Conclusions
SCHLUSSANTRÄGE DES GENERALANWALTS
ANTONIO TIZZANO
vom 19. September 2002(1)
Rechtssache C-101/01
Bodil Lindqvist
gegen
Åklagarkammaren Könköping
(Vorabentscheidungsersuchen des Göta Hovrätt)
„Richtlinie 95/46/EG – Anwendungsbereich“
1. Das schwedische Göta Hovrätt hat dem Gerichtshof mit Beschluss vom 23. Februar 2001 sieben Fragen nach der Auslegung der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Richtlinie 95/46 oder einfach Richtlinie)
(2)
zur Vorabentscheidung vorgelegt. Diese Fragen betreffen vor allem den Anwendungsbereich der Richtlinie, die Übermittlung
personenbezogener Daten in Drittstaaten, die Vereinbarkeit der Richtlinie mit den allgemeinen Grundsätzen im Bereich der Meinungsfreiheit
und die Möglichkeit, eine innerstaatliche Regelung zu erlassen, die restriktiver ist als die Gemeinschaftsregelung.
Rechtlicher Rahmen
Die Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten
2. Zur Bestimmung des rechtlichen Rahmens, in den sich die vorliegende Rechtssache einfügt, ist zunächst auf die Artikel 8 und
10 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten hinzuweisen.
3. In Artikel 8 der Konvention heißt es: (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich
vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche
Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen,
zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.
4. Artikel 10 der Konvention bestimmt: (1) Jeder hat Anspruch auf freie Meinungsäußerung. Dieses Recht schließt die Freiheit der Meinung und die Freiheit zum Empfang
und zur Mitteilung von Nachrichten oder Ideen ohne Eingriffe öffentlicher Behörden und ohne Rücksicht auf Landesgrenzen ein.
Dieser Artikel schließt nicht aus, dass die Staaten Rundfunk-, Lichtspiel- oder Fernsehunternehmen einem Genehmigungsverfahren
unterwerfen.(2) Da die Ausübung dieser Freiheiten Pflichten und Verantwortung mit sich bringt, kann sie bestimmten, vom Gesetz vorgesehenen
Formvorschriften, Bedingungen, Einschränkungen oder Strafdrohungen unterworfen werden, wie sie vom Gesetz vorgeschrieben und
in einer demokratischen Gesellschaft im Interesse der nationalen Sicherheit, der territorialen Unversehrtheit oder der öffentlichen
Sicherheit, der Aufrechterhaltung der Ordnung und der Verbrechensverhütung, des Schutzes der Gesundheit und der Moral, des
Schutzes des guten Rufes oder der Rechte anderer, um die Verbreitung von vertraulichen Nachrichten zu verhindern oder das
Ansehen und die Unparteilichkeit der Rechtsprechung zu gewährleisten, unentbehrlich sind.
Die Richtlinie 95/46
5. Auf Gemeinschaftsebene ist die Richtlinie 95/46 einschlägig, die auf der Grundlage des Artikels 100a EWG-Vertrag (jetzt Artikel
95 EG) erlassen wurde, um die freie Übermittlung personenbezogener Daten durch eine Harmonisierung der Rechts- und Verwaltungsvorschriften
der Mitgliedstaaten über den Schutz natürlicher Personen bei der Verarbeitung derartiger Daten zu fördern.
6. Der Richtlinie liegt der Gedanke zugrunde, dass
das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre, bei der Verarbeitung
personenbezogener Daten in den Mitgliedstaaten ... die Übermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das
Gebiet eines anderen Mitgliedstaats verhindern ... [und] somit ein Hemmnis für die Ausübung einer Reihe von Wirtschaftstätigkeiten
auf Gemeinschaftsebene darstellen, den Wettbewerb verfälschen und die Erfüllung des Auftrags der im Anwendungsbereich des
Gemeinschaftsrechts tätigen Behörden verhindern [kann] (siebte Begründungserwägung). Der Gemeinschaftsgesetzgeber war deshalb der Auffassung, dass
zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ... ein gleichwertiges Schutzniveau hinsichtlich der
Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich [ist]. Zur Erreichung dieses Zieles bedurfte es seiner Meinung nach einer Harmonisierungsmaßnahme auf Gemeinschaftsebene, da sich
das
für den Binnenmarkt grundlegende Ziel [des freien Verkehrs personenbezogener Daten] ... insbesondere unter Berücksichtigung
der großen Unterschiede, die gegenwärtig zwischen den einschlägigen einzelstaatlichen Rechtsvorschriften bestehen, und der
Notwendigkeit, die Rechtsvorschriften der Mitgliedstaaten zu koordinieren, damit der grenzüberschreitende Fluss personenbezogener
Daten kohärent und in Übereinstimmung mit dem Ziel des Binnenmarktes im Sinne des Artikels 7a des Vertrags geregelt wird,
... nicht allein durch das Vorgehen der Mitgliedstaaten verwirklichen [lässt] (achte Begründungserwägung). Nach Erlass einer Harmonisierungsmaßnahme dagegen dürften
die Mitgliedstaaten ... aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften
ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte
und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen (neunte Begründungserwägung).
