×

Rückruf vereinbaren

Ihre Nachricht an uns

Startseite
/
Urteile
/
Datenschutzrecht
/
Lindqvist: personenbezogene Daten auf Webseiten, - EuGH, Urteil vom 6. November 2003, AZ: C-101/01 -

Leitsätzliches

Mit diesem Urteil hat der EuGH eine neue Grundsatzentscheidung zum Thema Datenschutz und Datenveröffentlichungen auf Webseiten handeln. Hier geht es insbesondere um diejenigen, die "nur" private Informationen ohne Gewinnerzielungsabsicht veröffentlichen, so zum Beispiel Vereine. 
Der EuGH sagt: Wer auf einer Internetseite auf verschiedene Personen hinweist und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar macht, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne des europäischen Rechts dar. Sie ist von keiner der in den Richtlinien genannten Ausnahmen erfasst und damit grundsätzlich unzulässig.

URTEIL DES GERICHTSHOFES

6. November 2003

Richtlinie 95/46/EG - Anwendungsbereich - Veröffentlichung personenbezogener Daten im Internet - Ort der Veröffentlichung - Begriff der Übermittlung personenbezogener Daten in ein Drittland - Meinungsfreiheit - Vereinbarkeit eines weiter gehenden Schutzes personenbezogener Daten nach den Rechtsvorschriften eines Mitgliedstaats mit der Richtlinie 95/46

 

In der Rechtssache C-101/01

 

betreffend ein dem Gerichtshof nach Artikel 234 EG vom Göta hovrätt (Schweden) in dem bei diesem anhängigen Strafverfahren gegen

... 

 

vorgelegtes Ersuchen um Vorabentscheidung insbesondere über die Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31)

erlässt

DER GERICHTSHOF

unter Mitwirkung des Präsidenten der Ersten Kammer P. Jann in Wahrnehmung der Aufgaben des Präsidenten, der Kammerpräsidenten C. W. A. Timmermans, C. Gulmann, J. N. Cunha Rodrigues und A. Rosas sowie der Richter D. A. O. Edward (Berichterstatter) und J.-P. Puissochet, der Richterin F. Macken und des Richters S. von Bahr,

Generalanwalt: A. Tizzano,


Kanzler: H. von Holstein, Hilfskanzler,

 

unter Berücksichtigung der schriftlichen Erklärungen

- von ...... vertreten durch ...... advokat,

- der schwedischen Regierung, vertreten durch ... als Bevollmächtigten,

- der niederländischen Regierung, vertreten durch ... als Bevollmächtigte,

- der Regierung des Vereinigten Königreichs, vertreten durch G. Amodeo als Bevollmächtigte im Beistand von ...,

- der Kommission der Europäischen Gemeinschaften, vertreten durch ... als Bevollmächtigte,

aufgrund des Sitzungsberichts,

nach Anhörung der mündlichen Ausführungen von L., vertreten durch ... der schwedischen Regierung, vertreten durch ... als Bevollmächtigte, der niederländischen Regierung, vertreten durch ... als Bevollmächtigte, der Regierung des Vereinigten Königreichs, vertreten durch ..., der Kommission, vertreten durch ... als Bevollmächtigten, und der EFTA-Überwachungsbehörde, vertreten durch ... als Bevollmächtigte, in der Sitzung vom 30. April 2002,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 19. September 2002

folgendes

Urteil

Das Göta hovrätt hat mit Beschluss vom 23. Februar 2001, beim Gerichtshof eingegangen am 1. März 2001, gemäß Artikel 234 EG sieben Fragen insbesondere nach der Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) zur Vorabentscheidung vorgelegt.

Diese Fragen stellen sich in einem bei diesem Gericht anhängigen Strafverfahren gegen Frau L., die angeklagt ist, gegen die schwedischen Rechtsvorschriften über den Schutz personenbezogener Daten verstoßen zu haben, indem sie auf ihrer Website im Internet personenbezogene Daten über eine Reihe von Personen veröffentlicht habe, die wie sie ehrenamtlich in einer Gemeinde der protestantischen Kirche von Schweden tätig seien.

 

Rechtlicher Rahmen

Gemeinschaftsrecht

Wie aus ihrem Artikel 1 Absatz 1 hervorgeht, bezweckt die Richtlinie 95/46 den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Artikel 3 der Richtlinie 95/46 bestimmt über deren Anwendungsbereich:

(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

- die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.

Artikel 8 (Verarbeitung besonderer Kategorien personenbezogener Daten) der Richtlinie 95/46 sieht vor:

(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.

(2) Absatz 1 findet in folgenden Fällen keine Anwendung:

a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;

oder

b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist;

oder

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben;

oder

d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;

oder

e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.

(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.

(4) Die Mitgliedstaaten können vorbehaltlich angemessener Garantien aus Gründen eines wichtigen öffentlichen Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle andere als die in Absatz 2 genannten Ausnahmen vorsehen.

(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter behördlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen, festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilungen darf allerdings nur unter behördlicher Aufsicht geführt werden.

Die Mitgliedstaaten können vorsehen, dass Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen.

(6) Die in den Absätzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind der Kommission mitzuteilen.

(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen.

Artikel 9 (Verarbeitung personenbezogener Daten und Meinungsfreiheit) der Richtlinie 95/46 bestimmt:

Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen.

Nach Artikel 13 (Ausnahmen und Einschränkungen) der Richtlinie 95/46 können die Mitgliedstaaten Beschränkungen bestimmter den für die Verarbeitung Verantwortlichen nach der Richtlinie obliegender Pflichten, insbesondere hinsichtlich der Information der betreffenden Personen, vorsehen, sofern diese Beschränkungen beispielsweise für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union oder die Ermittlung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen notwendig sind.

Artikel 25 in Kapitel IV (Übermittlung personenbezogener Daten in Drittländer) der Richtlinie 95/46 lautet:

 

(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.

 

(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.

 

(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

 

(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt.

 

(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen.

 

(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.

Beim Erlass der Richtlinie 95/46 ließ das Königreich Schweden folgende Erklärung zu Artikel 9 der Richtlinie in das Protokoll der Tagung des Rates (Dokument Nr. 4649/95 des Rates vom 2. Februar 1995) aufnehmen:

Das Königreich Schweden ist der Auffassung, dass sich der Begriff des künstlerischen und literarischen Schaffens eher auf die Ausdrucksmittel als auf den Inhalt der Mitteilung oder deren Qualität bezieht.

