Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62022CJ0659

Urteil des Gerichtshofs (Achte Kammer) vom 5. Oktober 2023.
RK gegen Ministerstvo zdravotnictví.
Vorabentscheidungsersuchen des Nejvyšší správní soud.
Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 2 – Begriff ‚Verarbeitung‘ personenbezogener Daten – Mobile Anwendung – Überprüfung der Gültigkeit von nach der Verordnung (EU) 2021/953 ausgestellten ‚digitalen Covid-Zertifikaten der EU‘.
Rechtssache C-659/22.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:745

 URTEIL DES GERICHTSHOFS (Achte Kammer)

5. Oktober 2023 ( *1 )

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 2 – Begriff ‚Verarbeitung‘ personenbezogener Daten – Mobile Anwendung – Überprüfung der Gültigkeit von nach der Verordnung (EU) 2021/953 ausgestellten ‚digitalen Covid-Zertifikaten der EU‘“

In der Rechtssache C‑659/22

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Nejvyšší správní soud (Oberstes Verwaltungsgericht, Tschechische Republik) mit Entscheidung vom 12. Oktober 2022, beim Gerichtshof eingegangen am 20. Oktober 2022, in dem Verfahren

RK

gegen

Ministerstvo zdravotnictví

erlässt

DER GERICHTSHOF (Achte Kammer)

unter Mitwirkung des Kammerpräsidenten M. Safjan sowie der Richter N. Piçarra und M. Gavalec (Berichterstatter),

Generalanwältin: L. Medina,

Kanzler: A. Calot Escobar,

aufgrund des schriftlichen Verfahrens,

unter Berücksichtigung der Erklärungen

von RK, vertreten durch D. Sudolská, Advokátka,

der tschechischen Regierung, vertreten durch M. Smolek, O. Serdula und J. Vláčil als Bevollmächtigte,

der niederländischen Regierung, durch M. K. Bulterman und A. Hanje als Bevollmächtigte,

der Europäischen Kommission, vertreten durch A. Bouchagiar, H. Kranenborg und P. Ondrůšek als Bevollmächtigte,

aufgrund des nach Anhörung der Generalanwältin ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,

folgendes

Urteil

1

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Abs. 1 und Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2

Es ergeht im Rahmen eines Rechtsstreits zwischen RK und dem Ministerstvo zdravotnictví (Gesundheitsministerium, Tschechische Republik, im Folgenden: Ministerium) über eine außerordentliche Maßnahme, mit der das Ministerium den Zugang von Personen zu bestimmten Räumlichkeiten und Veranstaltungen zum Schutz der Bevölkerung vor der Ausbreitung der Covid‑19-Pandemie regelte.

Rechtlicher Rahmen

DSGVO

3

Im ersten Erwägungsgrund der DSGVO heißt es: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union … sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union … hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

4

Art. 2 („Sachlicher Geltungsbereich“) Abs. 1 der Verordnung 2016/679 bestimmt:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

5

Art. 2 Abs. 2 zählt vier Fälle auf, in denen die DSGVO „keine Anwendung auf die Verarbeitung personenbezogener Daten [findet]“.

6

Art. 4 der Verordnung 2016/679 bestimmt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck

1.

‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2.

‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…“

7

Die Art. 5 und 6 der Verordnung 2016/679 betreffen die „Grundsätze für die Verarbeitung personenbezogener Daten“ bzw. die „Rechtmäßigkeit der Verarbeitung“.

