 |
DDR und Deutschland Heute
Datenschutz - Personendaten |
Home
Sitemap |
Urteil
EuGH, Urteil vom 6. November 2003 - Az.: C-101/01 (Nennung von Personendaten
im Internet)
URTEIL DES GERICHTSHOFES
Richtlinie 95/46/EG - Anwendungsbereich - Veröffentlichung personenbezogener
Daten im Internet - Ort der Veröffentlichung - Begriff der Übermittlung
personenbezogener Daten in ein Drittland - Meinungsfreiheit - Vereinbarkeit
eines weiter gehenden Schutzes personenbezogener Daten nach den
Rechtsvorschriften eines Mitgliedstaats mit der Richtlinie 95/46
In der Rechtssache C-101/01
betreffend ein dem Gerichtshof nach Artikel 234 EG vom Göta hovrätt
(Schweden) in dem bei diesem anhängigen Strafverfahren gegen
Bodil Lindqvist
vorgelegtes Ersuchen um Vorabentscheidung insbesondere über die Auslegung der
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober
1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr (ABl. L 281, S. 31)
erlässt
DER GERICHTSHOF
unter Mitwirkung des Präsidenten der Ersten Kammer P. Jann in Wahrnehmung der
Aufgaben des Präsidenten, der Kammerpräsidenten C. W. A. Timmermans, C. Gulmann,
J. N. Cunha Rodrigues und A. Rosas sowie der Richter D. A. O. Edward
(Berichterstatter) und J.-P. Puissochet, der Richterin F. Macken und des
Richters S. von Bahr,
Generalanwalt: A. Tizzano,
Kanzler: H. von Holstein, Hilfskanzler,
unter Berücksichtigung der schriftlichen Erklärungen
- von B. Lindqvist, vertreten durch S. Larsson, advokat,
- der schwedischen Regierung, vertreten durch A. Kruse als Bevollmächtigten,
- der niederländischen Regierung, vertreten durch H. G. Sevenster als
Bevollmächtigte,
- der Regierung des Vereinigten Königreichs, vertreten durch G. Amodeo als
Bevollmächtigte im Beistand von J. Stratford, Barrister,
- der Kommission der Europäischen Gemeinschaften, vertreten durch L. Ström
und X. Lewis als Bevollmächtigte,
aufgrund des Sitzungsberichts,
nach Anhörung der mündlichen Ausführungen von B. Lindqvist, vertreten durch
S. Larsson, der schwedischen Regierung, vertreten durch A. Kruse und B.
Hernqvist als Bevollmächtigte, der niederländischen Regierung, vertreten durch
J. van Bakel als Bevollmächtigte, der Regierung des Vereinigten Königreichs,
vertreten durch J. Stratford, der Kommission, vertreten durch L. Ström und C.
Docksey als Bevollmächtigten, und der EFTA-Überwachungsbehörde, vertreten durch
D. Sif Tynes als Bevollmächtigte, in der Sitzung vom 30. April 2002,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 19.
September 2002
folgendes
Urteil
1.
Das Göta hovrätt hat mit Beschluss vom 23. Februar 2001, beim Gerichtshof
eingegangen am 1. März 2001, gemäß Artikel 234 EG sieben Fragen insbesondere
nach der Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des
Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) zur
Vorabentscheidung vorgelegt.
2
Diese Fragen stellen sich in einem bei diesem Gericht anhängigen
Strafverfahren gegen Frau Lindqvist, die angeklagt ist, gegen die schwedischen
Rechtsvorschriften über den Schutz personenbezogener Daten verstoßen zu haben,
indem sie auf ihrer Website im Internet personenbezogene Daten über eine Reihe
von Personen veröffentlicht habe, die wie sie ehrenamtlich in einer Gemeinde der
protestantischen Kirche von Schweden tätig seien.Rechtlicher Rahmen
Gemeinschaftsrecht
3.
Wie aus ihrem Artikel 1 Absatz 1 hervorgeht, bezweckt die Richtlinie 95/46
den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der
Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
4.
Artikel 3 der Richtlinie 95/46 bestimmt über deren Anwendungsbereich:(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie für die nicht automatisierte
Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder
gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung
personenbezogener Daten,
- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den
Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten
gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf
keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die
Landesverteidigung, die Sicherheit des Staates (einschließlich seines
wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates
berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
- die von einer natürlichen Person zur Ausübung ausschließlich persönlicher
oder familiärer Tätigkeiten vorgenommen wird.
5.
Artikel 8 (Verarbeitung besonderer Kategorien personenbezogener Daten) der
Richtlinie 95/46 sieht vor:(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten,
aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse
oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Fällen keine Anwendung:
a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten
Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats
kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person
nicht aufgehoben werden;
oder
b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für
die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu
tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene
Garantien vorsieht, zulässig ist;
oder
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen
Person oder eines Dritten erforderlich, sofern die Person aus physischen oder
rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben;
oder
d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch
eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete
Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck
verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung,
dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf
Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit
ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen
Personen an Dritte weitergegeben werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person
offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder
Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der
Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung
oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist
und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach
dem einzelstaatlichen Recht, einschließlich der von den zuständigen
einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt,
oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht
unterliegen.
(4) Die Mitgliedstaaten können vorbehaltlich angemessener Garantien aus
Gründen eines wichtigen öffentlichen Interesses entweder im Wege einer
nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle
andere als die in Absatz 2 genannten Ausnahmen vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche
Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter behördlicher
Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien
vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund
innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen,
festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilungen
darf allerdings nur unter behördlicher Aufsicht geführt werden.
Die Mitgliedstaaten können vorsehen, dass Daten, die administrative Strafen
oder zivilrechtliche Urteile betreffen, ebenfalls unter behördlicher Aufsicht
verarbeitet werden müssen.
(6) Die in den Absätzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind
der Kommission mitzuteilen.
(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale
Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer
Verarbeitung sein dürfen.
6.
Artikel 9 (Verarbeitung personenbezogener Daten und Meinungsfreiheit) der
Richtlinie 95/46 bestimmt:
Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die
allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt,
Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI
nur insofern vor, als sich dies als notwendig erweist, um das Recht auf
Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden
Vorschriften in Einklang zu bringen.
7.
Nach Artikel 13 (Ausnahmen und Einschränkungen) der Richtlinie 95/46 können
die Mitgliedstaaten Beschränkungen bestimmter den für die Verarbeitung
Verantwortlichen nach der Richtlinie obliegender Pflichten, insbesondere
hinsichtlich der Information der betreffenden Personen, vorsehen, sofern diese
Beschränkungen beispielsweise für die Sicherheit des Staates, die
Landesverteidigung, die öffentliche Sicherheit, ein wichtiges wirtschaftliches
oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union
oder die Ermittlung und Verfolgung von Straftaten oder Verstößen gegen die
berufsständischen Regeln bei reglementierten Berufen notwendig sind.
8.
Artikel 25 in Kapitel IV (Übermittlung personenbezogener Daten in
Drittländer) der Richtlinie 95/46 lautet:
(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener
Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung
verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der
aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen
Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau
gewährleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird
unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung
oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere
werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten
Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden
Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort
geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die
Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im
Sinne des Absatzes 2 gewährleistet.
(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest,
dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des
vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die
erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das
Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um
Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2
feststellen, dass ein Drittland aufgrund seiner innerstaatlichen
Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere
infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des
Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein
angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.
Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission
gebotenen Maßnahmen.
9.
Beim Erlass der Richtlinie 95/46 ließ das Königreich Schweden folgende
Erklärung zu Artikel 9 der Richtlinie in das Protokoll der Tagung des Rates
(Dokument Nr. 4649/95 des Rates vom 2. Februar 1995) aufnehmen:
Das Königreich Schweden ist der Auffassung, dass sich der Begriff des
künstlerischen und literarischen Schaffens eher auf die Ausdrucksmittel als auf
den Inhalt der Mitteilung oder deren Qualität bezieht.
10.
Die am 4. November 1950 in Rom unterzeichnete Europäische Konvention zum
Schutze der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) sieht in
Artikel 8 das Recht auf Achtung des Privat- und Familienlebens vor und enthält
in Artikel 10 Bestimmungen über die freie Meinungsäußerung.Nationales Recht
11.
Die Richtlinie 95/46 wurde mit dem Personuppgiftslag, SFS 1998, Nr. 204
(schwedisches Gesetz über personenbezogene Daten, im Folgenden: PUL), in
schwedisches Recht umgesetzt.Ausgangsverfahren und Vorlagefragen
12.
Neben ihrer unselbständigen Beschäftigung als Reinigungskraft war Frau
Lindqvist als Katechetin in der Kirchengemeinde Alseda (Schweden) tätig. Sie
besuchte einen Informatikkurs, in dessen Rahmen sie u.a. eine Startseite im
Internet einzurichten hatte. Ende 1998 richtete Frau Lindqvist zu Hause auf
ihrem eigenen Computer Internetseiten ein, um den Konfirmanden ihrer Gemeinde
den Zugang zu Informationen, die sie möglicherweise benötigten, zu erleichtern.
Auf ihren Antrag stellte der Administrator der Website der Kirche von Schweden
eine Verbindung zwischen diesen Seiten und der Website her.
13.
Die fraglichen Internetseiten enthielten Informationen über Frau Lindqvist
und achtzehn ihrer Arbeitskollegen der Gemeinde; dabei wurde entweder der
vollständige Name oder manchmal auch nur der Vorname genannt. Außerdem beschrieb
Frau Lindqvist in leicht humoriger Weise die Tätigkeiten und
Freizeitbeschäftigungen ihrer Kollegen. Bei einigen von ihnen bezeichnete sie
die Familienverhältnisse, nannte die Telefonnummer oder erteilte weitere
Informationen. Bei einer Kollegin wies sie darauf hin, dass sich diese am Fuß
verletzt habe und partiell krankgeschrieben sei.
14.
Frau Lindqvist hatte weder ihre Kollegen vom Bestehen dieser Internetseiten
unterrichtet noch deren Einwilligung eingeholt, noch hatte sie ihr Vorgehen der
Datainspektion (öffentliche Einrichtung zum Schutz von auf elektronischem Wege
übermittelten Daten) gemeldet. Als sie erfuhr, dass die fraglichen Seiten von
einigen ihrer Kollegen missbilligt wurden, entfernte sie sie sofort wieder.
15.
Die Staatsanwaltschaft leitete gegen Frau Lindqvist
Strafverfolgungsmaßnahmen wegen Verstoßes gegen das PUL ein und beantragte ihre
Verurteilung mit der Begründung, sie habe
- personenbezogene Daten in einem automatisierten Verfahren verarbeitet, ohne
dies zuvor der Datainspektion schriftlich gemeldet zu haben (Artikel 36 PUL),
- sensible personenbezogene Daten, nämlich über eine Fußverletzung und eine
Teilkrankschreibung, ohne Genehmigung verarbeitet (Artikel 13 PUL),
- ohne Genehmigung verarbeitete personenbezogene Daten in ein Drittland
übermittelt (Artikel 33 PUL).
16.
Frau Lindqvist räumte den Sachverhalt ein, ließ sich aber dahin gehend ein,
dass sie keine Straftat begangen habe. Nachdem sie vom Eksjö tingsrätt
(Schweden) zur Zahlung einer Geldstrafe verurteilt worden war, legte sie gegen
diese Entscheidung beim vorlegenden Gericht Berufung ein.
17.
Die Geldstrafe belief sich auf 4 000 SEK, wobei der nach den finanziellen
Verhältnissen von Frau Lindqvist ermittelte Betrag von 100 SEK mit dem der
Schwere des Verstoßes entsprechenden Koeffizienten 40 multipliziert wurde.
Außerdem wurde Frau Lindqvist zur Zahlung von 300 SEK an einen schwedischen
Fonds zur Unterstützung von Opfern von Straftaten verurteilt.
18.
Da das Göta hovrätt Zweifel hinsichtlich der Auslegung des auf den
vorliegenden Fall anwendbaren Gemeinschaftsrechts, insbesondere der Richtlinie
95/46, hat, hat es das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen
zur Vorabentscheidung vorgelegt:
1. Fällt die Nennung einer Person (mit Namen oder mit Namen und
Telefonnummer) auf einer Startseite im Internet in den Anwendungsbereich der
Richtlinie 95/46? Liegt eine ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten vor, wenn auf einer persönlich eingerichteten Startseite
im Internet eine Reihe von Personen genannt und Angaben über ihr
Arbeitsverhältnis, ihre Freizeitinteressen u.a. gemacht werden?
2. Wenn die vorstehende Frage zu verneinen ist: Kann die Einrichtung
besonderer Seiten für etwa fünfzehn Personen im Rahmen einer Startseite im
Internet mit Links zwischen den Seiten, die eine namentliche Suche ermöglichen,
als eine nicht automatisierte Verarbeitung personenbezogener Daten, die in
einer Datei gespeichert sind oder gespeichert werden sollen, im Sinne von
Artikel 3 Satz 1 angesehen werden?
Für den Fall, dass eine dieser Fragen zu bejahen ist, stellt das Hovrätt
weiter folgende Fragen:
3. Kann die Eingabe von Daten der genannten Art über Arbeitskollegen auf
einer privaten Startseite, die jedoch für alle, die die Adresse der Seite
kennen, zugänglich ist, aufgrund einer der Ausnahmen des Artikels 3 Absatz 2 der
Richtlinie 95/46 als nicht unter die Richtlinie fallend angesehen werden?
4. Gehört die Angabe auf einer Startseite, dass ein namentlich genannter
Arbeitskollege sich den Fuß verletzt hat und partiell krankgeschrieben ist, zu
den personenbezogenen Daten über die Gesundheit, die nach Artikel 8 Absatz 1
nicht verarbeitet werden dürfen?
5. Die Übermittlung personenbezogener Daten in Drittstaaten ist gemäß der
Richtlinie 95/46 in bestimmten Fällen verboten. Liegt eine Übermittlung von
Daten in Drittstaaten im Sinne dieser Richtlinie vor, wenn jemand in Schweden
mit Hilfe eines Rechners personenbezogene Daten auf einer Startseite, die auf
einem Server in Schweden gespeichert ist, veröffentlicht, wodurch diese Daten
Personen in Drittländern zugänglich werden? Wäre diese Frage genauso zu
beantworten, wenn, soweit bekannt, niemand in einem Drittland tatsächlich
Kenntnis von den Daten erlangt hat oder wenn sich der betreffende Server rein
räumlich in einem Drittland befindet?