Die am 4. November 1950 in Rom unterzeichnete Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) sieht in Artikel 8 das Recht auf Achtung des Privat- und Familienlebens vor und enthält in Artikel 10 Bestimmungen über die freie Meinungsäußerung.

Nationales Recht

Die Richtlinie 95/46 wurde mit dem Personuppgiftslag, SFS 1998, Nr. 204 (schwedisches Gesetz über personenbezogene Daten, im Folgenden: PUL), in schwedisches Recht umgesetzt.

Ausgangsverfahren und Vorlagefragen

Neben ihrer unselbständigen Beschäftigung als Reinigungskraft war Frau L. als Katechetin in der Kirchengemeinde Alseda (Schweden) tätig. Sie besuchte einen Informatikkurs, in dessen Rahmen sie u. a. eine Startseite im Internet einzurichten hatte. Ende 1998 richtete Frau L. zu Hause auf ihrem eigenen Computer Internetseiten ein, um den Konfirmanden ihrer Gemeinde den Zugang zu Informationen, die sie möglicherweise benötigten, zu erleichtern. Auf ihren Antrag stellte der Administrator der Website der Kirche von Schweden eine Verbindung zwischen diesen Seiten und der Website her.

Die fraglichen Internetseiten enthielten Informationen über Frau L. und achtzehn ihrer Arbeitskollegen der Gemeinde; dabei wurde entweder der vollständige Name oder manchmal auch nur der Vorname genannt. Außerdem beschrieb Frau L. in leicht humoriger Weise die Tätigkeiten und Freizeitbeschäftigungen ihrer Kollegen. Bei einigen von ihnen bezeichnete sie die Familienverhältnisse, nannte die Telefonnummer oder erteilte weitere Informationen. Bei einer Kollegin wies sie darauf hin, dass sich diese am Fuß verletzt habe und partiell krankgeschrieben sei.

Frau L. hatte weder ihre Kollegen vom Bestehen dieser Internetseiten unterrichtet noch deren Einwilligung eingeholt, noch hatte sie ihr Vorgehen der Datainspektion (öffentliche Einrichtung zum Schutz von auf elektronischem Wege übermittelten Daten) gemeldet. Als sie erfuhr, dass die fraglichen Seiten von einigen ihrer Kollegen missbilligt wurden, entfernte sie sie sofort wieder.

Die Staatsanwaltschaft leitete gegen Frau L. Strafverfolgungsmaßnahmen wegen Verstoßes gegen das PUL ein und beantragte ihre Verurteilung mit der Begründung, sie habe

- personenbezogene Daten in einem automatisierten Verfahren verarbeitet, ohne dies zuvor der Datainspektion schriftlich gemeldet zu haben (Artikel 36 PUL),

- sensible personenbezogene Daten, nämlich über eine Fußverletzung und eine Teilkrankschreibung, ohne Genehmigung verarbeitet (Artikel 13 PUL),

- ohne Genehmigung verarbeitete personenbezogene Daten in ein Drittland übermittelt (Artikel 33 PUL).

Frau L. räumte den Sachverhalt ein, ließ sich aber dahin gehend ein, dass sie keine Straftat begangen habe. Nachdem sie vom Eksjö tingsrätt (Schweden) zur Zahlung einer Geldstrafe verurteilt worden war, legte sie gegen diese Entscheidung beim vorlegenden Gericht Berufung ein.

Die Geldstrafe belief sich auf 4 000 SEK, wobei der nach den finanziellen Verhältnissen von Frau L. ermittelte Betrag von 100 SEK mit dem der Schwere des Verstoßes entsprechenden Koeffizienten 40 multipliziert wurde. Außerdem wurde Frau L. zur Zahlung von 300 SEK an einen schwedischen Fonds zur Unterstützung von Opfern von Straftaten verurteilt.

Da das Göta hovrätt Zweifel hinsichtlich der Auslegung des auf den vorliegenden Fall anwendbaren Gemeinschaftsrechts, insbesondere der Richtlinie 95/46, hat, hat es das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

 

1. Fällt die Nennung einer Person (mit Namen oder mit Namen und Telefonnummer) auf einer Startseite im Internet in den Anwendungsbereich der Richtlinie 95/46? Liegt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten vor, wenn auf einer persönlich eingerichteten Startseite im Internet eine Reihe von Personen genannt und Angaben über ihr Arbeitsverhältnis, ihre Freizeitinteressen u. a. gemacht werden?

 

2. Wenn die vorstehende Frage zu verneinen ist: Kann die Einrichtung besonderer Seiten für etwa fünfzehn Personen im Rahmen einer Startseite im Internet mit Links zwischen den Seiten, die eine namentliche Suche ermöglichen, als eine .nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen, im Sinne von Artikel 3 Satz 1 angesehen werden?

 

Für den Fall, dass eine dieser Fragen zu bejahen ist, stellt das Hovrätt weiter folgende Fragen:

3. Kann die Eingabe von Daten der genannten Art über Arbeitskollegen auf einer privaten Startseite, die jedoch für alle, die die Adresse der Seite kennen, zugänglich ist, aufgrund einer der Ausnahmen des Artikels 3 Absatz 2 der Richtlinie 95/46 als nicht unter die Richtlinie fallend angesehen werden?

 

4. Gehört die Angabe auf einer Startseite, dass ein namentlich genannter Arbeitskollege sich den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit, die nach Artikel 8 Absatz 1 nicht verarbeitet werden dürfen?

 

5. Die Übermittlung personenbezogener Daten in Drittstaaten ist gemäß der Richtlinie 95/46 in bestimmten Fällen verboten. Liegt eine Übermittlung von Daten in Drittstaaten im Sinne dieser Richtlinie vor, wenn jemand in Schweden mit Hilfe eines Rechners personenbezogene Daten auf einer Startseite, die auf einem Server in Schweden gespeichert ist, veröffentlicht, wodurch diese Daten Personen in Drittländern zugänglich werden? Wäre diese Frage genauso zu beantworten, wenn, soweit bekannt, niemand in einem Drittland tatsächlich Kenntnis von den Daten erlangt hat oder wenn sich der betreffende Server rein räumlich in einem Drittland befindet?