7. Aufgrund dieser Erwägungen durfte nach Auffassung des Gemeinschaftsgesetzgebers bei der Festlegung eines
gleichwertigen Schutzniveaus in allen Mitgliedstaaten nicht das Erfordernis außer Acht gelassen werden,
dass die Grundrechte der Personen gewahrt werden (dritte Begründungserwägung). Dazu heißt es insbesondere:
Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der
Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte
und Grundfreiheiten und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. Deshalb dürfe
die Angleichung dieser Rechtsvorschriften ... nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten
Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen (zehnte Begründungserwägung).
8. Im Licht dieser Vorbemerkungen und Begründungen ist Artikel 1 der Richtlinie zu lesen, der den Gegenstand der Richtlinie wie
folgt definiert: (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten
und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten
aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.
9. Von den Begriffsbestimmungen in Artikel 2 der Richtlinie sind hier folgende von Bedeutung: a) [Der Ausdruck] ‚personenbezogene Daten' [bezeichnet] alle Informationen über eine bestimmte oder bestimmbare natürliche
Person (‚betroffene Person'); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann,
insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen,
physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;b) [der Ausdruck] ‚Verarbeitung personenbezogener Daten' (‚Verarbeitung') [bezeichnet] jeden mit oder ohne Hilfe automatisierter
Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern,
die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe
durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren,
Löschen oder Vernichten;c) [der Ausdruck] ‚Datei mit personenbezogenen Daten' (‚Datei') [bezeichnet] jede strukturierte Sammlung personenbezogener
Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen
oder geografischen Gesichtspunkten aufgeteilt geführt wird;d) [der Ausdruck] ‚für die Verarbeitung Verantwortlicher' [bezeichnet] die natürliche oder juristische Person, Behörde, Einrichtung
oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet.
10. Artikel 3 der Richtlinie legt deren Anwendungsbereich fest. Nach Absatz 1 gilt die Richtlinie
für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung
personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen. Nach Absatz 2 findet die Richtlinie jedoch keine Anwendung auf die Verarbeitung personenbezogener Daten, ─ die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise
Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend
die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls,
wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;─ die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird
(3)
.
11. Im vorliegenden Zusammenhang ist noch auf einige Bestimmungen in Kapitel II der Richtlinie (
Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten; Artikel 5 bis 21) hinzuweisen, beginnend mit Artikel 7, der die Fälle behandelt, in denen
die Verarbeitung personenbezogener Daten ... erfolgen darf. So darf ─ abgesehen von anderen, hier nicht in Betracht kommenden Situationen ─ eine solche Verarbeitung nach Buchstabe
a insbesondere erfolgen, wenn
die betroffene Person ... ohne jeden Zweifel ihre Einwilligung gegeben hat.
12. Artikel 8 enthält dagegen eine Sonderregelung für bestimmte Kategorien von sensiblen Daten. So untersagen die Mitgliedstaaten
nach Absatz 1 grundsätzlich
die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse
oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben. Absatz 2 sieht jedoch neben anderen, hier nicht einschlägigen Ausnahmen vor, dass diese Bestimmung keine Anwendung findet,
wenn
die betroffene Person ... ausdrücklich in die Verarbeitung der genannten Daten eingewilligt [hat], es sei denn, nach den Rechtsvorschriften
des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden.
