Leitsätzliches
Mit diesem Urteil hat der EuGH eine neue Grundsatzentscheidung zum Thema Datenschutz und Datenveröffentlichungen auf Webseiten handeln. Hier geht es insbesondere um diejenigen, die "nur" private Informationen ohne Gewinnerzielungsabsicht veröffentlichen, so zum Beispiel Vereine.Der EuGH sagt: Wer auf einer Internetseite auf verschiedene Personen hinweist und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar macht, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne des europäischen Rechts dar. Sie ist von keiner der in den Richtlinien genannten Ausnahmen erfasst und damit grundsätzlich unzulässig.
URTEIL DES GERICHTSHOFES
6. November 2003
Richtlinie 95/46/EG - Anwendungsbereich - Veröffentlichung personenbezogener Daten im Internet - Ort der Veröffentlichung - Begriff der Übermittlung personenbezogener Daten in ein Drittland - Meinungsfreiheit - Vereinbarkeit eines weiter gehenden Schutzes personenbezogener Daten nach den Rechtsvorschriften eines Mitgliedstaats mit der Richtlinie 95/46
In der Rechtssache C-101/01
betreffend ein dem Gerichtshof nach Artikel 234 EG vom Göta hovrätt (Schweden) in dem bei diesem anhängigen Strafverfahren gegen
...
vorgelegtes Ersuchen um Vorabentscheidung insbesondere über die Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31)
erlässt
DER GERICHTSHOF
unter Mitwirkung des Präsidenten der Ersten Kammer P. Jann in Wahrnehmung der Aufgaben des Präsidenten, der Kammerpräsidenten C. W. A. Timmermans, C. Gulmann, J. N. Cunha Rodrigues und A. Rosas sowie der Richter D. A. O. Edward (Berichterstatter) und J.-P. Puissochet, der Richterin F. Macken und des Richters S. von Bahr,
Generalanwalt: A. Tizzano,
Kanzler: H. von Holstein, Hilfskanzler,
unter Berücksichtigung der schriftlichen Erklärungen
- von ...... vertreten durch ...... advokat,
- der schwedischen Regierung, vertreten durch ... als Bevollmächtigten,
- der niederländischen Regierung, vertreten durch ... als Bevollmächtigte,
- der Regierung des Vereinigten Königreichs, vertreten durch G. Amodeo als Bevollmächtigte im Beistand von ...,
- der Kommission der Europäischen Gemeinschaften, vertreten durch ... als Bevollmächtigte,
aufgrund des Sitzungsberichts,
nach Anhörung der mündlichen Ausführungen von L., vertreten durch ... der schwedischen Regierung, vertreten durch ... als Bevollmächtigte, der niederländischen Regierung, vertreten durch ... als Bevollmächtigte, der Regierung des Vereinigten Königreichs, vertreten durch ..., der Kommission, vertreten durch ... als Bevollmächtigten, und der EFTA-Überwachungsbehörde, vertreten durch ... als Bevollmächtigte, in der Sitzung vom 30. April 2002,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 19. September 2002
folgendes
Urteil
Rechtlicher Rahmen
Gemeinschaftsrecht
(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
- die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.
Artikel 8 (Verarbeitung besonderer Kategorien personenbezogener Daten) der Richtlinie 95/46 sieht vor:
(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Fällen keine Anwendung:
a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;
oder
b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist;
oder
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben;
oder
d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.
(4) Die Mitgliedstaaten können vorbehaltlich angemessener Garantien aus Gründen eines wichtigen öffentlichen Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle andere als die in Absatz 2 genannten Ausnahmen vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter behördlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen, festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilungen darf allerdings nur unter behördlicher Aufsicht geführt werden.
Die Mitgliedstaaten können vorsehen, dass Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen.
(6) Die in den Absätzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind der Kommission mitzuteilen.
(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen.
Artikel 9 (Verarbeitung personenbezogener Daten und Meinungsfreiheit) der Richtlinie 95/46 bestimmt:
Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen.