 

6. Stellen die Bestimmungen der Richtlinie 95/46 in einem Fall wie dem vorliegenden Beschränkungen dar, die im Widerspruch zu den allgemeinen Grundsätzen im Bereich der Meinungsfreiheit oder zu anderen Freiheiten und Rechten stehen, die innerhalb der Europäischen Union gelten und u. a. eine Entsprechung in Artikel 10 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten haben?

 

Schließlich legt das Hovrätt folgende Frage vor:

 

7. Kann ein Mitgliedstaat unter den in den vorstehenden Fragen geschilderten Umständen einen weiter gehenden Schutz für personenbezogene Daten vorsehen oder den Anwendungsbereich der Richtlinie 95/46 erweitern, auch wenn keine der Voraussetzungen des Artikels 13 vorliegt?

 

Zur ersten Frage

Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und sie entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46 darstellt.

 

Beim Gerichtshof eingereichte Erklärungen

Nach Ansicht von Frau L. ist die Annahme abwegig, dass die bloße namentliche Nennung einer Person oder die bloße Angabe personenbezogener Daten in einem auf einer Internetseite enthaltenen Text eine automatisierte Verarbeitung von Daten darstelle. Dagegen könne die Aufnahme solcher Daten als Stichwörter in die meta tags einer Internetseite, die es ermögliche, eine Indexierung vorzunehmen und diese Seite durch eine Suchmaschine aufzufinden, eine solche Verarbeitung darstellen.

Die schwedische Regierung vertritt die Ansicht, der Begriff Verarbeitung ganz oder teilweise automatisierter personenbezogener Daten, der auf den Artikel 3 Absatz 1 der Richtlinie 95/46 abstelle, umfasse alle elektronischen Datenverarbeitungen, d. h. Verarbeitungen von Binärdateien. Sobald also personenbezogene Daten mit einem Rechner, sei es mittels eines Textverarbeitungsprogramms oder etwa zur Aufnahme in eine Internetseite, verarbeitet würden, seien sie Gegenstand einer von der Richtlinie 95/46 erfassten Verarbeitung.

Die niederländische Regierung macht geltend, die Aufnahme personenbezogener Daten in eine Internetseite erfolge mit Hilfe eines Rechners und eines Servers, was ein wesentliches Merkmal der Automatisierung darstelle, so dass von einer automatisierten Verarbeitung dieser Daten auszugehen sei.

Die Kommission führt aus, die Richtlinie 95/46 sei unabhängig von den verwendeten technischen Mitteln auf jede Verarbeitung personenbezogener Daten anwendbar, auf die sich ihr Artikel 3 beziehe. Die Bereitstellung personenbezogener Daten im Internet stelle daher eine ganz oder teilweise automatisierte Verarbeitung dar, sofern die Verarbeitung nicht aus technischen Gründen auf einen lediglich manuellen Vorgang beschränkt sei. Schon ihrer Natur nach falle eine Internetseite daher in den Anwendungsbereich der Richtlinie 95/46.

 

Antwort des Gerichtshofes

Der in Artikel 3 Absatz 1 der Richtlinie 95/46 verwendete Begriff personenbezogene Daten bezieht sich nach der Definition ihres Artikels 2 Buchstabe a auf alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Dieser Ausdruck erfasst eindeutig die Nennung des Namens einer Person in Verbindung mit deren Telefonnummern oder mit Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen.

Der in Artikel 3 Absatz 1 der Richtlinie 95/46 verwendete Begriff Verarbeitung personenbezogener Daten umfasst nach der Definition in Artikel 3 Buchstabe b jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Diese Bestimmung führt mehrere Beispiele für solche Vorgänge an, darunter die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung von Daten. Der Vorgang, der darin besteht, personenbezogene Daten auf eine Internetseite zu stellen, ist somit als eine solche Verarbeitung anzusehen.

Zu bestimmen bleibt noch, ob diese Verarbeitung ganz oder teilweise automatisiert ist. Hierzu ist festzustellen, dass es zur Wiedergabe von Informationen auf einer Internetseite nach den gegenwärtig angewandten technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server sowie der erforderlichen Vorgänge bedarf, um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen. Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form.

Mithin ist auf die erste Frage zu antworten, dass die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46 darstellt.

 

Zur zweiten Frage

Da die erste Frage bejaht worden ist, ist die zweite Frage, die nur für den Fall einer Verneinung der ersten Frage vorgelegt worden ist, nicht zu beantworten.

 

Zur dritten Frage

Mit seiner dritten Frage möchte das nationale Gericht wissen, ob eine Verarbeitung personenbezogener Daten wie die, auf die sich die erste Frage bezieht, unter eine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen fällt.

Beim Gerichtshof eingereichte Erklärungen

Frau L. trägt vor, eine Privatperson, die von ihrer Meinungsfreiheit Gebrauch mache und im Rahmen einer nicht auf Gewinnerzielung gerichteten Tätigkeit oder als Freizeitbeschäftigung Internetseiten einrichte, übe keine wirtschaftliche Tätigkeit aus und sei somit der Anwendung des Gemeinschaftsrechts entzogen. Wenn der Gerichtshof gegenteiliger Auffassung sein sollte, würde sich die Frage nach der Gültigkeit der Richtlinie 95/46 stellen, da dann der Gemeinschaftsgesetzgeber mit deren Erlass über die ihm in Artikel 100a EG-Vertrag (nach Änderung jetzt Artikel 95 EG) verliehenen Befugnisse hinausgegangen wäre. Die Rechtsangleichung, die auf die Errichtung und das Funktionieren des Binnenmarktes gerichtet sei, könne nämlich nicht als Rechtsgrundlage für Maßnahmen der Gemeinschaft dienen, die das Recht von Privatpersonen auf freie Meinungsäußerung im Internet regelten.

Die schwedische Regierung macht geltend, bei der Umsetzung der Richtlinie 95/46 in innerstaatliches Recht sei der schwedische Gesetzgeber davon ausgegangen, dass die Verarbeitung personenbezogener Daten durch eine natürliche Person dergestalt, dass diese Daten, z. B. über das Internet, an eine unbestimmte Zahl von Empfängern übermittelt würden, nicht als Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten im Sinne von Artikel 3 Absatz 2 zweiter Gedankenstrich der Richtlinie 95/46 angesehen werden könne. Es sei jedoch nicht auszuschließen, dass die Ausnahme des Artikels 3 Absatz 2 erster Gedankenstrich den Fall betreffe, dass eine natürliche Person allein im Rahmen ihrer Meinungsfreiheit und ohne Bezug zu irgend einer beruflichen oder kommerziellen Tätigkeit personenbezogene Daten auf einer Internetseite veröffentliche.