Verordnung (EU) 2021/953

8

Im 48. Erwägungsgrund der Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Covid‑19-Impfungen und -Tests sowie der Genesung von einer Covid‑19-Infektion (digitales Covid-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der Covid‑19-Pandemie (ABl. 2021, L 211, S. 1) heißt es:

„Die [DSGVO] gilt für die Verarbeitung personenbezogener Daten bei der Durchführung dieser Verordnung. Mit dieser Verordnung wird die Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Sinne von Artikel 6 Absatz 1 Buchstabe c und Artikel 9 Absatz 2 Buchstabe g der [DSGVO] geschaffen, die für die Ausstellung und Überprüfung der in dieser Verordnung vorgesehenen interoperablen Zertifikate erforderlich sind. … Die Mitgliedstaaten können personenbezogene Daten zu anderen Zwecken verarbeiten, wenn die Rechtsgrundlage für die Verarbeitung solcher Daten zu anderen Zwecken, einschließlich der entsprechenden Speicherfristen, im nationalen Recht vorgesehen ist, das mit dem Datenschutzrecht der Union und den Grundsätzen der Wirksamkeit, Notwendigkeit und Verhältnismäßigkeit im Einklang stehen muss und Bestimmungen umfassen sollte, mit denen Anwendungsbereich und Umfang der Verarbeitung, der jeweilige spezifische Zweck, die Kategorien von Einrichtungen, die das Zertifikat überprüfen können, sowie die einschlägigen Sicherungsmaßnahmen zur Verhinderung von Diskriminierung und Missbrauch unter Berücksichtigung der Risiken für die Rechte und Freiheiten der betroffenen Personen eindeutig festgelegt werden. …“

9

Art. 1 („Gegenstand“) der Verordnung 2021/953 bestimmt:

„Diese Verordnung legt einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Covid‑19-Impfungen und -Tests sowie der Genesung von einer Covid‑19-Infektion (digitales Covid-Zertifikat der EU) mit der Zielsetzung fest, den Inhabern die Wahrnehmung ihres Rechts auf Freizügigkeit während der Covid‑19-Pandemie zu erleichtern. Diese Verordnung trägt ferner dazu bei, die schrittweise und koordinierte Aufhebung der Beschränkungen, die im Einklang mit dem Unionsrecht durch die Mitgliedstaaten zur Begrenzung der Ausbreitung von SARS-CoV‑2 verhängt wurden, zu erleichtern.

Sie bietet die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, die für die Ausstellung dieser Zertifikate erforderlich sind, und für die unter voller Einhaltung der [DSGVO] erfolgende Verarbeitung der Informationen, die erforderlich sind, um die Echtheit und Gültigkeit dieser Zertifikate zu überprüfen und zu bestätigen.“

10

Art. 3 („Digitales Covid-Zertifikat der EU“) Abs. 1 der Verordnung 2021/953 sieht vor, dass der Rahmen für das digitale Covid-Zertifikat der EU die grenzüberschreitende Ausstellung, Überprüfung und Anerkennung von Impfzertifikaten, Testzertifikaten und Genesungszertifikaten ermöglicht. Ferner bestimmt Art. 3 Abs. 2: „Die Mitgliedstaaten oder benannte Stellen, die im Namen der Mitgliedstaaten handeln, stellen die in Absatz 1 des vorliegenden Artikels genannten Zertifikate in digitalem oder papiergestütztem Format oder in beiden Formaten aus. Die potenziellen Inhaber sind berechtigt, die Zertifikate im Format ihrer Wahl zu erhalten. Diese Zertifikate sind benutzerfreundlich und enthalten einen interoperablen Strichcode, der die Überprüfung ihrer Echtheit, Gültigkeit und Integrität ermöglicht. Der Strichcode muss den technischen Spezifikationen nach Artikel 9 entsprechen. Die Informationen in den Zertifikaten müssen auch in einer für Menschen lesbaren Form und mindestens in der Amtssprache oder den Amtssprachen des ausstellenden Mitgliedstaats sowie auf Englisch angegeben sein.“

11

Art. 5 Abs. 2 Buchst. a, Art. 6 Abs. 2 Buchst. a und Art. 7 Abs. 2 Buchst. a der Verordnung 2021/953 sehen vor, dass ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat die Identität ihres Inhabers enthalten.