13. Um die Erfordernisse des Schutzes bei der Verarbeitung personenbezogener Daten mit dem Grundsatz der Freiheit der Meinungsäußerung
in Einklang zu bringen, bestimmt Artikel 9, dass
die Mitgliedstaaten ... für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder
literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI ... insofern
vor[sehen], als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung
geltenden Vorschriften in Einklang zu bringen.
14. Im Rahmen der
Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten ist für die vorliegende Rechtssache noch Artikel 18 von Bedeutung, wonach, von Ausnahmen abgesehen, die Verarbeitung personenbezogener
Daten durch die für die Verarbeitung Verantwortlichen zuvor bei Kontrollstellen gemeldet werden muss, die von den Mitgliedstaaten
zu errichten sind.
15. Schließlich heißt es in Artikel 25 der Richtlinie,
dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet
werden sollen, in ein Drittland ... [nur] zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet (Absatz 1). Dabei wird die Angemessenheit des Schutzniveaus
unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen
eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung,
das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen
sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt (Absatz 2).
Das schwedische Recht
16. Schweden hat die Richtlinie 95/46 durch das Personuppgiftslag (Gesetz über personenbezogene Daten)
(4)
durchgeführt. Im vorliegenden Zusammenhang ist insbesondere auf § 49 Absatz 1 Buchstaben b bis d dieses Gesetzes hinzuweisen,
wonach in Schweden das Unterlassen der Meldung einer automatisierten Verarbeitung personenbezogener Daten an die zuständige
Kontrollbehörde (Datainspektion), die Verarbeitung sensibler Daten, darunter solcher, die die Gesundheit betreffen, und die
Übermittlung personenbezogener Daten, die einer nicht genehmigten Verarbeitung unterzogen wurden, in Drittländer als Straftaten
betrachtet werden. Außerdem ergibt sich aus den Vorarbeiten zum Personuppgiftslag, dass dieses Gesetz keinen anderen Anwendungsbereich
haben sollte als die Richtlinie.
Sachverhalt und Verfahren
17. Im Herbst 1998 arbeitete Frau Bodil Lundqvist neben ihrer gewöhnlichen Berufstätigkeit ehrenamtlich als Katechetin in der
Kirchengemeinde Alseda in Schweden. Im Rahmen dieser Tätigkeit richtete sie, um den Gemeindemitgliedern einen leichten Zugang
zu den von ihnen benötigten Informationen zu ermöglichen, eine Startseite im Internet ein, in die sie einige Angaben über
sich selbst, ihren Ehemann und ihre sechzehn Kollegen in der Pfarrei aufnahm, die je nachdem nur mit ihrem Vornamen oder mit
ihrem Familiennamen bezeichnet wurden. Genauer gesagt wurden auf dieser Startseite in leicht scherzhaften Formulierungen die
Arbeitsaufgaben und Freizeitbeschäftigungen der Kollegen beschrieben; in einigen Fällen wurden ihr Familienstand, ihre Telefonnummern
und andere persönliche Daten angegeben. Unter den verschiedenen wiedergegebenen Informationen wurde, soweit hier von Interesse,
insbesondere der Umstand erwähnt, dass eine Kollegin aufgrund einer Fußverletzung teilweise krankgeschrieben war. Die fragliche
Startseite war auch über die Internetseite der schwedischen Kirche zugänglich, auf der auf Ersuchen von Frau Lindqvist ein
Hyperlink angebracht worden war.
18. Frau Lindqvist hatte ihren Kollegen von der Startseite nichts gesagt, so dass diese auch nicht um Zustimmung zur Verarbeitung
ihrer Daten gebeten worden waren. Auch die Datainspektion wurde in der Folgezeit nicht über die Einrichtung der Startseite
und die Verarbeitung personenbezogener Daten informiert. Der Startseite war gleichwohl nur ein kurzes Leben beschieden, denn
Frau Lindqvist sorgte sofort für ihre Entfernung, als sie erfuhr, dass einige ihrer Kollegen ihre Initiative missbilligten.
19. Trotz der unverzüglichen Entfernung der Startseite wurde wegen ihrer Einrichtung gegen Frau Lindqvist in Schweden ein Strafverfahren
gemäß § 49 Absatz 1 Buchstaben b bis d des Personuppgiftslag eingeleitet. In diesem Verfahren wurde ihr insbesondere vorgeworfen,
personenbezogene Daten in einem automatisierten Verfahren verarbeitet zu haben, ohne dies zuvor der Datainspektion schriftlich
gemeldet zu haben, sensible Daten wie die Angaben über die Verletzung der Kollegin und die nachfolgende Teilkrankschreibung
verarbeitet zu haben, und personenbezogene Daten, die einer Verarbeitung unterzogen wurden, ohne Genehmigung in Drittländer
übermittelt zu haben.