Nach Ansicht der niederländischen Regierung fällt eine automatisierte Verarbeitung von Daten wie die, um die es im Ausgangsverfahren geht, unter keine der Ausnahmen des Artikels 3 Absatz 2 der Richtlinie 95/46. Soweit es speziell um die Ausnahme des zweiten Gedankenstrichs dieser Bestimmung gehe, bringe der Einrichter einer Internetseite die darin aufgenommenen Daten einer grundsätzlich unbestimmten Gruppe von Personen zur Kenntnis.

Nach Auffassung der Kommission kann nicht davon ausgegangen werden, dass eine Internetseite wie die im Ausgangsverfahren fragliche dem Anwendungsbereich der Richtlinie 95/46 nach deren Artikel 3 Absatz 2 entzogen sei; angesichts ihres Zweckes stelle sie vielmehr eine künstlerische und literarische Schöpfung im Sinne von Artikel 9 der Richtlinie 95/46 dar.

Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 lasse zwei verschiedene Auslegungen zu. Nach der einen Auslegung werde der Anwendungsbereich dieser Bestimmung auf die beispielhaft genannten Bereiche, nämlich Tätigkeiten, die im Wesentlichen zur so genannten ersten Säule und zur so genannten zweiten Säule gehörten, beschränkt. Nach der anderen sei die Ausübung aller nicht vom Gemeinschaftsrecht erfassten Tätigkeiten dem Anwendungsbereich der Richtlinie 95/46 entzogen.

Das Gemeinschaftsrecht gelte nicht nur für wirtschaftliche Tätigkeiten, die mit den vier Grundfreiheiten in Zusammenhang stünden. Aus der Rechtsgrundlage der Richtlinie 95/46, deren Zweck, Artikel 6 EU, der am 18. Dezember 2000 in Nizza proklamierten Charta der Grundrechte der Europäischen Union (ABl. C 364, S. 1) und dem Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten sei zu schließen, dass diese Richtlinie bezwecke, den freien Verkehr personenbezogener Daten als Ausdruck nicht nur einer wirtschaftlichen, sondern auch einer sozialen Tätigkeit im Rahmen der Integration und des Funktionierens des Binnenmarktes zu regeln.

Zudem könnte ein allgemeiner Ausschluss von Internetseiten, die keine kommerziellen oder dienstleistungsbezogenen Elemente enthielten, vom Anwendungsbereich der Richtlinie 95/46 zu schwerwiegenden Abgrenzungsproblemen führen. Dann könnten nämlich viele personenbezogene Daten enthaltende Internetseiten, die darauf gerichtet seien, bestimmte Personen zu bestimmten Zwecken zu stigmatisieren, vom Anwendungsbereich dieser Richtlinie ausgeschlossen sein.

 

Antwort des Gerichtshofes

Artikel 3 Absatz 2 der Richtlinie 95/46 sieht zwei Ausnahmen von deren Anwendungsbereich vor.

Die erste Ausnahme betrifft die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und jedenfalls Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn diese Verarbeitungen die Sicherheit des Staates berühren) und die Tätigkeiten des Staates im strafrechtlichen Bereich.

Da die Tätigkeiten von Frau L. , um die es im Ausgangsverfahren geht, im Wesentlichen nicht wirtschaftlicher, sondern ehrenamtlicher und religionsgemeinschaftlicher Natur sind, ist zu prüfen, ob sie die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, im Sinne von Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 darstellen.

Zu der auf Artikel 100a EG-Vertrag gestützten Richtlinie 95/46 hat der Gerichtshof bereits festgestellt, dass die Heranziehung von Artikel 100a EG-Vertrag als Rechtsgrundlage nicht voraussetzt, dass in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten besteht (vgl. Urteil vom 20. Mai 2003 in den Rechtssachen C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk u. a., Slg. 2003, I-0000, Randnr. 41 und die dort angeführte Rechtsprechung).

Die gegenteilige Auslegung würde nämlich dazu führen, dass die Abgrenzung des Anwendungsbereichs der Richtlinie 95/46 ungewiss wäre und von Zufälligkeiten abhinge, was ihrem Hauptzweck zuwiderliefe, die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen, um Hindernisse für das Funktionieren des Binnenmarktes zu beseitigen, die sich gerade aus den Unterschieden zwischen den nationalen Regelungen ergeben (Urteil Österreichischer Rundfunk u. a., Randnr. 42).

Unter diesen Umständen wäre es unangebracht, den Ausdruck Tätigkeiten ..., die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen dahin auszulegen, dass in jedem Einzelfall geprüft werden müsste, ob die betreffende konkrete Tätigkeit den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtigt.

Die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 beispielhaft aufgeführten Tätigkeiten (nämlich solche nach den Titeln V und VI des Vertrags über die Europäische Union sowie Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich) sind jedenfalls spezifische Tätigkeiten der Staaten oder der staatlichen Stellen und haben mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun.

Daher ist davon auszugehen, dass die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 als Beispiele aufgeführten Tätigkeiten dazu dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie zugeordnet werden können (ejusdem generis).

Ehrenamtliche oder religionsgemeinschaftliche Tätigkeiten, wie sie von Frau L. ausgeübt werden, sind jedoch den in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 genannten Tätigkeiten nicht gleichzustellen und werden daher von dieser Ausnahme nicht erfasst.

Als Beispiele für die in Artikel 3 Absatz 2 zweiter Gedankenstrich der Richtlinie 95/46 geregelte Ausnahme werden in der zwölften Begründungserwägung dieser Richtlinie die Datenverarbeitung, die von einer natürlichen Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird, sowie der Schriftverkehr und die Führung von Anschriftenverzeichnissen genannt.

Diese Ausnahme ist somit dahin auszulegen, dass mit ihr nur Tätigkeiten gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören, was offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer unbegrenzte Zahl von Personen gemacht werden.

Daher ist auf die dritte Frage zu antworten, dass eine Verarbeitung personenbezogener Daten wie die in der Antwort auf die erste Frage angeführte unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen fällt.

Zur vierten Frage

Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46 gehört.