6. Stellen die Bestimmungen der Richtlinie 95/46 in einem Fall wie dem
vorliegenden Beschränkungen dar, die im Widerspruch zu den allgemeinen
Grundsätzen im Bereich der Meinungsfreiheit oder zu anderen Freiheiten und
Rechten stehen, die innerhalb der Europäischen Union gelten und u.a. eine
Entsprechung in Artikel 10 der Europäischen Konvention zum Schutze der
Menschenrechte und Grundfreiheiten haben?
Schließlich legt das Hovrätt folgende Frage vor:
7. Kann ein Mitgliedstaat unter den in den vorstehenden Fragen geschilderten
Umständen einen weiter gehenden Schutz für personenbezogene Daten vorsehen oder
den Anwendungsbereich der Richtlinie 95/46 erweitern, auch wenn keine der
Voraussetzungen des Artikels 13 vorliegt?
Zur ersten Frage
19.
Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob die
Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen
hinzuweisen und sie entweder durch ihren Namen oder auf andere Weise, etwa durch
Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis
oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise
automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3
Absatz 1 der Richtlinie 95/46 darstellt.Beim Gerichtshof eingereichte Erklärungen
20.
Nach Ansicht von Frau Lindqvist ist die Annahme abwegig, dass die bloße
namentliche Nennung einer Person oder die bloße Angabe personenbezogener Daten
in einem auf einer Internetseite enthaltenen Text eine automatisierte
Verarbeitung von Daten darstelle. Dagegen könne die Aufnahme solcher Daten als
Stichwörter in die meta tags einer Internetseite, die es ermögliche, eine
Indexierung vorzunehmen und diese Seite durch eine Suchmaschine aufzufinden,
eine solche Verarbeitung darstellen.
21.
Die schwedische Regierung vertritt die Ansicht, der Begriff Verarbeitung
ganz oder teilweise automatisierter personenbezogener Daten, der auf den Artikel
3 Absatz 1 der Richtlinie 95/46 abstelle, umfasse alle elektronischen
Datenverarbeitungen, d.h. Verarbeitungen von Binärdateien. Sobald also
personenbezogene Daten mit einem Rechner, sei es mittels eines
Textverarbeitungsprogramms oder etwa zur Aufnahme in eine Internetseite,
verarbeitet würden, seien sie Gegenstand einer von der Richtlinie 95/46
erfassten Verarbeitung.
22.
Die niederländische Regierung macht geltend, die Aufnahme personenbezogener
Daten in eine Internetseite erfolge mit Hilfe eines Rechners und eines Servers,
was ein wesentliches Merkmal der Automatisierung darstelle, so dass von einer
automatisierten Verarbeitung dieser Daten auszugehen sei.
23.
Die Kommission führt aus, die Richtlinie 95/46 sei unabhängig von den
verwendeten technischen Mitteln auf jede Verarbeitung personenbezogener Daten
anwendbar, auf die sich ihr Artikel 3 beziehe. Die Bereitstellung
personenbezogener Daten im Internet stelle daher eine ganz oder teilweise
automatisierte Verarbeitung dar, sofern die Verarbeitung nicht aus technischen
Gründen auf einen lediglich manuellen Vorgang beschränkt sei. Schon ihrer Natur
nach falle eine Internetseite daher in den Anwendungsbereich der Richtlinie
95/46.Antwort des Gerichtshofes
24.
Der in Artikel 3 Absatz 1 der Richtlinie 95/46 verwendete Begriff
personenbezogene Daten bezieht sich nach der Definition ihres Artikels 2
Buchstabe a auf alle Informationen über eine bestimmte oder bestimmbare
natürliche Person. Dieser Ausdruck erfasst eindeutig die Nennung des Namens
einer Person in Verbindung mit deren Telefonnummern oder mit Informationen über
ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen.
25.
Der in Artikel 3 Absatz 1 der Richtlinie 95/46 verwendete Begriff
Verarbeitung personenbezogener Daten umfasst nach der Definition in Artikel 3
Buchstabe b jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
Diese Bestimmung führt mehrere Beispiele für solche Vorgänge an, darunter die
Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der
Bereitstellung von Daten. Der Vorgang, der darin besteht, personenbezogene Daten
auf eine Internetseite zu stellen, ist somit als eine solche Verarbeitung
anzusehen.26.
Zu bestimmen bleibt noch, ob diese Verarbeitung ganz oder teilweise
automatisiert ist. Hierzu ist festzustellen, dass es zur Wiedergabe von
Informationen auf einer Internetseite nach den gegenwärtig angewandten
technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server
sowie der erforderlichen Vorgänge bedarf, um diese Seite den mit dem Internet
verbundenen Personen zugänglich zu machen. Diese Vorgänge erfolgen zumindest
teilweise in automatisierter Form.27.
Mithin ist auf die erste Frage zu antworten, dass die Handlung, die darin
besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese
entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer
Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre
Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise
automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3
Absatz 1 der Richtlinie 95/46 darstellt.Zur zweiten Frage
28.
Da die erste Frage bejaht worden ist, ist die zweite Frage, die nur für den
Fall einer Verneinung der ersten Frage vorgelegt worden ist, nicht zu
beantworten.Zur dritten Frage
29.
Mit seiner dritten Frage möchte das nationale Gericht wissen, ob eine
Verarbeitung personenbezogener Daten wie die, auf die sich die erste Frage
bezieht, unter eine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten
Ausnahmen fällt.Beim Gerichtshof eingereichte Erklärungen
30.
Frau Lindqvist trägt vor, eine Privatperson, die von ihrer Meinungsfreiheit
Gebrauch mache und im Rahmen einer nicht auf Gewinnerzielung gerichteten
Tätigkeit oder als Freizeitbeschäftigung Internetseiten einrichte, übe keine
wirtschaftliche Tätigkeit aus und sei somit der Anwendung des
Gemeinschaftsrechts entzogen. Wenn der Gerichtshof gegenteiliger Auffassung sein
sollte, würde sich die Frage nach der Gültigkeit der Richtlinie 95/46 stellen,
da dann der Gemeinschaftsgesetzgeber mit deren Erlass über die ihm in Artikel
100a EG-Vertrag (nach Änderung jetzt Artikel 95 EG) verliehenen Befugnisse
hinausgegangen wäre. Die Rechtsangleichung, die auf die Errichtung und das
Funktionieren des Binnenmarktes gerichtet sei, könne nämlich nicht als
Rechtsgrundlage für Maßnahmen der Gemeinschaft dienen, die das Recht von
Privatpersonen auf freie Meinungsäußerung im Internet regelten.31.
Die schwedische Regierung macht geltend, bei der Umsetzung der Richtlinie
95/46 in innerstaatliches Recht sei der schwedische Gesetzgeber davon
ausgegangen, dass die Verarbeitung personenbezogener Daten durch eine natürliche
Person dergestalt, dass diese Daten, z.B. über das Internet, an eine unbestimmte
Zahl von Empfängern übermittelt würden, nicht als Ausübung ausschließlich
persönlicher oder familiärer Tätigkeiten im Sinne von Artikel 3 Absatz 2 zweiter
Gedankenstrich der Richtlinie 95/46 angesehen werden könne. Es sei jedoch nicht
auszuschließen, dass die Ausnahme des Artikels 3 Absatz 2 erster Gedankenstrich
den Fall betreffe, dass eine natürliche Person allein im Rahmen ihrer
Meinungsfreiheit und ohne Bezug zu irgend einer beruflichen oder kommerziellen
Tätigkeit personenbezogene Daten auf einer Internetseite veröffentliche.32.