Beim Erlass der Richtlinie 95/46 ließ das Königreich Schweden folgende Erklärung zu Artikel 9 der Richtlinie in das Protokoll der Tagung des Rates (Dokument Nr. 4649/95 des Rates vom 2. Februar 1995) aufnehmen:
Das Königreich Schweden ist der Auffassung, dass sich der Begriff des künstlerischen und literarischen Schaffens eher auf die Ausdrucksmittel als auf den Inhalt der Mitteilung oder deren Qualität bezieht.
Nationales Recht
Ausgangsverfahren und Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und sie entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46 darstellt.
Beim Gerichtshof eingereichte Erklärungen
Nach Ansicht von Frau L. ist die Annahme abwegig, dass die bloße namentliche Nennung einer Person oder die bloße Angabe personenbezogener Daten in einem auf einer Internetseite enthaltenen Text eine automatisierte Verarbeitung von Daten darstelle. Dagegen könne die Aufnahme solcher Daten als Stichwörter in die meta tags einer Internetseite, die es ermögliche, eine Indexierung vorzunehmen und diese Seite durch eine Suchmaschine aufzufinden, eine solche Verarbeitung darstellen.
Antwort des Gerichtshofes
Zur zweiten Frage
Zur dritten Frage
Beim Gerichtshof eingereichte Erklärungen
Antwort des Gerichtshofes
Artikel 3 Absatz 2 der Richtlinie 95/46 sieht zwei Ausnahmen von deren Anwendungsbereich vor.
Die erste Ausnahme betrifft die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und jedenfalls Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn diese Verarbeitungen die Sicherheit des Staates berühren) und die Tätigkeiten des Staates im strafrechtlichen Bereich.
Da die Tätigkeiten von Frau L. , um die es im Ausgangsverfahren geht, im Wesentlichen nicht wirtschaftlicher, sondern ehrenamtlicher und religionsgemeinschaftlicher Natur sind, ist zu prüfen, ob sie die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, im Sinne von Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 darstellen.
Zu der auf Artikel 100a EG-Vertrag gestützten Richtlinie 95/46 hat der Gerichtshof bereits festgestellt, dass die Heranziehung von Artikel 100a EG-Vertrag als Rechtsgrundlage nicht voraussetzt, dass in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten besteht (vgl. Urteil vom 20. Mai 2003 in den Rechtssachen C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk u. a., Slg. 2003, I-0000, Randnr. 41 und die dort angeführte Rechtsprechung).
Die gegenteilige Auslegung würde nämlich dazu führen, dass die Abgrenzung des Anwendungsbereichs der Richtlinie 95/46 ungewiss wäre und von Zufälligkeiten abhinge, was ihrem Hauptzweck zuwiderliefe, die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen, um Hindernisse für das Funktionieren des Binnenmarktes zu beseitigen, die sich gerade aus den Unterschieden zwischen den nationalen Regelungen ergeben (Urteil Österreichischer Rundfunk u. a., Randnr. 42).
Unter diesen Umständen wäre es unangebracht, den Ausdruck Tätigkeiten ..., die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen dahin auszulegen, dass in jedem Einzelfall geprüft werden müsste, ob die betreffende konkrete Tätigkeit den freien Verkehr zwischen Mitgliedstaaten unmittelbar beeinträchtigt.
Die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 beispielhaft aufgeführten Tätigkeiten (nämlich solche nach den Titeln V und VI des Vertrags über die Europäische Union sowie Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich) sind jedenfalls spezifische Tätigkeiten der Staaten oder der staatlichen Stellen und haben mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun.
Daher ist davon auszugehen, dass die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 als Beispiele aufgeführten Tätigkeiten dazu dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie zugeordnet werden können (ejusdem generis).
Ehrenamtliche oder religionsgemeinschaftliche Tätigkeiten, wie sie von Frau L. ausgeübt werden, sind jedoch den in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 genannten Tätigkeiten nicht gleichzustellen und werden daher von dieser Ausnahme nicht erfasst.
Als Beispiele für die in Artikel 3 Absatz 2 zweiter Gedankenstrich der Richtlinie 95/46 geregelte Ausnahme werden in der zwölften Begründungserwägung dieser Richtlinie die Datenverarbeitung, die von einer natürlichen Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird, sowie der Schriftverkehr und die Führung von Anschriftenverzeichnissen genannt.