Angesichts des Zweckes der Richtlinie 95/46 ist der in ihrem Artikel 8 Absatz 1 verwendete Begriff Daten über Gesundheit in dem Sinne weit auszulegen, dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten - körperlichen wie psychischen - betreffen.

Mithin ist auf die vierte Frage zu antworten, dass die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46 gehört.

Zur fünften Frage

Mit der fünften Frage des vorlegenden Gerichts soll geklärt werden, ob eine Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vorliegt, wenn eine Person, die sich in einem Mitgliedstaat befindet, in eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person gespeichert ist, die die Website unterhält, auf der diese Seite abgerufen werden kann (im Folgenden: Host-Service-Provider), personenbezogene Daten aufnimmt und sie damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht. Das vorlegende Gericht fragt weiter, ob die Frage genauso zu beantworten wäre, wenn sich zeigt, dass tatsächlich kein Angehöriger eines Drittlands von diesen Daten Kenntnis erlangt hat oder dass sich der Server, auf dem die Seite gespeichert ist, rein räumlich in einem Drittland befindet.

Beim Gerichtshof eingereichte Erklärungen

Die Kommission und die schwedische Regierung vertreten die Auffassung, die Aufnahme personenbezogener Daten in eine Internetseite mittels eines Rechners dergestalt, dass diese Daten Angehörigen von Drittländern zugänglich gemacht würden, stelle eine Übermittlung von Daten in Drittländer im Sinne der Richtlinie 95/46 dar. Die Antwort sei die gleiche, wenn kein Angehöriger eines Drittlands von diesen Daten tatsächlich Kenntnis erlange oder wenn sich der Server, auf dem sie gespeichert seien, rein räumlich in einem Drittland befinde.

Die niederländische Regierung weist darauf hin, dass der Begriff Übermittlung in der Richtlinie 95/46 nicht definiert sei. Zum einen sei dieser Begriff dahin auszulegen, dass er sich auf eine Handlung beziehe, mit der bewusst personenbezogene Daten vom Gebiet eines Mitgliedstaats in ein Drittland übermittelt werden sollten; zum anderen sei es nicht möglich, zwischen den einzelnen Formen zu unterscheiden, in denen die Daten Dritten zugänglich gemacht würden. Infolgedessen könne die Aufnahme personenbezogener Daten in eine Internetseite mittels eines Rechners nicht als Übermittlung personenbezogener Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 angesehen werden.

Die Regierung des Vereinigten Königreich macht geltend, Artikel 25 der Richtlinie 95/46 beziehe sich auf die Übermittlung von Daten in ein Drittland und nicht auf die Frage, inwieweit aus diesen Ländern Zugang zu diesen Daten bestehe. Der Begriff Übermittlung setze voraus, dass Daten durch eine an einem bestimmten Ort befindliche Person an eine an einem anderen Ort befindliche dritte Person übermittelt würden. Nur für den Fall einer solchen Übermittlung schreibe Artikel 25 der Richtlinie 95/46 den Mitgliedstaaten vor, für einen angemessenen Schutz der personenbezogenen Daten in einem Drittland zu sorgen.

Antwort des Gerichtshofes

Die Richtlinie 95/46 definiert den Begriff Übermittlung in ein Drittland weder in Artikel 25 noch in irgendeiner anderen Bestimmung, insbesondere auch nicht in Artikel 2.

Bei der Prüfung der Frage, ob die Aufnahme personenbezogener Daten in eine Internetseite schon deshalb eine Übermittlung dieser Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 darstellt, weil die Daten durch diese Aufnahme den in diesem Drittland befindlichen Personen zugänglich gemacht werden, sind zum einen die technische Seite der damit verbundenen Vorgänge und zum anderen der Zweck und die Systematik von Kapitel IV der Richtlinie 95/46, in dem Artikel 25 steht, zu berücksichtigen.

Die im Internet zu findenden Informationen können fast jederzeit von einer unbestimmten Zahl von Personen von den verschiedensten Orten aus abgerufen werden. Die umfassende Abrufbarkeit dieser Informationen folgt insbesondere daraus, dass die beim Internet verwendeten technischen Mittel verhältnismäßig einfach und immer weniger kostspielig sind.

Nach den Modalitäten für die Benutzung des Internets, wie sie in den 1990er Jahren für Einzelpersonen wie Frau L. verfügbar geworden sind, übermittelt der Urheber einer für die Veröffentlichung im Internet bestimmten Seite die für diese Seite konstitutiven Daten seinem Host-Service-Provider. Dieser verwaltet die EDV-Infrastruktur, die zur Speicherung dieser Daten und für die Verbindung mit dem Server, auf dem die Internetseite untergebracht ist, notwendig ist. Dies ermöglicht die spätere Übermittlung dieser Daten an jede mit dem Internet verbundene Person, die sie erhalten möchte. Die Rechner, die diese EDV-Infrastruktur bilden, können sich in einem oder mehreren anderen Ländern als dem der Niederlassung des Host-Service-Providers befinden - was oft der Fall ist -, ohne dass dessen Kunden hiervon Kenntnis haben oder normalerweise Kenntnis nehmen können.

Aus den Akten geht hervor, dass ein Internetbenutzer zum Erhalt der Informationen auf den Internetseiten, in die Frau L. Daten über ihre Kollegen aufgenommen hatte, nicht nur eine Verbindung zum Internet herstellen, sondern auch - eigenhändig - die notwendigen Schritte zum Einsehen dieser Seiten unternehmen musste. Die Internetseiten von Frau L. enthielten, anders gesagt, nicht die technischen Mechanismen, die einen automatischen Versand dieser Informationen an Personen ermöglicht hätten, die diese Seiten nicht bewusst aufgesucht hatten.

Daraus folgt, dass unter Umständen wie denen des Ausgangsverfahrens die personenbezogenen Daten, die von einer Person aus, die sie auf eine Website hochgeladen hat, in den Rechner einer sich in einem Drittland befindenden Person gelangen, nicht zwischen diesen beiden Personen unmittelbar, sondern über die EDV-Infrastruktur des Host-Service-Providers, auf der die Seite gespeichert ist, übermittelt worden sind.

Dies ist der Kontext, in dem zu prüfen ist, ob der Gemeinschaftsgesetzgeber im Hinblick auf die Anwendung von Kapitel IV der Richtlinie 95/46 unter den Begriff Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 dieser Richtlinie auch Vorgänge fassen wollte, wie sie von Frau L. ausgeführt worden sind. Zu beachten ist, dass die fünfte Frage des vorliegenden Gerichts nur diese und nicht jene Vorgänge betrifft, die von den Host-Service-Providern ausgeführt werden.