12

Art. 10 („Schutz personenbezogener Daten“) der Verordnung 2021/953 sieht in seinen ersten vier Absätzen vor:

„(1)   Die [DSGVO] gilt für die Verarbeitung personenbezogener Daten bei der Umsetzung dieser Verordnung.

(2)   Die personenbezogenen Daten, die in den gemäß dieser Verordnung ausgestellten Zertifikaten enthalten sind, dürfen für die Zwecke dieser Verordnung ausschließlich zum Zwecke des Abrufs und der Überprüfung der im Zertifikat enthaltenen Informationen verarbeitet werden, um die Ausübung des Rechts auf Freizügigkeit innerhalb der Union während der Covid‑19-Pandemie zu erleichtern. Nach dem Ende der Geltungsdauer dieser Verordnung findet keine weitere Verarbeitung mehr statt.

(3)   Die personenbezogenen Daten, die in den in Artikel 3 Absatz 1 genannten Zertifikaten enthalten sind, werden von den zuständigen Behörden des Bestimmungs- oder Transitmitgliedstaats oder von den grenzüberschreitend tätigen Personenverkehrsdienstleistern, die nach nationalem Recht verpflichtet sind, bestimmte Maßnahmen im Bereich der öffentlichen Gesundheit während der Covid‑19-Pandemie durchzuführen, ausschließlich verarbeitet, um den Impfstatus, ein Testergebnis oder den Genesungsstatus des Inhabers zu überprüfen und zu bestätigen. Zu diesem Zweck beschränken sich die personenbezogenen Daten auf das absolut Notwendige. Die personenbezogenen Daten, auf die gemäß diesem Absatz zugegriffen wird, werden nicht gespeichert.

(4)   Die personenbezogenen Daten, die für die Ausstellung der Zertifikate nach Artikel 3 Absatz 1, einschließlich der Ausstellung neuer Zertifikate, verarbeitet werden, dürfen vom Aussteller nicht länger gespeichert werden, als es für deren Zwecke unbedingt erforderlich ist, und in keinem Fall länger als für den Zeitraum, für den die Zertifikate zur Ausübung des Rechts auf Freizügigkeit verwendet werden dürfen.“

Ausgangsverfahren und Vorlagefrage

13

Mit einer außerordentlichen Maßnahme vom 29. Dezember 2021 (im Folgenden: außerordentliche Maßnahme oder Sondermaßnahme), die zum Schutz der Bevölkerung vor einer Ausweitung der Ausbreitung der Covid‑19-Pandemie erlassen wurde, machte das Ministerium ab dem 3. Januar 2022 den Zugang von Personen zu bestimmten Innen- und Außenräumen sowie ihre Teilnahme an Großveranstaltungen oder anderen Aktivitäten von der Erfüllung bestimmter Voraussetzungen abhängig. So waren erforderlich: erstens für Personen unter 18 Jahren, die wegen einer Kontraindikation nicht gegen Covid‑19 geimpft werden konnten, und für Personen, die nicht über ein vollständiges Impfschema verfügten, ein zur Feststellung, ob eine Infektion mit dem SARS-CoV‑2-Virus vorlag, durchgeführter negativer RT‑PCR-Test von weniger als 72 Stunden, zweitens der Ablauf eines Zeitraums von mindestens 14 Tagen nach Erhalt eines vollständigen Impfschemas mit einem zugelassenen Arzneimittel oder drittens die von einem Labor bestätigte Kontamination durch Covid‑19, wenn die Isolierungsfrist beendet war und ab dem ersten positiven Test nicht mehr als 180 Tage vergangen waren (im Folgenden: sogenannte Voraussetzungen für die „Infektionsfreiheit“).