Diese Ausnahme ist somit dahin auszulegen, dass mit ihr nur Tätigkeiten gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören, was offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer unbegrenzte Zahl von Personen gemacht werden.
Daher ist auf die dritte Frage zu antworten, dass eine Verarbeitung personenbezogener Daten wie die in der Antwort auf die erste Frage angeführte unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen fällt.
Zur vierten Frage
Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46 gehört.
Angesichts des Zweckes der Richtlinie 95/46 ist der in ihrem Artikel 8 Absatz 1 verwendete Begriff Daten über Gesundheit in dem Sinne weit auszulegen, dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten - körperlichen wie psychischen - betreffen.
Mithin ist auf die vierte Frage zu antworten, dass die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46 gehört.
Zur fünften Frage
Mit der fünften Frage des vorlegenden Gerichts soll geklärt werden, ob eine Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vorliegt, wenn eine Person, die sich in einem Mitgliedstaat befindet, in eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person gespeichert ist, die die Website unterhält, auf der diese Seite abgerufen werden kann (im Folgenden: Host-Service-Provider), personenbezogene Daten aufnimmt und sie damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht. Das vorlegende Gericht fragt weiter, ob die Frage genauso zu beantworten wäre, wenn sich zeigt, dass tatsächlich kein Angehöriger eines Drittlands von diesen Daten Kenntnis erlangt hat oder dass sich der Server, auf dem die Seite gespeichert ist, rein räumlich in einem Drittland befindet.
Beim Gerichtshof eingereichte Erklärungen
Die Kommission und die schwedische Regierung vertreten die Auffassung, die Aufnahme personenbezogener Daten in eine Internetseite mittels eines Rechners dergestalt, dass diese Daten Angehörigen von Drittländern zugänglich gemacht würden, stelle eine Übermittlung von Daten in Drittländer im Sinne der Richtlinie 95/46 dar. Die Antwort sei die gleiche, wenn kein Angehöriger eines Drittlands von diesen Daten tatsächlich Kenntnis erlange oder wenn sich der Server, auf dem sie gespeichert seien, rein räumlich in einem Drittland befinde.
Die niederländische Regierung weist darauf hin, dass der Begriff Übermittlung in der Richtlinie 95/46 nicht definiert sei. Zum einen sei dieser Begriff dahin auszulegen, dass er sich auf eine Handlung beziehe, mit der bewusst personenbezogene Daten vom Gebiet eines Mitgliedstaats in ein Drittland übermittelt werden sollten; zum anderen sei es nicht möglich, zwischen den einzelnen Formen zu unterscheiden, in denen die Daten Dritten zugänglich gemacht würden. Infolgedessen könne die Aufnahme personenbezogener Daten in eine Internetseite mittels eines Rechners nicht als Übermittlung personenbezogener Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 angesehen werden.
Die Regierung des Vereinigten Königreich macht geltend, Artikel 25 der Richtlinie 95/46 beziehe sich auf die Übermittlung von Daten in ein Drittland und nicht auf die Frage, inwieweit aus diesen Ländern Zugang zu diesen Daten bestehe. Der Begriff Übermittlung setze voraus, dass Daten durch eine an einem bestimmten Ort befindliche Person an eine an einem anderen Ort befindliche dritte Person übermittelt würden. Nur für den Fall einer solchen Übermittlung schreibe Artikel 25 der Richtlinie 95/46 den Mitgliedstaaten vor, für einen angemessenen Schutz der personenbezogenen Daten in einem Drittland zu sorgen.
Antwort des Gerichtshofes
Die Richtlinie 95/46 definiert den Begriff Übermittlung in ein Drittland weder in Artikel 25 noch in irgendeiner anderen Bestimmung, insbesondere auch nicht in Artikel 2.
Bei der Prüfung der Frage, ob die Aufnahme personenbezogener Daten in eine Internetseite schon deshalb eine Übermittlung dieser Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 darstellt, weil die Daten durch diese Aufnahme den in diesem Drittland befindlichen Personen zugänglich gemacht werden, sind zum einen die technische Seite der damit verbundenen Vorgänge und zum anderen der Zweck und die Systematik von Kapitel IV der Richtlinie 95/46, in dem Artikel 25 steht, zu berücksichtigen.