Kapitel IV der Richtlinie 95/46, in dem Artikel 25 steht, sieht eine Sonderregelung vor, die besondere Bestimmungen für die von den Mitgliedstaaten vorzunehmende Kontrolle der Übermittlung personenbezogener Daten in Drittländer enthält. Mit diesem Kapitel ist eine Regelung eingeführt worden, die die allgemeine Regelung von Kapitel II der Richtlinie 95/46, die die Rechtmäßigkeit der Verarbeitung personenbezogener Daten betrifft, ergänzt.

Der Zweck des Kapitels IV wird in den Begründungserwägungen 56 bis 60 der Richtlinie 95/46 dargelegt; darin heißt es u. a., dass der in der Gemeinschaft durch diese Richtlinie garantierte Schutz von Personen der Übermittlung personenbezogener Daten in Drittländer, die ein angemessenes Schutzniveau aufweisen, zwar nicht entgegensteht, dass jedoch die Angemessenheit dieses Schutzniveaus unter Berücksichtigung aller Umstände hinsichtlich einer Übermittlung oder einer Kategorie von Übermittlungen zu beurteilen ist. Bietet ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen.

Artikel 25 der Richtlinie 95/46 erlegt den Mitgliedstaaten und der Kommission eine Reihe von Verpflichtungen zur Kontrolle der Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung des in jedem dieser Länder für diese Daten bestehenden Schutzniveaus auf.

Artikel 25 Absatz 4 der Richtlinie 95/46 sieht vor, dass die Mitgliedstaaten dann, wenn die Kommission feststellt, dass ein Drittland kein angemessenes Schutzniveau aufweist, die erforderlichen Maßnahmen treffen, damit keine Übermittlung personenbezogener Daten in das betreffende Drittland erfolgt.

Kapitel IV der Richtlinie 95/46 enthält keine Bestimmung über die Benutzung des Internets. So führt es auch keine Kriterien für die Klärung der Frage an, ob für die unter Vermittlung von Host-Service-Providern ausgeführten Vorgänge auf den Ort der Niederlassung oder des beruflichen Sitzes des Providers oder aber auf den oder die Orte abzustellen ist, an denen sich die Rechner befinden, die die EDV-Infrastruktur des Providers ausmachen.

Angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der Richtlinie 95/46 und des Fehlens von Kriterien für die Internetbenutzung in Kapitel IV dieser Richtlinie kann nicht angenommen werden, dass der Gemeinschaftsgesetzgeber unter den Begriff Übermittlung von Daten in ein Drittland im Vorgriff auch den Vorgang fassen wollte, dass eine Person in der Lage von Frau L. Daten in eine Internetseite aufnimmt, auch wenn diese Daten dadurch Personen aus Drittländern zugänglich gemacht werden, die über die technischen Mittel für diesen Zugang verfügen.

Würde Artikel 25 der Richtlinie 95/46 dahin ausgelegt, dass immer dann, wenn personenbezogene Daten auf eine Internetseite hochgeladen werden, eine Übermittlung von Daten in ein Drittland vorliegt, so wäre diese Übermittlung notwendig eine solche in alle Drittländer, in denen die für einen Zugang zum Internet notwendigen technischen Mittel vorliegen. Damit würde die in Kapitel IV der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen Regelung für Vorgänge im Rahmen des Internets werden. Sobald die Kommission nach Artikel 25 Absatz 4 der Richtlinie 95/46 feststellen würde, dass auch nur ein Land kein angemessenes Schutzniveau aufweist, wären die Mitgliedstaaten nämlich verpflichtet, jede Aufnahme personenbezogener Daten in das Internet zu unterbinden.

Deshalb ist Artikel 25 der Richtlinie 95/46 dahin auszulegen, dass Vorgänge, wie sie von Frau L. ausgeführt worden sind, als solche keine Übermittlung von Daten in ein Drittland darstellen. Daher braucht nicht untersucht zu werden, ob eine Person aus einem Drittland zu der betreffenden Internetseite Zugang hatte oder ob sich der Server des betreffenden Providers in einem Drittland befindet.

Somit ist auf die fünfte Frage zu antworten, dass keine Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vorliegt, wenn eine sich in einem Mitgliedstaat aufhaltende Personen in eine Internetseite, die bei ihrem in demselben oder einem anderen Mitgliedstaat ansässigen Host-Service-Provider gespeichert ist, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht.

 

Zur sechsten Frage

Mit seiner sechsten Frage möchte das vorlegende Gericht wissen, ob die Bestimmungen der Richtlinie 95/46 für einen Fall wie den vorliegenden eine Beschränkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die u. a. dem Recht aus Artikel 10 EMRK entsprechen.

Beim Gerichtshof eingereichte Erklärungen

Frau L. macht u. a. unter Hinweis auf das Urteil vom 6. März 2001 in der Rechtssache C-274/99 P (Connolly/Kommission, Slg. 2001, I-1611) geltend, die Richtlinie 95/46 und das PUL verstießen gegen den im Gemeinschaftsrecht anerkannten allgemeinen Grundsatz der Meinungsfreiheit, soweit sie Voraussetzungen einer vorherigen Einwilligung und einer vorherigen Mitteilung an eine Kontrollbehörde sowie ein generelles Verbot der Verarbeitung sensibler personenbezogener Daten einführten. Insbesondere genüge das Tatbestandsmerkmal ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten nicht den Kriterien der Vorhersehbarkeit und Genauigkeit.

Außerdem könne der bloße Umstand, dass eine natürliche Person namentlich genannt werde, dass ihre Telefonnummern und Arbeitsbedingungen bekannt gegeben und dass Informationen über ihren Gesundheitszustand und ihre Freizeitbeschäftigungen gegeben würden, Informationen, die öffentlich zugänglich, allgemein bekannt gegeben oder banal seien, keinen schweren Verstoß gegen das Recht auf Achtung der Privatsphäre begründen. Jedenfalls seien die mit der Richtlinie 95/46 auferlegten Beschränkungen angesichts des angestrebten Zweckes, das Ansehen und die Privatsphäre anderer zu schützen, unverhältnismäßig.

