personenbezogener Daten faellt unter keine der in
Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen.
3. Die Angabe, dass sich eine Person den Fuss verletzt hat und partiell
krankgeschrieben ist, gehoert zu den personenbezogenen Daten ueber die Gesundheit
im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46.
4. Es liegt keine uebermittlung von Daten in ein Drittland im Sinne von
Artikel 25 der Richtlinie 95/46 vor, wenn eine sich in einem Mitgliedstaat
aufhaltende Person in eine Internetseite, die bei einer in demselben oder einem
anderen Mitgliedstaat ansaessigen natuerlichen oder juristischen Person
gespeichert ist, die die Website unterhaelt, auf der diese Seite abgerufen werden
kann, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine
Verbindung zum Internet herstellt, einschliesslich Personen in Drittlaendern,
zugaenglich macht.
5. Die Bestimmungen der Richtlinie 95/46 enthalten als solche keine
Beschraenkung, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit
oder zu anderen innerhalb der Europaeischen Union geltenden Rechten und
Freiheiten steht, die u.a. dem Recht aus Artikel 10 der am 4. November 1950 in
Rom unterzeichneten Europaeischen Konvention zum Schutze der Menschenrechte und
Grundfreiheiten entsprechen. Es ist Sache der nationalen Behoerden und Gerichte,
die fuer die Anwendung der die Richtlinie 95/46 umsetzenden nationalen Regelung
zustaendig sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten
und Interessen einschliesslich der durch die Gemeinschaftsrechtsordnung
geschuetzten Grundrechte sicherzustellen.
6. Die von den Mitgliedstaaten zur Gewaehrleistung des Schutzes
personenbezogener Daten getroffenen Massnahmen muessen sowohl mit den Bestimmungen
der Richtlinie 95/46 als auch mit deren Ziel im Einklang stehen, ein
Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz
der Privatsphaere zu wahren. Dagegen sind die Mitgliedstaaten durch nichts daran
gehindert, den Geltungsbereich der die Richtlinie 95/64 umsetzenden
innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie
nicht erfasste Bereiche auszudehnen, soweit dem keine andere Bestimmung des
Gemeinschaftsrechts entgegensteht.
Bitte senden Sie Ihre Kommentare an
Rolf Schaelike
Dieses
Dokument wurde zuletzt aktualisiert am 30.01.04
Impressum |