Die im Internet zu findenden Informationen können fast jederzeit von einer unbestimmten Zahl von Personen von den verschiedensten Orten aus abgerufen werden. Die umfassende Abrufbarkeit dieser Informationen folgt insbesondere daraus, dass die beim Internet verwendeten technischen Mittel verhältnismäßig einfach und immer weniger kostspielig sind.
Nach den Modalitäten für die Benutzung des Internets, wie sie in den 1990er Jahren für Einzelpersonen wie Frau L. verfügbar geworden sind, übermittelt der Urheber einer für die Veröffentlichung im Internet bestimmten Seite die für diese Seite konstitutiven Daten seinem Host-Service-Provider. Dieser verwaltet die EDV-Infrastruktur, die zur Speicherung dieser Daten und für die Verbindung mit dem Server, auf dem die Internetseite untergebracht ist, notwendig ist. Dies ermöglicht die spätere Übermittlung dieser Daten an jede mit dem Internet verbundene Person, die sie erhalten möchte. Die Rechner, die diese EDV-Infrastruktur bilden, können sich in einem oder mehreren anderen Ländern als dem der Niederlassung des Host-Service-Providers befinden - was oft der Fall ist -, ohne dass dessen Kunden hiervon Kenntnis haben oder normalerweise Kenntnis nehmen können.
Aus den Akten geht hervor, dass ein Internetbenutzer zum Erhalt der Informationen auf den Internetseiten, in die Frau L. Daten über ihre Kollegen aufgenommen hatte, nicht nur eine Verbindung zum Internet herstellen, sondern auch - eigenhändig - die notwendigen Schritte zum Einsehen dieser Seiten unternehmen musste. Die Internetseiten von Frau L. enthielten, anders gesagt, nicht die technischen Mechanismen, die einen automatischen Versand dieser Informationen an Personen ermöglicht hätten, die diese Seiten nicht bewusst aufgesucht hatten.
Daraus folgt, dass unter Umständen wie denen des Ausgangsverfahrens die personenbezogenen Daten, die von einer Person aus, die sie auf eine Website hochgeladen hat, in den Rechner einer sich in einem Drittland befindenden Person gelangen, nicht zwischen diesen beiden Personen unmittelbar, sondern über die EDV-Infrastruktur des Host-Service-Providers, auf der die Seite gespeichert ist, übermittelt worden sind.
Dies ist der Kontext, in dem zu prüfen ist, ob der Gemeinschaftsgesetzgeber im Hinblick auf die Anwendung von Kapitel IV der Richtlinie 95/46 unter den Begriff Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 dieser Richtlinie auch Vorgänge fassen wollte, wie sie von Frau L. ausgeführt worden sind. Zu beachten ist, dass die fünfte Frage des vorliegenden Gerichts nur diese und nicht jene Vorgänge betrifft, die von den Host-Service-Providern ausgeführt werden.
Kapitel IV der Richtlinie 95/46, in dem Artikel 25 steht, sieht eine Sonderregelung vor, die besondere Bestimmungen für die von den Mitgliedstaaten vorzunehmende Kontrolle der Übermittlung personenbezogener Daten in Drittländer enthält. Mit diesem Kapitel ist eine Regelung eingeführt worden, die die allgemeine Regelung von Kapitel II der Richtlinie 95/46, die die Rechtmäßigkeit der Verarbeitung personenbezogener Daten betrifft, ergänzt.
Der Zweck des Kapitels IV wird in den Begründungserwägungen 56 bis 60 der Richtlinie 95/46 dargelegt; darin heißt es u. a., dass der in der Gemeinschaft durch diese Richtlinie garantierte Schutz von Personen der Übermittlung personenbezogener Daten in Drittländer, die ein angemessenes Schutzniveau aufweisen, zwar nicht entgegensteht, dass jedoch die Angemessenheit dieses Schutzniveaus unter Berücksichtigung aller Umstände hinsichtlich einer Übermittlung oder einer Kategorie von Übermittlungen zu beurteilen ist. Bietet ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen.