Die schwedische Regierung vertritt die Ansicht, die Richtlinie 95/46 ermögliche es, die betroffenen Interessen gegeneinander abzuwägen und damit die Meinungsfreiheit und den Schutz der Privatsphäre zu wahren. Zudem seien nur die nationalen Gerichte unter Berücksichtigung der Umstände jedes Einzelfalls in der Lage, die Angemessenheit der mit der Anwendung von Vorschriften zur Wahrung der Rechte anderer verbundenen Beschränkung der Ausübung des Rechts auf Meinungsfreiheit zu beurteilen.

Die niederländische Regierung weist darauf hin, dass sowohl die Meinungsfreiheit als auch das Recht auf Wahrung der Privatsphäre zu den allgemeinen Rechtsgrundsätzen gehörten, deren Wahrung der Gerichtshof sicherstelle, und dass die EMRK keine Hierarchie zwischen den verschiedenen Grundrechten aufstelle. Daher müsse sich das nationale Gericht bemühen, die verschiedenen betroffenen Grundrechte unter Berücksichtigung der Umstände des Einzelfalls miteinander in Einklang zu bringen.

Die Regierung des Vereinigten Königreichs führt aus, ihr in Randnummer 55 dieses Urteils dargelegter Vorschlag einer Antwort auf die fünfte Frage stehe mit den Grundrechten in vollem Einklang und ermögliche es, einen unverhältnismäßigen Eingriff in die Meinungsfreiheit zu verhindern. Auch wäre eine Auslegung, die dahin ginge, dass die Bekanntgabe personenbezogener Daten in einer bestimmten Form, nämlich auf einer Internetseite, viel strengeren Beschränkungen unterliege als eine Bekanntgabe in anderer Form, wie etwa auf Papier, kaum zu rechtfertigen.

Auch die Kommission meint, dass die Richtlinie 95/46 nicht zu einer Beschränkung führe, die gegen den allgemeinen Grundsatz der Meinungsfreiheit oder andere in der Europäischen Union geltende Rechte und Freiheiten, die namentlich dem in Artikel 10 EMRK normierten Recht entsprächen, verstoße.

Antwort des Gerichtshofes

Der siebten Begründungserwägung der Richtlinie 95/46 zufolge können die Errichtung und das Funktionieren des Binnenmarktes durch die in den nationalen Regelungen über die Verarbeitung personenbezogener Daten bestehenden Unterschiede in schwerwiegender Weise beeinträchtigt werden. Nach der dritten Begründungserwägung der Richtlinie 95/46 muss die Harmonisierung dieser nationalen Regelungen nicht nur auf den freien Verkehr dieser Daten zwischen Mitgliedstaaten, sondern auch auf die Wahrung der Grundrechte der Personen abzielen. Diese Ziele können offenkundig miteinander in Konflikt geraten.

Einerseits wird die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Funktionieren des Binnenmarktes ergibt, notwendig zu einer spürbaren Zunahme der Ströme personenbezogener Daten zwischen allen am wirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten führen, unabhängig davon, ob es sich dabei um Unternehmen oder um Verwaltungen der Mitgliedstaaten handelt. Diese Beteiligten müssen in gewissem Umfang über personenbezogene Daten verfügen können, um in dem Raum ohne Grenzen, den der Binnenmarkt bildet, ihre Geschäfte tätigen oder ihre Aufgabe erfüllen zu können.

Andererseits verlangen die von der Verarbeitung personenbezogener Daten betroffenen Personen zu Recht, dass diese Daten wirksam geschützt werden.

Die Mechanismen, die eine Abwägung der verschiedenen Rechte und Interessen ermöglichen, sind zum einen in der Richtlinie 95/46 selbst festgelegt, soweit diese Vorschriften enthält, die bestimmen, in welchen Situationen und in welchem Umfang die Verarbeitung personenbezogener Daten rechtmäßig ist und welche Schutzvorkehrungen vorzusehen sind. Zum anderen resultieren sie aus dem Erlass nationaler Regelungen zur Umsetzung dieser Richtlinie durch die Mitgliedstaaten sowie aus der möglichen Anwendung dieser Regelungen durch die nationalen Behörden.

Was die Richtlinie 95/46 selbst betrifft, so sind deren Bestimmungen notwendig verhältnismäßig allgemein gehalten, da sie auf viele ganz unterschiedliche Situationen Anwendung finden soll. Zu Recht enthält diese Richtlinie daher entgegen der Auffassung von Frau L. Vorschriften, die durch eine gewisse Flexibilität gekennzeichnet sind, und überlässt es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu wählen.

Zwar verfügen die Mitgliedstaaten zur Umsetzung der Richtlinie 95/46 in vielerlei Hinsicht über einen Handlungsspielraum. Dennoch lässt nichts die Annahme zu, dass es der in ihr vorgesehenen Regelung an Vorhersehbarkeit mangelt oder dass ihre Bestimmungen als solche gegen die allgemeinen Grundsätze des Gemeinschaftsrechts, insbesondere die durch die Gemeinschaftsrechtsordnung geschützten Grundrechte, verstoßen.

Daher muss ein angemessenes Gleichgewicht zwischen den genannten Rechten und Interessen eher auf nationaler Ebene im Stadium der Anwendung der die Richtlinie 95/46 umsetzenden Regelung auf konkrete Fälle gefunden werden.

In diesem Zusammenhang kommt den Grundrechten besondere Bedeutung zu, wie das Ausgangsverfahren zeigt, in dem es im Kern darum geht, die Meinungsfreiheit von Frau L. im Rahmen ihrer Arbeit als Katechetin und die Freiheit, Tätigkeiten auszuüben, die zum religiösen Leben beitragen, gegen den Schutz der Privatsphäre der Personen abzuwägen, über die Frau L. Daten auf ihre Website gestellt hat.

Demgemäß haben die Behörden und Gerichte der Mitgliedstaaten nicht nur ihr nationales Recht im Einklang mit der Richtlinie 95/46 auszulegen, sondern auch darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert.

Zwar erfordert der Schutz der Privatsphäre die Anwendung wirksamer Sanktionen gegen Personen, die personenbezogene Daten in mit der Richtlinie 95/46 nicht vereinbarer Weise verarbeiten, doch müssen solche Sanktionen stets den Grundsatz der Verhältnismäßigkeit wahren. Das gilt umso mehr, als der Anwendungsbereich der Richtlinie 95/46 sehr weit ist und die den Personen, die personenbezogene Daten verarbeiten, obliegenden Verpflichtungen zahlreich und weitgehend sind.