14

Die außerordentliche Maßnahme verpflichtete Kunden (Zuschauer, Teilnehmer), den Nachweis über die Einhaltung dieser Voraussetzungen zu erbringen, und Betreiber (Veranstalter), deren Einhaltung mittels der mobilen Anwendung (mobile App) „čTečka“ des Ministeriums zu kontrollieren. Wenn der Kunde nicht nachwies, dass er diese Voraussetzungen erfüllte, war es dem Betreiber untersagt, ihm die Dienstleistung zu erbringen und ihm Zugang zu der Räumlichkeit oder der Veranstaltung zu gewähren. Der außerordentlichen Maßnahme zufolge gewährleistete diese App eine zuverlässige Überprüfung der Echtheit und Gültigkeit des den QR-Code enthaltenden vorgelegten Nachweises.

15

Um über die von RK am 20. Januar 2022 erhobene Klage auf Nichtigerklärung der außerordentlichen Maßnahme zu entscheiden, hält es der Nejvyšší správní soud (Oberstes Verwaltungsgericht, Tschechische Republik), das vorlegende Gericht, für erforderlich, zunächst zu prüfen, ob es sich bei der Kontrolle der sogenannten Voraussetzungen für die „Infektionsfreiheit“ mittels der App „čTečka“ um eine automatisierte „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO handelt, wobei es klarstellt, dass es davon ausgehe, dass es sich bei den Informationen, die in den digitalen Zertifikaten der EU enthalten seien, um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO handele. Wenn dies der Fall sei, gelte diese Verordnung gemäß ihrem Art. 2 Abs. 1.

16

Das vorlegende Gericht führt aus, dass die App „čTečka“ es ermögliche, die Gültigkeit digitaler Covid-Zertifikate der EU, die gemäß der Verordnung 2021/953 ausgestellt worden seien, zu kontrollieren und zu überprüfen. Mit dieser App werde der QR-Code des Zertifikats mit dem Fotogerät des Mobiltelefons der mit der Durchführung der Kontrolle beauftragten Person abgescannt. Diese Person habe dann über eine Übersicht über die grundlegenden Identifizierungsdaten des Inhabers des Zertifikats (Name, Vorname und Geburtsdatum) sowie über den gültigen oder ungültigen Status dieses Zertifikats. Durch Anklicken einer bestimmten Aktion in der App könne die mit der Durchführung der Kontrolle beauftragte Person auf alle in diesem Zertifikat genannten Informationen wie Impfung, Art des Impfstoffs, Hersteller des Impfstoffs, Anzahl der erhaltenen Dosen, Datum der Impfung, Datum des ersten positiven Ergebnisses sowie Aussteller des Zertifikats zugreifen. Die App „čTečka“ beschränke sich darauf, diese Daten vorübergehend auf dem Bildschirm des Mobiltelefons der mit der Durchführung der Kontrolle beauftragten Person anzuzeigen, so dass diese Daten weder gespeichert noch übermittelt würden.

17

Das vorlegende Gericht weist darauf hin, dass diese App zur Überprüfung der Gültigkeit eines digitalen Covid-Zertifikats der EU alle 24 Stunden oder auf Anfrage die öffentlichen Schlüssel der Zertifikate der Mitgliedstaaten und die Gültigkeitsvorschriften der Mitgliedstaaten über die Schnittstelle des Ministeriums herunterlade. Dieser Prozess könne auch offline stattfinden. Bei der Installierung der App auf dem Mobiltelefon der mit der Durchführung der Kontrolle beauftragten Person erscheine ein Text mit folgendem Wortlaut: „Die App čTečka wird in Übereinstimmung mit dem Unionsrecht und dem Recht der Tschechischen Republik verwendet und erleichtert die Freizügigkeit der Personen sowie den Zugang zu Dienstleistungen und Veranstaltungen für die Dauer der Covid‑19-Pandemie. Mit der App erfolgt eine Verarbeitung der personenbezogenen Daten der Inhaber von digitalen Covid-Zertifikaten der Mitgliedstaaten der Union im Hinblick auf ihre Kontrolle durch hierzu ermächtigte Personen auf der Grundlage der Unionsverordnung, der außerordentlichen Maßnahmen des [Ministeriums] oder auf freiwilliger Basis. Weder speichert die App personenbezogene Daten über die Gesundheit der kontrollierten Personen noch übermittelt sie solche Daten. Ausführliche Informationen über die Verarbeitung der personenbezogenen Daten finden Sie in den Nutzungsbedingungen.“