Artikel 25 der Richtlinie 95/46 erlegt den Mitgliedstaaten und der Kommission eine Reihe von Verpflichtungen zur Kontrolle der Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung des in jedem dieser Länder für diese Daten bestehenden Schutzniveaus auf.
Artikel 25 Absatz 4 der Richtlinie 95/46 sieht vor, dass die Mitgliedstaaten dann, wenn die Kommission feststellt, dass ein Drittland kein angemessenes Schutzniveau aufweist, die erforderlichen Maßnahmen treffen, damit keine Übermittlung personenbezogener Daten in das betreffende Drittland erfolgt.
Kapitel IV der Richtlinie 95/46 enthält keine Bestimmung über die Benutzung des Internets. So führt es auch keine Kriterien für die Klärung der Frage an, ob für die unter Vermittlung von Host-Service-Providern ausgeführten Vorgänge auf den Ort der Niederlassung oder des beruflichen Sitzes des Providers oder aber auf den oder die Orte abzustellen ist, an denen sich die Rechner befinden, die die EDV-Infrastruktur des Providers ausmachen.
Angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der Richtlinie 95/46 und des Fehlens von Kriterien für die Internetbenutzung in Kapitel IV dieser Richtlinie kann nicht angenommen werden, dass der Gemeinschaftsgesetzgeber unter den Begriff Übermittlung von Daten in ein Drittland im Vorgriff auch den Vorgang fassen wollte, dass eine Person in der Lage von Frau L. Daten in eine Internetseite aufnimmt, auch wenn diese Daten dadurch Personen aus Drittländern zugänglich gemacht werden, die über die technischen Mittel für diesen Zugang verfügen.
Deshalb ist Artikel 25 der Richtlinie 95/46 dahin auszulegen, dass Vorgänge, wie sie von Frau L. ausgeführt worden sind, als solche keine Übermittlung von Daten in ein Drittland darstellen. Daher braucht nicht untersucht zu werden, ob eine Person aus einem Drittland zu der betreffenden Internetseite Zugang hatte oder ob sich der Server des betreffenden Providers in einem Drittland befindet.
Somit ist auf die fünfte Frage zu antworten, dass keine Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vorliegt, wenn eine sich in einem Mitgliedstaat aufhaltende Personen in eine Internetseite, die bei ihrem in demselben oder einem anderen Mitgliedstaat ansässigen Host-Service-Provider gespeichert ist, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht.
Zur sechsten Frage
Mit seiner sechsten Frage möchte das vorlegende Gericht wissen, ob die Bestimmungen der Richtlinie 95/46 für einen Fall wie den vorliegenden eine Beschränkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die u. a. dem Recht aus Artikel 10 EMRK entsprechen.
Beim Gerichtshof eingereichte Erklärungen
Frau L. macht u. a. unter Hinweis auf das Urteil vom 6. März 2001 in der Rechtssache C-274/99 P (Connolly/Kommission, Slg. 2001, I-1611) geltend, die Richtlinie 95/46 und das PUL verstießen gegen den im Gemeinschaftsrecht anerkannten allgemeinen Grundsatz der Meinungsfreiheit, soweit sie Voraussetzungen einer vorherigen Einwilligung und einer vorherigen Mitteilung an eine Kontrollbehörde sowie ein generelles Verbot der Verarbeitung sensibler personenbezogener Daten einführten. Insbesondere genüge das Tatbestandsmerkmal ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten nicht den Kriterien der Vorhersehbarkeit und Genauigkeit.
Außerdem könne der bloße Umstand, dass eine natürliche Person namentlich genannt werde, dass ihre Telefonnummern und Arbeitsbedingungen bekannt gegeben und dass Informationen über ihren Gesundheitszustand und ihre Freizeitbeschäftigungen gegeben würden, Informationen, die öffentlich zugänglich, allgemein bekannt gegeben oder banal seien, keinen schweren Verstoß gegen das Recht auf Achtung der Privatsphäre begründen. Jedenfalls seien die mit der Richtlinie 95/46 auferlegten Beschränkungen angesichts des angestrebten Zweckes, das Ansehen und die Privatsphäre anderer zu schützen, unverhältnismäßig.