Nach Ansicht der niederländischen Regierung fällt eine automatisierte
Verarbeitung von Daten wie die, um die es im Ausgangsverfahren geht, unter keine
der Ausnahmen des Artikels 3 Absatz 2 der Richtlinie 95/46. Soweit es speziell
um die Ausnahme des zweiten Gedankenstrichs dieser Bestimmung gehe, bringe der
Einrichter einer Internetseite die darin aufgenommenen Daten einer grundsätzlich
unbestimmten Gruppe von Personen zur Kenntnis.33.
Nach Auffassung der Kommission kann nicht davon ausgegangen werden, dass
eine Internetseite wie die im Ausgangsverfahren fragliche dem Anwendungsbereich
der Richtlinie 95/46 nach deren Artikel 3 Absatz 2 entzogen sei; angesichts
ihres Zweckes stelle sie vielmehr eine künstlerische und literarische Schöpfung
im Sinne von Artikel 9 der Richtlinie 95/46 dar.34.
Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 lasse zwei
verschiedene Auslegungen zu. Nach der einen Auslegung werde der
Anwendungsbereich dieser Bestimmung auf die beispielhaft genannten Bereiche,
nämlich Tätigkeiten, die im Wesentlichen zur so genannten ersten Säule und zur
so genannten zweiten Säule gehörten, beschränkt. Nach der anderen sei die
Ausübung aller nicht vom Gemeinschaftsrecht erfassten Tätigkeiten dem
Anwendungsbereich der Richtlinie 95/46 entzogen.35.
Das Gemeinschaftsrecht gelte nicht nur für wirtschaftliche Tätigkeiten, die
mit den vier Grundfreiheiten in Zusammenhang stünden.Aus der Rechtsgrundlage
der Richtlinie 95/46, deren Zweck, Artikel 6 EU, der am 18. Dezember 2000 in
Nizza proklamierten Charta der Grundrechte der Europäischen Union (ABl. C 364,
S. 1) und dem Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des
Menschen bei der automatischen Verarbeitung personenbezogener Daten sei zu
schließen, dass diese Richtlinie bezwecke, den freien Verkehr personenbezogener
Daten als Ausdruck nicht nur einer wirtschaftlichen, sondern auch einer sozialen
Tätigkeit im Rahmen der Integration und des Funktionierens des Binnenmarktes zu
regeln.36.
Zudem könnte ein allgemeiner Ausschluss von Internetseiten, die keine
kommerziellen oder dienstleistungsbezogenen Elemente enthielten, vom
Anwendungsbereich der Richtlinie 95/46 zu schwerwiegenden Abgrenzungsproblemen
führen. Dann könnten nämlich viele personenbezogene Daten enthaltende
Internetseiten, die darauf gerichtet seien, bestimmte Personen zu bestimmten
Zwecken zu stigmatisieren, vom Anwendungsbereich dieser Richtlinie
ausgeschlossen sein.Antwort des Gerichtshofes
37.
Artikel 3 Absatz 2 der Richtlinie 95/46 sieht zwei Ausnahmen von deren
Anwendungsbereich vor.38.
Die erste Ausnahme betrifft die Verarbeitung personenbezogener Daten, die
für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des
Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI
des Vertrags über die Europäische Union, und jedenfalls Verarbeitungen
betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit
des Staates (einschließlich seines wirtschaftlichen Wohls, wenn diese
Verarbeitungen die Sicherheit des Staates berühren) und die Tätigkeiten des
Staates im strafrechtlichen Bereich.39.
Da die Tätigkeiten von Frau Lindqvist, um die es im Ausgangsverfahren geht,
im Wesentlichen nicht wirtschaftlicher, sondern ehrenamtlicher und
religionsgemeinschaftlicher Natur sind, ist zu prüfen, ob sie die Verarbeitung
personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht
in den Anwendungsbereich des Gemeinschaftsrechts fallen, im Sinne von Artikel 3
Absatz 2 erster Gedankenstrich der Richtlinie 95/46 darstellen.40.
Zu der auf Artikel 100a EG-Vertrag gestützten Richtlinie 95/46 hat der
Gerichtshof bereits festgestellt, dass die Heranziehung von Artikel 100a
EG-Vertrag als Rechtsgrundlage nicht voraussetzt, dass in jedem Einzelfall, der
von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird,
tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten
besteht (vgl. Urteil vom 20. Mai 2003 in den Rechtssachen C-465/00, C-138/01 und
C-139/01, Österreichischer Rundfunk u.a., Slg. 2003, I-0000, Randnr. 41 und die
dort angeführte Rechtsprechung).41.
Die gegenteilige Auslegung würde nämlich dazu führen, dass die Abgrenzung
des Anwendungsbereichs der Richtlinie 95/46 ungewiss wäre und von Zufälligkeiten
abhinge, was ihrem Hauptzweck zuwiderliefe, die Rechts- und
Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen, um
Hindernisse für das Funktionieren des Binnenmarktes zu beseitigen, die sich
gerade aus den Unterschieden zwischen den nationalen Regelungen ergeben (Urteil
Österreichischer Rundfunk u.a., Randnr. 42).42.
Unter diesen Umständen wäre es unangebracht, den Ausdruck Tätigkeiten, die
nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen dahin auszulegen,
dass in jedem Einzelfall geprüft werden müsste, ob die betreffende konkrete
Tätigkeit den freien Verkehr zwischen Mitgliedstaaten unmittelbar
beeinträchtigt.43.
Die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46
beispielhaft aufgeführten Tätigkeiten (nämlich solche nach den Titeln V und VI
des Vertrags über die Europäische Union sowie Verarbeitungen betreffend die
öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und
die Tätigkeiten des Staates im strafrechtlichen Bereich) sind jedenfalls
spezifische Tätigkeiten der Staaten oder der staatlichen Stellen und haben mit
den Tätigkeitsbereichen von Einzelpersonen nichts zu tun.44.
Daher ist davon auszugehen, dass die in Artikel 3 Absatz 2 erster
Gedankenstrich der Richtlinie 95/46 als Beispiele aufgeführten Tätigkeiten dazu
dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen,
so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt
sind oder derselben Kategorie zugeordnet werden können (ejusdem generis).45.
Ehrenamtliche oder religionsgemeinschaftliche Tätigkeiten, wie sie von Frau
Lindqvist ausgeübt werden, sind jedoch den in Artikel 3 Absatz 2 erster
Gedankenstrich der Richtlinie 95/46 genannten Tätigkeiten nicht gleichzustellen
und werden daher von dieser Ausnahme nicht erfasst.46.
Als Beispiele für die in Artikel 3 Absatz 2 zweiter Gedankenstrich der
Richtlinie 95/46 geregelte Ausnahme werden in der zwölften Begründungserwägung
dieser Richtlinie die Datenverarbeitung, die von einer natürlichen Person in
Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen
wird, sowie der Schriftverkehr und die Führung von Anschriftenverzeichnissen
genannt.47.
Diese Ausnahme ist somit dahin auszulegen, dass mit ihr nur Tätigkeiten
gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören, was
offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten,
die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer
unbegrenzte Zahl von Personen gemacht werden.48.