18

Das vorlegende Gericht weist außerdem darauf hin, dass nach Art. 3 Abs. 2 der Verordnung 2021/953 ein von einem Mitgliedstaat ausgestelltes Zertifikat einen interoperablen Strichcode enthalten müsse, der es ermögliche, die Echtheit, Gültigkeit und Integrität des Zertifikats zu überprüfen. Die Umwandlung der in Rn. 16 des vorliegenden Urteils genannten personenbezogenen Daten von einem maschinenlesbaren Format in ein von Menschen lesbares Format werde mittels eines automatisierten Prozesses durchgeführt, nämlich durch die App „čTečka“, was als Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO eingestuft werden könnte.

19

Das vorlegende Gericht hat jedoch Zweifel, dass dieser bloße Umwandlungsvorgang und die Anzeige dieser Daten auf einem Mobiltelefon eine „Verarbeitung“ im Sinne dieser Bestimmung darstellen, zumal diese beiden Vorgänge weder zu einer missbräuchlichen Verwendung oder Nutzung der personenbezogenen Daten noch zu einem Eingriff in das Recht auf Schutz dieser Daten führen könnten, da die App die so erhaltenen Daten nicht übermittele.

20

Das vorlegende Gericht ist im Übrigen der Ansicht, dass auch die Überprüfung der Gültigkeit des Zertifikats durch die App „čTečka“ eine Verarbeitung personenbezogener Daten darstellen könnte, da dieser Vorgang dazu führe, dass die in diesem Zertifikat enthaltenen personenbezogenen Daten über die Gesundheit der kontrollierten Person verwendet würden. Um beurteilen zu können, ob das Zertifikat gültig sei oder nicht, oder festzustellen, ob die sogenannten Voraussetzungen der „Infektionsfreiheit“, die in der außerordentlichen Maßnahme vorgesehen seien, von der betroffenen Person erfüllt würden, müsse die App nämlich notwendigerweise die Informationen über die Gesundheit dieser Person, wie das Impfdatum, mit den zu dem betreffenden Zeitpunkt geltenden Gültigkeitsvorschriften vergleichen.

21

Schließlich könne eine Verarbeitung personenbezogener Daten aus der Kombination der Prozesse bestehen, die bei der Kontrolle der Zertifikate durch die App „čTečka“ stattfänden, nämlich die Umwandlung der personenbezogenen Daten aus dem QR-Code in ein für Menschen lesbares Format, ihre Anzeige auf einem Mobiltelefon, ihre Einsichtnahme durch die kontrollierende Person und die Beurteilung der Gültigkeit des Zertifikats durch diese App anhand eines Vergleichs der personenbezogenen Gesundheitsdaten mit den Gültigkeitsvorschriften. Auch wenn diese Vorgänge für sich genommen möglicherweise keine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellten, könnte ihre Aneinanderreihung dazu führen, sie so einzustufen.

22

Vor diesem Hintergrund weist das vorlegende Gericht darauf hin, dass Art. 10 Abs. 1 und 3 der Verordnung 2021/953 ausdrücklich vorsehe, dass die DSGVO für die Zwecke der Ausübung der Freizügigkeit innerhalb der Union für die Verarbeitung der in den digitalen Covid-Zertifikaten der EU enthaltenen personenbezogenen Daten gelte. Zudem müsse nach dem 48. Erwägungsgrund der Verordnung 2021/953 die Verarbeitung der in den Zertifikaten enthaltenen personenbezogenen Daten nach einer einheitlichen rechtlichen Regelung erfolgen.