Die schwedische Regierung vertritt die Ansicht, die Richtlinie 95/46 ermögliche es, die betroffenen Interessen gegeneinander abzuwägen und damit die Meinungsfreiheit und den Schutz der Privatsphäre zu wahren. Zudem seien nur die nationalen Gerichte unter Berücksichtigung der Umstände jedes Einzelfalls in der Lage, die Angemessenheit der mit der Anwendung von Vorschriften zur Wahrung der Rechte anderer verbundenen Beschränkung der Ausübung des Rechts auf Meinungsfreiheit zu beurteilen.
Die niederländische Regierung weist darauf hin, dass sowohl die Meinungsfreiheit als auch das Recht auf Wahrung der Privatsphäre zu den allgemeinen Rechtsgrundsätzen gehörten, deren Wahrung der Gerichtshof sicherstelle, und dass die EMRK keine Hierarchie zwischen den verschiedenen Grundrechten aufstelle. Daher müsse sich das nationale Gericht bemühen, die verschiedenen betroffenen Grundrechte unter Berücksichtigung der Umstände des Einzelfalls miteinander in Einklang zu bringen.
Die Regierung des Vereinigten Königreichs führt aus, ihr in Randnummer 55 dieses Urteils dargelegter Vorschlag einer Antwort auf die fünfte Frage stehe mit den Grundrechten in vollem Einklang und ermögliche es, einen unverhältnismäßigen Eingriff in die Meinungsfreiheit zu verhindern. Auch wäre eine Auslegung, die dahin ginge, dass die Bekanntgabe personenbezogener Daten in einer bestimmten Form, nämlich auf einer Internetseite, viel strengeren Beschränkungen unterliege als eine Bekanntgabe in anderer Form, wie etwa auf Papier, kaum zu rechtfertigen.
Auch die Kommission meint, dass die Richtlinie 95/46 nicht zu einer Beschränkung führe, die gegen den allgemeinen Grundsatz der Meinungsfreiheit oder andere in der Europäischen Union geltende Rechte und Freiheiten, die namentlich dem in Artikel 10 EMRK normierten Recht entsprächen, verstoße.
Antwort des Gerichtshofes
Der siebten Begründungserwägung der Richtlinie 95/46 zufolge können die Errichtung und das Funktionieren des Binnenmarktes durch die in den nationalen Regelungen über die Verarbeitung personenbezogener Daten bestehenden Unterschiede in schwerwiegender Weise beeinträchtigt werden. Nach der dritten Begründungserwägung der Richtlinie 95/46 muss die Harmonisierung dieser nationalen Regelungen nicht nur auf den freien Verkehr dieser Daten zwischen Mitgliedstaaten, sondern auch auf die Wahrung der Grundrechte der Personen abzielen. Diese Ziele können offenkundig miteinander in Konflikt geraten.
Einerseits wird die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Funktionieren des Binnenmarktes ergibt, notwendig zu einer spürbaren Zunahme der Ströme personenbezogener Daten zwischen allen am wirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten führen, unabhängig davon, ob es sich dabei um Unternehmen oder um Verwaltungen der Mitgliedstaaten handelt. Diese Beteiligten müssen in gewissem Umfang über personenbezogene Daten verfügen können, um in dem Raum ohne Grenzen, den der Binnenmarkt bildet, ihre Geschäfte tätigen oder ihre Aufgabe erfüllen zu können.
Andererseits verlangen die von der Verarbeitung personenbezogener Daten betroffenen Personen zu Recht, dass diese Daten wirksam geschützt werden.
Die Mechanismen, die eine Abwägung der verschiedenen Rechte und Interessen ermöglichen, sind zum einen in der Richtlinie 95/46 selbst festgelegt, soweit diese Vorschriften enthält, die bestimmen, in welchen Situationen und in welchem Umfang die Verarbeitung personenbezogener Daten rechtmäßig ist und welche Schutzvorkehrungen vorzusehen sind. Zum anderen resultieren sie aus dem Erlass nationaler Regelungen zur Umsetzung dieser Richtlinie durch die Mitgliedstaaten sowie aus der möglichen Anwendung dieser Regelungen durch die nationalen Behörden.