20. Frau Lindqvist räumte die von der Staatsanwaltschaft angeführten tatsächlichen Umstände ein, machte jedoch geltend, ihr Verhalten
sei nicht strafbar. Ihr Vorbringen wurde indessen vom erkennenden Gericht zurückgewiesen, und sie wurde zur Zahlung einer
Geldbuße verurteilt. Gegen dieses Urteil legte Frau Lindqvist Rechtsmittel zum Hovrätt ein.
21. Da im Verfahren geltend gemacht wurde, dass das schwedische Gesetz mit den Bestimmungen der Richtlinie unvereinbar sei, und
schwierige Fragen nach der Auslegung dieser Bestimmungen aufgeworfen wurden, hat das Hovrätt das Verfahren ausgesetzt und
dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:1. Fällt die Nennung einer Person (mit Namen oder mit Namen und Telefonnummer) auf einer Startseite im Internet in den Anwendungsbereich
der Richtlinie? Liegt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten vor, wenn auf einer persönlich
eingerichteten Startseite im Internet eine Reihe von Personen genannt und Angaben über ihr Arbeitsverhältnis, ihre Freizeitinteressen
u. a. gemacht werden?
2. Wenn die vorstehende Frage zu verneinen ist: Kann die Einrichtung besonderer Seiten für etwa fünfzehn Personen im Rahmen einer
Startseite im Internet mit Links zwischen den Seiten, die eine namentliche Suche ermöglichen, als eine
nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen, im Sinne von Artikel 3 Satz 1 angesehen werden?Für den Fall, dass eine dieser Fragen zu bejahen ist, stellt das Hovrätt weiter folgende Fragen:
3. Kann die Eingabe von Daten der genannten Art über Arbeitskollegen auf einer privaten Startseite, die jedoch für alle, die
die Adresse der Seite kennen, zugänglich ist, aufgrund einer der Ausnahmen des Artikels 3 Absatz 2 der Richtlinie als nicht
unter die Richtlinie fallend angesehen werden?
4. Gehört die Mitteilung auf einer Startseite, dass ein namentlich benannter Arbeitskollege sich den Fuß verletzt hat und teilweise
krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit, die nach Artikel 8 Absatz 1 nicht verarbeitet werden
dürfen?
5. Die Übermittlung personenbezogener Daten in Drittstaaten ist gemäß der Richtlinie in bestimmten Fällen verboten. Liegt eine
Übermittlung von Daten in Drittstaaten im Sinne der Richtlinie vor, wenn jemand in Schweden mit Hilfe eines Rechners personenbezogene
Daten auf einer Startseite, die auf einem Server in Schweden gespeichert ist, veröffentlicht, wodurch diese Daten Personen
in Drittländern zugänglich werden? Wäre diese Frage genauso zu beantworten, wenn, soweit bekannt, niemand in einem Drittland
tatsächlich Kenntnis von den Daten erlangt hat oder wenn sich der betreffende Server rein räumlich in einem Drittland befindet?
6. Stellen die Bestimmungen der Richtlinie in einem Fall wie dem vorliegenden Beschränkungen dar, die im Widerspruch zu den allgemeinen
Grundsätzen im Bereich der Meinungsfreiheit oder zu anderen Freiheiten und Rechten stehen, die innerhalb der Europäischen
Union gelten und u. a. eine Entsprechung in Artikel 10 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten
haben?Schließlich legt das Hovrätt folgende Frage vor:
7. Kann ein Mitgliedstaat unter den in den vorstehenden Fragen geschilderten Umständen einen weiter gehenden Schutz für personenbezogene
Daten vorsehen oder den Anwendungsbereich der Richtlinie erweitern, auch wenn keine der Voraussetzungen des Artikels 13 vorliegt?
22. In dem nachfolgenden Verfahren vor dem Gerichtshof haben außer Frau Lindqvist und dem Königreich Schweden auch das Königreich
der Niederlande, das Vereinigte Königreich und die Kommission Erklärungen abgegeben.