23

Unter diesen Umständen hat der Nejvyšší správní soud (Oberstes Verwaltungsgericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:

Kommt es bei der Überprüfung interoperabler Covid‑19-Zertifikate über Impf‑, Test- und Genesungsstatus, die im Rahmen der Verordnung 2021/953 ausgestellt und von der Tschechischen Republik für nationale Zwecke verwendet werden, durch die nationale App „čTečka“ zu einer automatisierten Verarbeitung personenbezogener Daten im Sinne von Art. 4 Abs. 2 DSGVO und ist damit der sachliche Anwendungsbereich dieser Verordnung gemäß deren Art. 2 Abs. 1 eröffnet?

Zur Vorlagefrage

24

Mit seiner Frage möchte das vorlegende Gericht wissen, ob der Begriff „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dahin auszulegen ist, dass er die Überprüfung der Gültigkeit interoperabler Covid‑19-Zertifikate zur Bescheinigung von Impfung, Test und Genesung, die gemäß der Verordnung 2021/953 ausgestellt und von einem Mitgliedstaat für nationale Zwecke verwendet werden, mittels einer nationalen mobilen Anwendung umfasst.

25

Es steht fest, dass eine Reihe der in Rn. 16 des vorliegenden Urteils dargelegten Informationen, auf die die mit der Durchführung der Kontrolle beauftragte Person bei der Überprüfung der Gültigkeit eines digitalen Covid-Zertifikats der EU zugreift, „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO sind. Aus dieser Bestimmung geht nämlich hervor, dass der Begriff „personenbezogene Daten“„alle Informationen [umfasst], die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“, und dass sich diese Identifizierung insbesondere aus der Verwendung des Namens der betroffenen Person ergeben kann.

26

In Bezug auf diesen letztgenannten Aspekt genügt die Feststellung, dass Art. 5 Abs. 2 Buchst. a, Art. 6 Abs. 2 Buchst. a und Art. 7 Abs. 2 Buchst. a der Verordnung 2021/953 vorsehen, dass ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat die Identität seines Inhabers enthalten.

27

Nach dieser Klarstellung ist darauf hinzuweisen, dass Art. 4 Nr. 2 DSGVO den Begriff „Verarbeitung“ definiert als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. In einer nicht abschließenden Aufzählung, die mit dem Wort „wie“ eingeleitet wird, nennt diese Bestimmung als Beispiele für die Verarbeitung das Abfragen und die Verwendung personenbezogener Daten. Aus dem Wortlaut dieser Bestimmung, insbesondere aus dem Ausdruck „jeder Vorgang“, ergibt sich, dass der Unionsgesetzgeber den Begriff „Verarbeitung“ weit fassen wollte (vgl. in diesem Sinne Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 35).

28

Diese weite Auslegung der Begriffe „personenbezogene Daten“ und „Verarbeitung“ steht im Einklang mit dem im ersten Erwägungsgrund der DSGVO genannten Ziel, die Wirksamkeit des Grundrechts auf Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, das der Anwendung dieser Verordnung zugrunde liegt.

29

Im vorliegenden Fall wird mit einer nationalen mobilen Anwendung wie der App „čTečka“ der im digitalen Covid-Zertifikat der EU enthaltene QR-Code abgescannt, um die in diesem Code verschlüsselten personenbezogenen Daten in ein Format umzuwandeln, das für die mit der Überprüfung der Gültigkeit dieses Zertifikats beauftragte Person lesbar ist. Damit ermöglicht eine solche App der mit der Durchführung der Kontrolle beauftragten Person, nach Abschluss eines automatisierten Verfahrens, nämlich des Scannens, personenbezogene Daten abzufragen und zu verwenden, um zu beurteilen, ob der Status der betroffenen Person mit den Gültigkeitsvorschriften, d. h. den geltenden Gesundheitsanforderungen, im Einklang steht. Das Ergebnis dieser Beurteilung ist auch automatisiert, da auf dem Mobiltelefon der die Kontrolle durchführenden Person bei Erfüllung der Gesundheitsanforderungen ein grünes Häkchen angezeigt wird und andernfalls ein rotes Kreuz erscheint.