Daher ist auf die dritte Frage zu antworten, dass eine Verarbeitung
personenbezogener Daten wie die in der Antwort auf die erste Frage angeführte
unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen
fällt.Zur vierten Frage
49.
Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob die
Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben
ist, zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8
Absatz 1 der Richtlinie 95/46 gehört.50.
Angesichts des Zweckes der Richtlinie 95/46 ist der in ihrem Artikel 8
Absatz 1 verwendete Begriff Daten über Gesundheit in dem Sinne weit auszulegen,
dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person
unter allen Aspekten - körperlichen wie psychischen - betreffen.51.
Mithin ist auf die vierte Frage zu antworten, dass die Angabe, dass sich
eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den
personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der
Richtlinie 95/46 gehört.Zur fünften Frage
52.
Mit der fünften Frage des vorlegenden Gerichts soll geklärt werden, ob eine
Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie
95/46 vorliegt, wenn eine Person, die sich in einem Mitgliedstaat befindet, in
eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat
ansässigen natürlichen oder juristischen Person gespeichert ist, die die Website
unterhält, auf der diese Seite abgerufen werden kann (im Folgenden:
Host-Service-Provider), personenbezogene Daten aufnimmt und sie damit jeder
Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in
Drittländern, zugänglich macht. Das vorlegende Gericht fragt weiter, ob die
Frage genauso zu beantworten wäre, wenn sich zeigt, dass tatsächlich kein
Angehöriger eines Drittlands von diesen Daten Kenntnis erlangt hat oder dass
sich der Server, auf dem die Seite gespeichert ist, rein räumlich in einem
Drittland befindet.Beim Gerichtshof eingereichte Erklärungen
53.
Die Kommission und die schwedische Regierung vertreten die Auffassung, die
Aufnahme personenbezogener Daten in eine Internetseite mittels eines Rechners
dergestalt, dass diese Daten Angehörigen von Drittländern zugänglich gemacht
würden, stelle eine Übermittlung von Daten in Drittländer im Sinne der
Richtlinie 95/46 dar. Die Antwort sei die gleiche, wenn kein Angehöriger eines
Drittlands von diesen Daten tatsächlich Kenntnis erlange oder wenn sich der
Server, auf dem sie gespeichert seien, rein räumlich in einem Drittland befinde.
54.
Die niederländische Regierung weist darauf hin, dass der Begriff
Übermittlung in der Richtlinie 95/46 nicht definiert sei. Zum einen sei dieser
Begriff dahin auszulegen, dass er sich auf eine Handlung beziehe, mit der
bewusst personenbezogene Daten vom Gebiet eines Mitgliedstaats in ein Drittland
übermittelt werden sollten; zum anderen sei es nicht möglich, zwischen den
einzelnen Formen zu unterscheiden, in denen die Daten Dritten zugänglich gemacht
würden. Infolgedessen könne die Aufnahme personenbezogener Daten in eine
Internetseite mittels eines Rechners nicht als Übermittlung personenbezogener
Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 angesehen
werden.55.
Die Regierung des Vereinigten Königreich macht geltend, Artikel 25 der
Richtlinie 95/46 beziehe sich auf die Übermittlung von Daten in ein Drittland
und nicht auf die Frage, inwieweit aus diesen Ländern Zugang zu diesen Daten
bestehe. Der Begriff Übermittlung setze voraus, dass Daten durch eine an einem
bestimmten Ort befindliche Person an eine an einem anderen Ort befindliche
dritte Person übermittelt würden. Nur für den Fall einer solchen Übermittlung
schreibe Artikel 25 der Richtlinie 95/46 den Mitgliedstaaten vor, für einen
angemessenen Schutz der personenbezogenen Daten in einem Drittland zu sorgen.Antwort des Gerichtshofes
56.
Die Richtlinie 95/46 definiert den Begriff Übermittlung in ein Drittland
weder in Artikel 25 noch in irgendeiner anderen Bestimmung, insbesondere auch
nicht in Artikel 2.57.
Bei der Prüfung der Frage, ob die Aufnahme personenbezogener Daten in eine
Internetseite schon deshalb eine Übermittlung dieser Daten in ein Drittland im
Sinne von Artikel 25 der Richtlinie 95/46 darstellt, weil die Daten durch diese
Aufnahme den in diesem Drittland befindlichen Personen zugänglich gemacht
werden, sind zum einen die technische Seite der damit verbundenen Vorgänge und
zum anderen der Zweck und die Systematik von Kapitel IV der Richtlinie 95/46, in
dem Artikel 25 steht, zu berücksichtigen.58.
Die im Internet zu findenden Informationen können fast jederzeit von einer
unbestimmten Zahl von Personen von den verschiedensten Orten aus abgerufen
werden. Die umfassende Abrufbarkeit dieser Informationen folgt insbesondere
daraus, dass die beim Internet verwendeten technischen Mittel verhältnismäßig
einfach und immer weniger kostspielig sind.59.
Nach den Modalitäten für die Benutzung des Internets, wie sie in den 1990er
Jahren für Einzelpersonen wie Frau Lindqvist verfügbar geworden sind,
übermittelt der Urheber einer für die Veröffentlichung im Internet bestimmten
Seite die für diese Seite konstitutiven Daten seinem Host-Service-Provider.
Dieser verwaltet die EDV-Infrastruktur, die zur Speicherung dieser Daten und für
die Verbindung mit dem Server, auf dem die Internetseite untergebracht ist,
notwendig ist. Dies ermöglicht die spätere Übermittlung dieser Daten an jede mit
dem Internet verbundene Person, die sie erhalten möchte. Die Rechner, die diese
EDV-Infrastruktur bilden, können sich in einem oder mehreren anderen Ländern als
dem der Niederlassung des Host-Service-Providers befinden - was oft der Fall ist
-, ohne dass dessen Kunden hiervon Kenntnis haben oder normalerweise Kenntnis
nehmen können.60.
Aus den Akten geht hervor, dass ein Internetbenutzer zum Erhalt der
Informationen auf den Internetseiten, in die Frau Lindqvist Daten über ihre
Kollegen aufgenommen hatte, nicht nur eine Verbindung zum Internet herstellen,
sondern auch - eigenhändig - die notwendigen Schritte zum Einsehen dieser Seiten
unternehmen musste. Die Internetseiten von Frau Lindqvist enthielten, anders
gesagt, nicht die technischen Mechanismen, die einen automatischen Versand
dieser Informationen an Personen ermöglicht hätten, die diese Seiten nicht
bewusst aufgesucht hatten.61.
Daraus folgt, dass unter Umständen wie denen des Ausgangsverfahrens die
personenbezogenen Daten, die von einer Person aus, die sie auf eine Website
hochgeladen hat, in den Rechner einer sich in einem Drittland befindenden Person
gelangen, nicht zwischen diesen beiden Personen unmittelbar, sondern über die
EDV-Infrastruktur des Host-Service-Providers, auf der die Seite gespeichert ist,
übermittelt worden sind.62.
Dies ist der Kontext, in dem zu prüfen ist, ob der Gemeinschaftsgesetzgeber
im Hinblick auf die Anwendung von Kapitel IV der Richtlinie 95/46 unter den
Begriff Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 dieser
Richtlinie auch Vorgänge fassen wollte, wie sie von Frau Lindqvist ausgeführt
worden sind. Zu beachten ist, dass die fünfte Frage des vorliegenden Gerichts
nur diese und nicht jene Vorgänge betrifft, die von den Host-Service-Providern
ausgeführt werden.63.