Rechtliche Prüfung
Vorbemerkung
23. Wie wir gesehen haben, stellt das vorlegende Gericht dem Gerichtshof zahlreiche Fragen nach dem Anwendungsbereich der Richtlinie,
nach der Auslegung der Artikel 8 und 25, nach der Gültigkeit ihrer Bestimmungen im Hinblick auf allgemeine Grundsätze des
Gemeinschaftsrechts und nach der Befugnis der Mitgliedstaaten, ein höheres Schutzniveau zu gewährleisten als die Richtlinie.
24. Was genauer den Anwendungsbereich der Richtlinie betrifft, hat das Gericht offensichtlich keinen Zweifel daran, dass hier
eine
Verarbeitung personenbezogener Daten vorliegt. Auch die Verfahrensbeteiligten haben insoweit keine Zweifel geäußert. In der Tat steht Folgendes fest:─ Bei den Informationen über die Kollegen von Frau Lindqvist (Vor- und Familienname, Telefonnummer, Berufstätigkeit, Freizeitbeschäftigungen
usw.) handelt es sich um
personenbezogene Daten , die unter die Kategorie
alle Informationen über eine bestimmte oder bestimmbare natürliche Person (Artikel 2 Buchstabe a) fallen;─ die Aufnahme dieser Informationen in eine Startseite wie die, um die es hier geht, stellt eine
Verarbeitung personenbezogener Daten dar, wobei die Richtlinie auch insoweit einen besonders weiten Begriff verwendet, der
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen
Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das
Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination
oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten (Artikel 2 Buchstabe b) umfasst.
25. Gleichwohl fällt nicht jede
Verarbeitung personenbezogener Daten in den Anwendungsbereich der Richtlinie, denn nach Artikel 3 Absatz 1 gilt diese nur für die
ganz oder teilweise automatisierte VerarbeitungpersonenbezogenerDaten und für die
nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen . Allgemeiner findet die Richtlinie nach Artikel 3 Absatz 2 keine Anwendung auf die Verarbeitung personenbezogener Daten,
die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen
(5)
(erster Gedankenstrich) oder
die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird (zweiter Gedankenstrich).
26. Im Hinblick auf die Einschränkung des Anwendungsbereichs der Richtlinie durch diese Bestimmungen möchte das vorlegende Gericht
mit seinen ersten drei Fragen wissen,i) ob die Aufnahme der fraglichen Informationen in die Startseite eine
ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten (erste Frage) oder eine
nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen (zweite Frage) darstellt;ii) ob eine Verarbeitung personenbezogener Daten wie die vorliegende auf jeden Fall vom Anwendungsbereich der Richtlinie ausgenommen
ist, da sie
für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen oder
von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird (dritte Frage).
27. Trotz der vom vorlegenden Gericht gewählten anderen Reihenfolge müssen die in der dritten Frage aufgeworfenen Fragen meines
Erachtens zuerst beantwortet werden. Denn aufgrund des allgemeineren Charakters des Artikels 3 Absatz 2 scheint mir klar,
dass auch die ganz oder teilweise automatisierten Verarbeitungen personenbezogener Daten oder die nicht automatisierten Verarbeitungen
personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen, nicht in den Anwendungsbereich
der Richtlinie fallen, wenn sie für die Ausübung von Tätigkeiten erfolgen, die nicht in den Anwendungsbereich des Gemeinschaftsrechts
fallen, oder von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeit vorgenommen werden.
Deshalb würde eine Bejahung der dritten Frage die Beantwortung der ersten beiden Fragen überflüssig machen. Ich beginne deshalb
mit der Prüfung dieser Frage.
Die dritte Frage
Vorbringen der Verfahrensbeteiligten
28. Zu dieser Frage haben alle Verfahrensbeteiligten mit Ausnahme des Vereinigten Königreichs Stellung genommen, das sich darauf
beschränkt hat, die fünfte und die sechste Frage zu prüfen.