Was die Richtlinie 95/46 selbst betrifft, so sind deren Bestimmungen notwendig verhältnismäßig allgemein gehalten, da sie auf viele ganz unterschiedliche Situationen Anwendung finden soll. Zu Recht enthält diese Richtlinie daher entgegen der Auffassung von Frau L. Vorschriften, die durch eine gewisse Flexibilität gekennzeichnet sind, und überlässt es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu wählen.
Zwar verfügen die Mitgliedstaaten zur Umsetzung der Richtlinie 95/46 in vielerlei Hinsicht über einen Handlungsspielraum. Dennoch lässt nichts die Annahme zu, dass es der in ihr vorgesehenen Regelung an Vorhersehbarkeit mangelt oder dass ihre Bestimmungen als solche gegen die allgemeinen Grundsätze des Gemeinschaftsrechts, insbesondere die durch die Gemeinschaftsrechtsordnung geschützten Grundrechte, verstoßen.
Daher muss ein angemessenes Gleichgewicht zwischen den genannten Rechten und Interessen eher auf nationaler Ebene im Stadium der Anwendung der die Richtlinie 95/46 umsetzenden Regelung auf konkrete Fälle gefunden werden.
In diesem Zusammenhang kommt den Grundrechten besondere Bedeutung zu, wie das Ausgangsverfahren zeigt, in dem es im Kern darum geht, die Meinungsfreiheit von Frau L. im Rahmen ihrer Arbeit als Katechetin und die Freiheit, Tätigkeiten auszuüben, die zum religiösen Leben beitragen, gegen den Schutz der Privatsphäre der Personen abzuwägen, über die Frau L. Daten auf ihre Website gestellt hat.
Demgemäß haben die Behörden und Gerichte der Mitgliedstaaten nicht nur ihr nationales Recht im Einklang mit der Richtlinie 95/46 auszulegen, sondern auch darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert.
Zwar erfordert der Schutz der Privatsphäre die Anwendung wirksamer Sanktionen gegen Personen, die personenbezogene Daten in mit der Richtlinie 95/46 nicht vereinbarer Weise verarbeiten, doch müssen solche Sanktionen stets den Grundsatz der Verhältnismäßigkeit wahren. Das gilt umso mehr, als der Anwendungsbereich der Richtlinie 95/46 sehr weit ist und die den Personen, die personenbezogene Daten verarbeiten, obliegenden Verpflichtungen zahlreich und weitgehend sind.
Nach dem Grundsatz der Verhältnismäßigkeit hat das vorlegende Gericht alle Umstände der Rechtssache, mit der es befasst ist, insbesondere die Dauer der Zuwiderhandlung gegen die die Richtlinie 95/46 durchführenden Vorschriften und die Bedeutung, die der Schutz der verbreiteten Daten für die Betroffenen hat, zu berücksichtigen.
Demgemäß ist auf die sechste Frage zu antworten, dass die Bestimmungen der Richtlinie 95/46 als solche keine Beschränkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die u. a. dem Recht aus Artikel 10 EMRK entsprechen. Es ist Sache der nationalen Behörden und Gerichte, die für die Anwendung der die Richtlinie 95/46 umsetzenden nationalen Regelung zuständig sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung geschützten Grundrechte sicherzustellen.
Zur siebten Frage
Mit seiner siebten Frage möchte das vorlegende Gericht wissen, ob es den Mitgliedstaaten freisteht, einen weiter gehenden Schutz für personenbezogene Daten oder einen weiteren Anwendungsbereich als nach der Richtlinie 95/46 vorzusehen.