Kapitel IV der Richtlinie 95/46, in dem Artikel 25 steht, sieht eine
Sonderregelung vor, die besondere Bestimmungen für die von den Mitgliedstaaten
vorzunehmende Kontrolle der Übermittlung personenbezogener Daten in Drittländer
enthält. Mit diesem Kapitel ist eine Regelung eingeführt worden, die die
allgemeine Regelung von Kapitel II der Richtlinie 95/46, die die Rechtmäßigkeit
der Verarbeitung personenbezogener Daten betrifft, ergänzt.64.
Der Zweck des Kapitels IV wird in den Begründungserwägungen 56 bis 60 der
Richtlinie 95/46 dargelegt; darin heißt es u.a., dass der in der Gemeinschaft
durch diese Richtlinie garantierte Schutz von Personen der Übermittlung
personenbezogener Daten in Drittländer, die ein angemessenes Schutzniveau
aufweisen, zwar nicht entgegensteht, dass jedoch die Angemessenheit dieses
Schutzniveaus unter Berücksichtigung aller Umstände hinsichtlich einer
Übermittlung oder einer Kategorie von Übermittlungen zu beurteilen ist. Bietet
ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung
personenbezogener Daten in dieses Land zu untersagen.65.
Artikel 25 der Richtlinie 95/46 erlegt den Mitgliedstaaten und der
Kommission eine Reihe von Verpflichtungen zur Kontrolle der Übermittlung
personenbezogener Daten in Drittländer unter Berücksichtigung des in jedem
dieser Länder für diese Daten bestehenden Schutzniveaus auf.66.
Artikel 25 Absatz 4 der Richtlinie 95/46 sieht vor, dass die Mitgliedstaaten
dann, wenn die Kommission feststellt, dass ein Drittland kein angemessenes
Schutzniveau aufweist, die erforderlichen Maßnahmen treffen, damit keine
Übermittlung personenbezogener Daten in das betreffende Drittland erfolgt.
67.
Kapitel IV der Richtlinie 95/46 enthält keine Bestimmung über die Benutzung
des Internets. So führt es auch keine Kriterien für die Klärung der Frage an, ob
für die unter Vermittlung von Host-Service-Providern ausgeführten Vorgänge auf
den Ort der Niederlassung oder des beruflichen Sitzes des Providers oder aber
auf den oder die Orte abzustellen ist, an denen sich die Rechner befinden, die
die EDV-Infrastruktur des Providers ausmachen.68.
Angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung
der Richtlinie 95/46 und des Fehlens von Kriterien für die Internetbenutzung in
Kapitel IV dieser Richtlinie kann nicht angenommen werden, dass der
Gemeinschaftsgesetzgeber unter den Begriff Übermittlung von Daten in ein
Drittland im Vorgriff auch den Vorgang fassen wollte, dass eine Person in der
Lage von Frau Lindqvist Daten in eine Internetseite aufnimmt, auch wenn diese
Daten dadurch Personen aus Drittländern zugänglich gemacht werden, die über die
technischen Mittel für diesen Zugang verfügen.69.
Würde Artikel 25 der Richtlinie 95/46 dahin ausgelegt, dass immer dann, wenn
personenbezogene Daten auf eine Internetseite hochgeladen werden, eine
Übermittlung von Daten in ein Drittland vorliegt, so wäre diese Übermittlung
notwendig eine solche in alle Drittländer, in denen die für einen Zugang zum
Internet notwendigen technischen Mittel vorliegen. Damit würde die in Kapitel IV
der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen
Regelung für Vorgänge im Rahmen des Internets werden. Sobald die Kommission nach
Artikel 25 Absatz 4 der Richtlinie 95/46 feststellen würde, dass auch nur ein
Land kein angemessenes Schutzniveau aufweist, wären die Mitgliedstaaten nämlich
verpflichtet, jede Aufnahme personenbezogener Daten in das Internet zu
unterbinden.70.
Deshalb ist Artikel 25 der Richtlinie 95/46 dahin auszulegen, dass Vorgänge,
wie sie von Frau Lindqvist ausgeführt worden sind, als solche keine Übermittlung
von Daten in ein Drittland darstellen. Daher braucht nicht untersucht zu werden,
ob eine Person aus einem Drittland zu der betreffenden Internetseite Zugang
hatte oder ob sich der Server des betreffenden Providers in einem Drittland
befindet.71.
Somit ist auf die fünfte Frage zu antworten, dass keine Übermittlung von
Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vorliegt,
wenn eine sich in einem Mitgliedstaat aufhaltende Personen in eine
Internetseite, die bei ihrem in demselben oder einem anderen Mitgliedstaat
ansässigen Host-Service-Provider gespeichert ist, personenbezogene Daten
aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet
herstellt, einschließlich Personen in Drittländern, zugänglich macht.Zur sechsten Frage
72.
Mit seiner sechsten Frage möchte das vorlegende Gericht wissen, ob die
Bestimmungen der Richtlinie 95/46 für einen Fall wie den vorliegenden eine
Beschränkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der
Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden
Rechten und Freiheiten steht, die u.a. dem Recht aus Artikel 10 EMRK
entsprechen.Beim Gerichtshof eingereichte Erklärungen
73.
Frau Lindqvist macht u.a. unter Hinweis auf das Urteil vom 6. März 2001 in
der Rechtssache C-274/99 P (Connolly/Kommission, Slg. 2001, I-1611) geltend, die
Richtlinie 95/46 und das PUL verstießen gegen den im Gemeinschaftsrecht
anerkannten allgemeinen Grundsatz der Meinungsfreiheit, soweit sie
Voraussetzungen einer vorherigen Einwilligung und einer vorherigen Mitteilung an
eine Kontrollbehörde sowie ein generelles Verbot der Verarbeitung sensibler
personenbezogener Daten einführten. Insbesondere genüge das Tatbestandsmerkmal
ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten nicht
den Kriterien der Vorhersehbarkeit und Genauigkeit.74.
Außerdem könne der bloße Umstand, dass eine natürliche Person namentlich
genannt werde, dass ihre Telefonnummern und Arbeitsbedingungen bekannt gegeben
und dass Informationen über ihren Gesundheitszustand und ihre
Freizeitbeschäftigungen gegeben würden, Informationen, die öffentlich
zugänglich, allgemein bekannt gegeben oder banal seien, keinen schweren Verstoß
gegen das Recht auf Achtung der Privatsphäre begründen. Jedenfalls seien die mit
der Richtlinie 95/46 auferlegten Beschränkungen angesichts des angestrebten
Zweckes, das Ansehen und die Privatsphäre anderer zu schützen,
unverhältnismäßig.75.
Die schwedische Regierung vertritt die Ansicht, die Richtlinie 95/46
ermögliche es, die betroffenen Interessen gegeneinander abzuwägen und damit die
Meinungsfreiheit und den Schutz der Privatsphäre zu wahren. Zudem seien nur die
nationalen Gerichte unter Berücksichtigung der Umstände jedes Einzelfalls in der
Lage, die Angemessenheit der mit der Anwendung von Vorschriften zur Wahrung der
Rechte anderer verbundenen Beschränkung der Ausübung des Rechts auf
Meinungsfreiheit zu beurteilen.76.