30

Es ist somit davon auszugehen, dass die Überprüfung der Gültigkeit von nach der Verordnung 2021/953 ausgestellten interoperablen Covid‑19-Zertifikaten zur Bescheinigung von Impfung, Test und Genesung mittels der App „čTečka“ eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt und nach deren Art. 2 Abs. 1 in den sachlichen Anwendungsbereich dieser Verordnung fällt.

31

Die in Rn. 30 des vorliegenden Urteils dargelegte Auslegung wird durch die Verordnung 2021/953 gestützt, wonach die Umsetzung des digitalen Covid-Zertifikats der EU eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Art. 1 Abs. 2 der Verordnung 2021/953 bestimmt nämlich, dass diese Verordnung „die Rechtsgrundlage [bietet] für die Verarbeitung der personenbezogenen Daten, die für die Ausstellung dieser Zertifikate erforderlich sind, und für die unter voller Einhaltung der [DSGVO] erfolgende Verarbeitung der Informationen, die erforderlich sind, um die Echtheit und Gültigkeit dieser Zertifikate zu überprüfen und zu bestätigen“. Außerdem ergibt sich aus dem 48. Erwägungsgrund der Verordnung 2021/953 zum einen, dass die DSGVO für die bei der Umsetzung der Verordnung 2021/953 erfolgende Verarbeitung personenbezogener Daten gilt, und zum anderen, dass mit dieser Verordnung die Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Sinne von Art. 6 Abs. 1 Buchst. c und Art. 9 Abs. 2 Buchst. g der DSGVO geschaffen wird, die für die Ausstellung und Überprüfung der in der Verordnung 2021/953 vorgesehenen interoperablen Zertifikate erforderlich sind. Auch Art. 10 Abs. 1 dieser Verordnung bestätigt, dass die DSGVO für die Verarbeitung personenbezogener Daten bei der Umsetzung der Verordnung 2021/953 gilt.

32

Das vorlegende Gericht wird daher zu prüfen haben, ob die durch die außerordentliche Maßnahme eingeführte Verarbeitung zum einen mit den in Art. 5 DSGVO aufgestellten Grundsätzen für die Datenverarbeitung im Einklang steht und zum anderen einem der in Art. 6 DSGVO aufgeführten Grundsätze in Bezug auf die Rechtmäßigkeit der Verarbeitung entspricht (vgl. u. a. Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 96, und vom 4. Mai 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, Rn. 57).

33

Nach alledem ist der Begriff „Verarbeitung“ personenbezogener Daten in Art. 4 Nr. 2 DSGVO dahin auszulegen, dass er die Überprüfung der Gültigkeit interoperabler Covid‑19-Zertifikate zur Bescheinigung von Impfung, Test und Genesung, die gemäß der Verordnung 2021/953 ausgestellt und von einem Mitgliedstaat für nationale Zwecke verwendet werden, mittels einer nationalen mobilen Anwendung umfasst.

Kosten

34

Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

 

Aus diesen Gründen hat der Gerichtshof (Achte Kammer) für Recht erkannt:

 

Der Begriff „Verarbeitung“ personenbezogener Daten in Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

 

ist dahin auszulegen, dass

 

er die Überprüfung der Gültigkeit interoperabler Covid‑19-Zertifikate zur Bescheinigung von Impfung, Test und Genesung, die gemäß der Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Covid‑19-Impfungen und -Tests sowie der Genesung von einer Covid‑19-Infektion (digitales Covid-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der Covid‑19-Pandemie ausgestellt und von einem Mitgliedstaat für nationale Zwecke verwendet werden, mittels einer nationalen mobilen Anwendung umfasst.

 

Unterschriften


( *1 ) Verfahrenssprache: Tschechisch.

Top