Nach dem Grundsatz der Verhältnismäßigkeit hat das vorlegende Gericht alle Umstände der Rechtssache, mit der es befasst ist, insbesondere die Dauer der Zuwiderhandlung gegen die die Richtlinie 95/46 durchführenden Vorschriften und die Bedeutung, die der Schutz der verbreiteten Daten für die Betroffenen hat, zu berücksichtigen.

Demgemäß ist auf die sechste Frage zu antworten, dass die Bestimmungen der Richtlinie 95/46 als solche keine Beschränkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die u. a. dem Recht aus Artikel 10 EMRK entsprechen. Es ist Sache der nationalen Behörden und Gerichte, die für die Anwendung der die Richtlinie 95/46 umsetzenden nationalen Regelung zuständig sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung geschützten Grundrechte sicherzustellen.

Zur siebten Frage

Mit seiner siebten Frage möchte das vorlegende Gericht wissen, ob es den Mitgliedstaaten freisteht, einen weiter gehenden Schutz für personenbezogene Daten oder einen weiteren Anwendungsbereich als nach der Richtlinie 95/46 vorzusehen.

Beim Gerichtshof eingereichte Erklärungen

Die schwedische Regierung vertritt die Auffassung, die Richtlinie 95/46 lege nicht nur Mindestanforderungen an den Schutz personenbezogener Daten fest. Vielmehr seien die Mitgliedstaaten bei der Umsetzung der Richtlinie zur Verwirklichung des durch diese vorgegebenen Schutzniveaus verpflichtet, so dass sie keinen stärkeren oder schwächeren Schutz vorsehen dürften. Zu beachten sei jedoch der den Mitgliedstaaten im Rahmen dieser Umsetzung eingeräumte Ermessensspielraum im Hinblick auf die genaue Festlegung der allgemeinen Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig sei, im innerstaatlichen Recht.

Nach Ansicht der niederländischen Regierung verbietet es die Richtlinie 95/46 den Mitgliedstaaten nicht, in bestimmten Bereichen einen stärkeren Schutz vorzusehen. Aus den Artikeln 10, 11 Absatz 1, 14 Absatz 1 Buchstabe a, 17 Absatz 3, 18 Absatz 5 und 19 Absatz 1 dieser Richtlinie gehe beispielsweise hervor, dass sie einen weiter gehenden Schutz vorsehen könnten. Außerdem stehe es den Mitgliedstaaten frei, die Grundsätze der Richtlinie 95/46 auch auf Tätigkeiten anzuwenden, die nicht in deren Anwendungsbereich fielen.

Die Kommission macht geltend, die Richtlinie 95/46 sei auf Artikel 100a EG-Vertrag gestützt; wenn ein Mitgliedstaat Rechtsvorschriften beibehalten oder einführen wolle, die von dieser Harmonisierungsrichtlinie abwichen, müsse er sie der Kommission gemäß Artikel 95 Absatz 4 oder Absatz 5 EG mitteilen. Infolgedessen dürften die Mitgliedstaaten keinen weiter gehenden Schutz personenbezogener Daten oder einen weiteren Anwendungsbereich als nach der Richtlinie vorsehen.

Antwort des Gerichtshofes

Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. Nach der zehnten Begründungserwägung der Richtlinie 95/46 darf außerdem die Angleichung der einschlägigen nationalen Rechtsvorschriften nicht zu einer Verringerung des durch diese Vorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen.

Die Harmonisierung dieser nationalen Rechtsvorschriften ist daher nicht auf eine Mindestharmonisierung beschränkt, sondern führt zu einer grundsätzlich umfassenden Harmonisierung. Im Hinblick darauf will die Richtlinie 95/46 den freien Verkehr personenbezogener Daten sicherstellen, wobei sie zugleich ein hohes Niveau des Schutzes der Rechte und Interessen der von diesen Daten betroffenen Personen gewährleistet.

 

Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts entgegensteht.

Aufgrund dessen ist auf die siebte Frage zu antworten, dass die von den Mitgliedstaaten zur Gewährleistung des Schutzes personenbezogener Daten getroffenen Maßnahmen sowohl mit den Bestimmungen der Richtlinie 95/46 als auch mit deren Ziel im Einklang stehen müssen, ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren. Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts entgegensteht.

Kosten

Die Auslagen der schwedischen und der niederländischen Regierung, der Regierung des Vereinigten Königreichs, der Kommission und der EFTA-Überwachungsbehörde, die Erklärungen vor dem Gerichtshof abgegeben haben, sind nicht erstattungsfähig. Für die Parteien des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts.

Aus diesen Gründen

hat

DER GERICHTSHOF

auf die ihm vom Göta hovrätt mit Beschluss vom 23. Februar 2001 vorgelegten Fragen für Recht erkannt:

1. Die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dar.

2. Eine solche Verarbeitung personenbezogener Daten fällt unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen.

3. Die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, gehört zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46.

4. Es liegt keine Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vor, wenn eine sich in einem Mitgliedstaat aufhaltende Person in eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person gespeichert ist, die die Website unterhält, auf der diese Seite abgerufen werden kann, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht.

5. Die Bestimmungen der Richtlinie 95/46 enthalten als solche keine Beschränkung, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die u. a. dem Recht aus Artikel 10 der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten entsprechen. Es ist Sache der nationalen Behörden und Gerichte, die für die Anwendung der die Richtlinie 95/46 umsetzenden nationalen Regelung zuständig sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung geschützten Grundrechte sicherzustellen.

6. Die von den Mitgliedstaaten zur Gewährleistung des Schutzes personenbezogener Daten getroffenen Maßnahmen müssen sowohl mit den Bestimmungen der Richtlinie 95/46 als auch mit deren Ziel im Einklang stehen, ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren. Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts entgegensteht.

(Unterschriften)

Michael Terhaag | Christian Schwarz

Influencer-Marketing - Rechtshandbuch

2. Auflage – vollständig überarbeitet und aktualisiert

Praxisnaher Überblick zu rechtlichen Fragestellungen im Influencer-Marketing,  u.a. im Werbe-, Wettbewerbs-, Urheber-, Marken- und Persönlichkeitsrecht; inklusive Muster zur Vertragsgestaltung.