Die niederländische Regierung weist darauf hin, dass sowohl die
Meinungsfreiheit als auch das Recht auf Wahrung der Privatsphäre zu den
allgemeinen Rechtsgrundsätzen gehörten, deren Wahrung der Gerichtshof
sicherstelle, und dass die EMRK keine Hierarchie zwischen den verschiedenen
Grundrechten aufstelle. Daher müsse sich das nationale Gericht bemühen, die
verschiedenen betroffenen Grundrechte unter Berücksichtigung der Umstände des
Einzelfalls miteinander in Einklang zu bringen.77.
Die Regierung des Vereinigten Königreichs führt aus, ihr in Randnummer 55
dieses Urteils dargelegter Vorschlag einer Antwort auf die fünfte Frage stehe
mit den Grundrechten in vollem Einklang und ermögliche es, einen
unverhältnismäßigen Eingriff in die Meinungsfreiheit zu verhindern. Auch wäre
eine Auslegung, die dahin ginge, dass die Bekanntgabe personenbezogener Daten in
einer bestimmten Form, nämlich auf einer Internetseite, viel strengeren
Beschränkungen unterliege als eine Bekanntgabe in anderer Form, wie etwa auf
Papier, kaum zu rechtfertigen.78.
Auch die Kommission meint, dass die Richtlinie 95/46 nicht zu einer
Beschränkung führe, die gegen den allgemeinen Grundsatz der Meinungsfreiheit
oder andere in der Europäischen Union geltende Rechte und Freiheiten, die
namentlich dem in Artikel 10 EMRK normierten Recht entsprächen, verstoße.Antwort des Gerichtshofes
79.
Der siebten Begründungserwägung der Richtlinie 95/46 zufolge können die
Errichtung und das Funktionieren des Binnenmarktes durch die in den nationalen
Regelungen über die Verarbeitung personenbezogener Daten bestehenden
Unterschiede in schwerwiegender Weise beeinträchtigt werden. Nach der dritten
Begründungserwägung der Richtlinie 95/46 muss die Harmonisierung dieser
nationalen Regelungen nicht nur auf den freien Verkehr dieser Daten zwischen
Mitgliedstaaten, sondern auch auf die Wahrung der Grundrechte der Personen
abzielen. Diese Ziele können offenkundig miteinander in Konflikt geraten.80.
Einerseits wird die wirtschaftliche und soziale Integration, die sich aus
der Errichtung und dem Funktionieren des Binnenmarktes ergibt, notwendig zu
einer spürbaren Zunahme der Ströme personenbezogener Daten zwischen allen am
wirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten führen,
unabhängig davon, ob es sich dabei um Unternehmen oder um Verwaltungen der
Mitgliedstaaten handelt. Diese Beteiligten müssen in gewissem Umfang über
personenbezogene Daten verfügen können, um in dem Raum ohne Grenzen, den der
Binnenmarkt bildet, ihre Geschäfte tätigen oder ihre Aufgabe erfüllen zu können.
81.
Andererseits verlangen die von der Verarbeitung personenbezogener Daten
betroffenen Personen zu Recht, dass diese Daten wirksam geschützt werden.82.
Die Mechanismen, die eine Abwägung der verschiedenen Rechte und Interessen
ermöglichen, sind zum einen in der Richtlinie 95/46 selbst festgelegt, soweit
diese Vorschriften enthält, die bestimmen, in welchen Situationen und in welchem
Umfang die Verarbeitung personenbezogener Daten rechtmäßig ist und welche
Schutzvorkehrungen vorzusehen sind. Zum anderen resultieren sie aus dem Erlass
nationaler Regelungen zur Umsetzung dieser Richtlinie durch die Mitgliedstaaten
sowie aus der möglichen Anwendung dieser Regelungen durch die nationalen
Behörden.83.
Was die Richtlinie 95/46 selbst betrifft, so sind deren Bestimmungen
notwendig verhältnismäßig allgemein gehalten, da sie auf viele ganz
unterschiedliche Situationen Anwendung finden soll. Zu Recht enthält diese
Richtlinie daher entgegen der Auffassung von Frau Lindqvist Vorschriften, die
durch eine gewisse Flexibilität gekennzeichnet sind, und überlässt es in vielen
Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu
wählen.84.
Zwar verfügen die Mitgliedstaaten zur Umsetzung der Richtlinie 95/46 in
vielerlei Hinsicht über einen Handlungsspielraum. Dennoch lässt nichts die
Annahme zu, dass es der in ihr vorgesehenen Regelung an Vorhersehbarkeit mangelt
oder dass ihre Bestimmungen als solche gegen die allgemeinen Grundsätze des
Gemeinschaftsrechts, insbesondere die durch die Gemeinschaftsrechtsordnung
geschützten Grundrechte, verstoßen.85.
Daher muss ein angemessenes Gleichgewicht zwischen den genannten Rechten und
Interessen eher auf nationaler Ebene im Stadium der Anwendung der die Richtlinie
95/46 umsetzenden Regelung auf konkrete Fälle gefunden werden.86.
In diesem Zusammenhang kommt den Grundrechten besondere Bedeutung zu, wie
das Ausgangsverfahren zeigt, in dem es im Kern darum geht, die Meinungsfreiheit
von Frau Lindqvist im Rahmen ihrer Arbeit als Katechetin und die Freiheit,
Tätigkeiten auszuüben, die zum religiösen Leben beitragen, gegen den Schutz der
Privatsphäre der Personen abzuwägen, über die Frau Lindqvist Daten auf ihre
Website gestellt hat.87.
Demgemäß haben die Behörden und Gerichte der Mitgliedstaaten nicht nur ihr
nationales Recht im Einklang mit der Richtlinie 95/46 auszulegen, sondern auch
darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie
stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten
Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts,
wie dem Grundsatz der Verhältnismäßigkeit, kollidiert.88.
Zwar erfordert der Schutz der Privatsphäre die Anwendung wirksamer
Sanktionen gegen Personen, die personenbezogene Daten in mit der Richtlinie
95/46 nicht vereinbarer Weise verarbeiten, doch müssen solche Sanktionen stets
den Grundsatz der Verhältnismäßigkeit wahren. Das gilt umso mehr, als der
Anwendungsbereich der Richtlinie 95/46 sehr weit ist und die den Personen, die
personenbezogene Daten verarbeiten, obliegenden Verpflichtungen zahlreich und
weitgehend sind.89.
Nach dem Grundsatz der Verhältnismäßigkeit hat das vorlegende Gericht alle
Umstände der Rechtssache, mit der es befasst ist, insbesondere die Dauer der
Zuwiderhandlung gegen die die Richtlinie 95/46 durchführenden Vorschriften und
die Bedeutung, die der Schutz der verbreiteten Daten für die Betroffenen hat, zu
berücksichtigen.90.
Demgemäß ist auf die sechste Frage zu antworten, dass die Bestimmungen der
Richtlinie 95/46 als solche keine Beschränkung enthalten, die im Widerspruch zum
allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der
Europäischen Union geltenden Rechten und Freiheiten steht, die u.a. dem Recht
aus Artikel 10 EMRK entsprechen. Es ist Sache der nationalen Behörden und
Gerichte, die für die Anwendung der die Richtlinie 95/46 umsetzenden nationalen
Regelung zuständig sind, ein angemessenes Gleichgewicht zwischen den betroffenen
Rechten und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung
geschützten Grundrechte sicherzustellen.Zur siebten Frage
91.