Beim Gerichtshof eingereichte Erklärungen
Die schwedische Regierung vertritt die Auffassung, die Richtlinie 95/46 lege nicht nur Mindestanforderungen an den Schutz personenbezogener Daten fest. Vielmehr seien die Mitgliedstaaten bei der Umsetzung der Richtlinie zur Verwirklichung des durch diese vorgegebenen Schutzniveaus verpflichtet, so dass sie keinen stärkeren oder schwächeren Schutz vorsehen dürften. Zu beachten sei jedoch der den Mitgliedstaaten im Rahmen dieser Umsetzung eingeräumte Ermessensspielraum im Hinblick auf die genaue Festlegung der allgemeinen Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig sei, im innerstaatlichen Recht.
Nach Ansicht der niederländischen Regierung verbietet es die Richtlinie 95/46 den Mitgliedstaaten nicht, in bestimmten Bereichen einen stärkeren Schutz vorzusehen. Aus den Artikeln 10, 11 Absatz 1, 14 Absatz 1 Buchstabe a, 17 Absatz 3, 18 Absatz 5 und 19 Absatz 1 dieser Richtlinie gehe beispielsweise hervor, dass sie einen weiter gehenden Schutz vorsehen könnten. Außerdem stehe es den Mitgliedstaaten frei, die Grundsätze der Richtlinie 95/46 auch auf Tätigkeiten anzuwenden, die nicht in deren Anwendungsbereich fielen.
Die Kommission macht geltend, die Richtlinie 95/46 sei auf Artikel 100a EG-Vertrag gestützt; wenn ein Mitgliedstaat Rechtsvorschriften beibehalten oder einführen wolle, die von dieser Harmonisierungsrichtlinie abwichen, müsse er sie der Kommission gemäß Artikel 95 Absatz 4 oder Absatz 5 EG mitteilen. Infolgedessen dürften die Mitgliedstaaten keinen weiter gehenden Schutz personenbezogener Daten oder einen weiteren Anwendungsbereich als nach der Richtlinie vorsehen.
Antwort des Gerichtshofes
Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. Nach der zehnten Begründungserwägung der Richtlinie 95/46 darf außerdem die Angleichung der einschlägigen nationalen Rechtsvorschriften nicht zu einer Verringerung des durch diese Vorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen.
Die Harmonisierung dieser nationalen Rechtsvorschriften ist daher nicht auf eine Mindestharmonisierung beschränkt, sondern führt zu einer grundsätzlich umfassenden Harmonisierung. Im Hinblick darauf will die Richtlinie 95/46 den freien Verkehr personenbezogener Daten sicherstellen, wobei sie zugleich ein hohes Niveau des Schutzes der Rechte und Interessen der von diesen Daten betroffenen Personen gewährleistet.
Kosten
Aus diesen Gründen
hat
DER GERICHTSHOF
auf die ihm vom Göta hovrätt mit Beschluss vom 23. Februar 2001 vorgelegten Fragen für Recht erkannt:
1. Die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dar.
2. Eine solche Verarbeitung personenbezogener Daten fällt unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen.
3. Die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, gehört zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46.
4. Es liegt keine Übermittlung von Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 vor, wenn eine sich in einem Mitgliedstaat aufhaltende Person in eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person gespeichert ist, die die Website unterhält, auf der diese Seite abgerufen werden kann, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht.
5. Die Bestimmungen der Richtlinie 95/46 enthalten als solche keine Beschränkung, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die u. a. dem Recht aus Artikel 10 der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten entsprechen. Es ist Sache der nationalen Behörden und Gerichte, die für die Anwendung der die Richtlinie 95/46 umsetzenden nationalen Regelung zuständig sind, ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung geschützten Grundrechte sicherzustellen.
6. Die von den Mitgliedstaaten zur Gewährleistung des Schutzes personenbezogener Daten getroffenen Maßnahmen müssen sowohl mit den Bestimmungen der Richtlinie 95/46 als auch mit deren Ziel im Einklang stehen, ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren. Dagegen sind die Mitgliedstaaten durch nichts daran gehindert, den Geltungsbereich der die Richtlinie 95/64 umsetzenden innerstaatlichen Rechtsvorschriften auf vom Anwendungsbereich dieser Richtlinie nicht erfasste Bereiche auszudehnen, soweit dem keine andere Bestimmung des Gemeinschaftsrechts entgegensteht.
(Unterschriften)