Mit seiner siebten Frage möchte das vorlegende Gericht wissen, ob es den
Mitgliedstaaten freisteht, einen weiter gehenden Schutz für personenbezogene
Daten oder einen weiteren Anwendungsbereich als nach der Richtlinie 95/46
vorzusehen.Beim Gerichtshof eingereichte Erklärungen
92.
Die schwedische Regierung vertritt die Auffassung, die Richtlinie 95/46 lege
nicht nur Mindestanforderungen an den Schutz personenbezogener Daten fest.
Vielmehr seien die Mitgliedstaaten bei der Umsetzung der Richtlinie zur
Verwirklichung des durch diese vorgegebenen Schutzniveaus verpflichtet, so dass
sie keinen stärkeren oder schwächeren Schutz vorsehen dürften. Zu beachten sei
jedoch der den Mitgliedstaaten im Rahmen dieser Umsetzung eingeräumte
Ermessensspielraum im Hinblick auf die genaue Festlegung der allgemeinen
Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig
sei, im innerstaatlichen Recht.93.
Nach Ansicht der niederländischen Regierung verbietet es die Richtlinie
95/46 den Mitgliedstaaten nicht, in bestimmten Bereichen einen stärkeren Schutz
vorzusehen. Aus den Artikeln 10, 11 Absatz 1, 14 Absatz 1 Buchstabe a, 17 Absatz
3, 18 Absatz 5 und 19 Absatz 1 dieser Richtlinie gehe beispielsweise hervor,
dass sie einen weiter gehenden Schutz vorsehen könnten. Außerdem stehe es den
Mitgliedstaaten frei, die Grundsätze der Richtlinie 95/46 auch auf Tätigkeiten
anzuwenden, die nicht in deren Anwendungsbereich fielen.94.
Die Kommission macht geltend, die Richtlinie 95/46 sei auf Artikel 100a
EG-Vertrag gestützt; wenn ein Mitgliedstaat Rechtsvorschriften beibehalten oder
einführen wolle, die von dieser Harmonisierungsrichtlinie abwichen, müsse er sie
der Kommission gemäß Artikel 95 Absatz 4 oder Absatz 5 EG mitteilen.
Infolgedessen dürften die Mitgliedstaaten keinen weiter gehenden Schutz
personenbezogener Daten oder einen weiteren Anwendungsbereich als nach der
Richtlinie vorsehen.Antwort des Gerichtshofes
95.
Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt
die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei
der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein
gleichwertiges Schutzniveau herzustellen. Nach der zehnten Begründungserwägung
der Richtlinie 95/46 darf außerdem die Angleichung der einschlägigen nationalen
Rechtsvorschriften nicht zu einer Verringerung des durch diese Vorschriften
garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der
Gemeinschaft ein hohes Schutzniveau sicherzustellen.96.
Die Harmonisierung dieser nationalen Rechtsvorschriften ist daher nicht auf
eine Mindestharmonisierung beschränkt, sondern führt zu einer grundsätzlich
umfassenden Harmonisierung. Im Hinblick darauf will die Richtlinie 95/46 den
freien Verkehr personenbezogener Daten sicherstellen, wobei sie zugleich ein
hohes Niveau des Schutzes der Rechte und Interessen der von diesen Daten
betroffenen Personen gewährleistet.97.
Zwar trifft es zu, dass die Richtlinie 95/46 den Mitgliedstaaten einen
weiten Handlungsspielraum in bestimmten Bereichen einräumt und sie ermächtigt,
für bestimmte Fälle besondere Regelungen beizubehalten oder einzuführen, wie
viele ihrer Bestimmungen zeigen. Von diesen Möglichkeiten muss aber in der in
der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel
Gebrauch gemacht werden, ein Gleichgewicht zwischen dem freien Verkehr
personenbezogener Daten und dem Schutz der Privatsphäre zu wahren.98.
Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den
Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen
Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste
Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts
entgegensteht.99.
Aufgrund dessen ist auf die siebte Frage zu antworten, dass die von den
Mitgliedstaaten zur Gewährleistung des Schutzes personenbezogener Daten
getroffenen Maßnahmen sowohl mit den Bestimmungen der Richtlinie 95/46 als auch
mit deren Ziel im Einklang stehen müssen, ein Gleichgewicht zwischen dem freien
Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren.
Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den
Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen
Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste
Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts
entgegensteht.Kosten
100.
Die Auslagen der schwedischen und der niederländischen Regierung, der
Regierung des Vereinigten Königreichs, der Kommission und der
EFTA-Überwachungsbehörde, die Erklärungen vor dem Gerichtshof abgegeben haben,
sind nicht erstattungsfähig. Für die Parteien des Ausgangsverfahrens ist das
Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die
Kostenentscheidung ist daher Sache dieses Gerichts.Aus diesen Gründen hat
DER GERICHTSHOF
auf die ihm vom Göta hovrätt mit Beschluss vom 23. Februar 2001 vorgelegten
Fragen für Recht erkannt:
1. Die Handlung, die darin besteht, auf einer Internetseite auf
verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf
andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen
über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu
machen, stellt eine ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46/EG
des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr dar.
2. Eine solche Verarbeitung personenbezogener Daten fällt unter keine der in
Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen.
3. Die Angabe, dass sich eine Person den Fuß verletzt hat und partiell
krankgeschrieben ist, gehört zu den personenbezogenen Daten über die Gesundheit
im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46.
4. Es liegt keine Übermittlung von Daten in ein Drittland im Sinne von
Artikel 25 der Richtlinie 95/46 vor, wenn eine sich in einem Mitgliedstaat
aufhaltende Person in eine Internetseite, die bei einer in demselben oder einem
anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person
gespeichert ist, die die Website unterhält, auf der diese Seite abgerufen werden
kann, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine
Verbindung zum Internet herstellt, einschließlich Personen in Drittländern,
zugänglich macht.
5. Die Bestimmungen der Richtlinie 95/46 enthalten als solche keine
Beschränkung, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit
oder zu anderen innerhalb der Europäischen Union geltenden Rechten und
Freiheiten steht, die u.a. dem Recht aus Artikel 10 der am 4. November 1950 in
Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und
Grundfreiheiten entsprechen. Es ist Sache der nationalen Behörden und Gerichte,
die für die Anwendung der die Richtlinie 95/46 umsetzenden nationalen Regelung
zuständig sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten
und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung
geschützten Grundrechte sicherzustellen.
6. Die von den Mitgliedstaaten zur Gewährleistung des Schutzes
personenbezogener Daten getroffenen Maßnahmen müssen sowohl mit den Bestimmungen
der Richtlinie 95/46 als auch mit deren Ziel im Einklang stehen, ein
Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz
der Privatsphäre zu wahren. Dagegen sind die Mitgliedstaaten durch nichts daran
gehindert, den Geltungsbereich der die Richtlinie 95/64 umsetzenden
innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie
nicht erfasste Bereiche auszudehnen, soweit dem keine andere Bestimmung des
Gemeinschaftsrechts entgegensteht.
Bitte senden Sie Ihre Kommentare an
Rolf Schälike
Dieses
Dokument wurde zuletzt aktualisiert am 30.01.04
Impressum |