29. Frau Lindqvist trägt vor, dass allein die Verarbeitung personenbezogener Daten im Rahmen wirtschaftlicher Tätigkeiten in den
Anwendungsbereich der Richtlinie falle; diese sei folglich nicht auf eine Verarbeitung (wie die hier zu prüfende) anwendbar,
die ohne irgendeine Vergütung und außerhalb einer wirtschaftlichen Tätigkeit erfolge. Andernfalls wäre die Gültigkeit der
Richtlinie in Frage gestellt, da Artikel 95 EG (auf dessen Grundlage die Richtlinie erlassen worden sei) nicht bezwecke, auf
Gemeinschaftsebene Tätigkeiten zu regeln, die mit dem Ziel der Verwirklichung des Binnenmarktes nichts zu tun hätten. Die
Regelung einer solchen Tätigkeit durch eine auf der Grundlage dieses Artikels erlassene Harmonisierungsrichtlinie würde nämlich
gegen den in Artikel 5 EG verankerten Grundsatz verstoßen, dass
die Gemeinschaft ... innerhalb der Grenzen der ihr in diesem Vertrag zugewiesenen Befugnisse und gesetzten Ziele tätig [wird].
30. Ungeachtet einiger Zweifel scheint auch die schwedische Regierung der Auffassung zu sein, dass die Veröffentlichung personenbezogener
Daten auf einer Startseite, die von einer natürlichen Person in Ausübung ihrer Meinungsfreiheit und ohne Zusammenhang mit
irgendeiner beruflichen oder wirtschaftlichen Tätigkeit eingerichtet wird, nicht in den Geltungsbereich des Gemeinschaftsrechts
fällt. Hinsichtlich des Artikels 3 Absatz 2 zweiter Gedankenstrich meint die schwedische Regierung jedoch, dass die Verbreitung
derartiger Daten über das Internet nicht als
ausschließlich persönliche oder familiäre Tätigkeit angesehen werden könne, da sie die Übermittlung dieser Daten an eine unbestimmte Anzahl von Personen mit sich bringe.
31. Die niederländische Regierung ist nicht der Ansicht, dass die fragliche Verarbeitung aufgrund der Einschränkungen in den beiden
Bestimmungen des Artikels 3 Absatz 2 außerhalb des Anwendungsbereichs der Richtlinie liegt. So verneint auch sie, dass die
in Rede stehende Tätigkeit rein persönlichen oder familiären Charakter habe, da sie zur Verbreitung personenbezogener Daten
unter einer unbestimmbaren und unbegrenzten Anzahl von Personen führe.
32. Nach Auffassung der Kommission schließlich ist der Anwendungsbereich der Richtlinie weit zu verstehen, so dass eine Verarbeitung
wie die hier zu prüfende unter die Richtlinie falle. Zu Artikel 3 Absatz 2 erster Gedankenstrich führt die Kommission insbesondere
aus, dass sich das Gemeinschaftsrecht nicht darauf beschränke, Tätigkeiten wirtschaftlicher Natur zu regeln, und weist u. a.
darauf hin, dass Artikel 6 des Vertrages über die Europäische Union die Wahrung der Grundrechte als allgemeine Grundsätze
der Gemeinschaftsrechtsordnung vorschreibe. Da die Richtlinie ihren Begründungserwägungen zufolge auch zum sozialen Fortschritt
und zum Wohlergehen der Einzelnen beitragen wolle, lasse sich im Übrigen nicht ausschließen, dass sie beabsichtige, den freien
Verkehr personenbezogener Daten auch als Ausübung einer sozialen Tätigkeit, die im Rahmen der Integration und des Funktionierens
des Binnenmarktes ausgeübt werde, zu regeln. Zudem falle die in Rede stehende Tätigkeit auch deshalb in den Anwendungsbereich
des Gemeinschaftsrechts, weil Frau Lindqvist
Leistungsempfängerin
(6)
im Sinne des Artikels 49 EG sei, nämlich Empfängerin von Leistungen, die mit der Benutzung des Internets (insbesondere von
Telekommunikationsleistungen) zusammenhingen. Die Kommission bemerkt abschließend, hier liege keine
ausschließlich persönliche oder familiäre Tätigkeit vor, erstens, weil eine Startseite allen zugänglich sei, die eine Suchmaschine benutzten, und nicht nur denen, denen ihre
Adresse bereits bekannt sei, und zweitens, weil derartige Tätigkeiten per definitionem nur das Privatleben desjenigen beträfen,
der die Daten verarbeite.
Beurteilung
33. Wie bereits mehrfach hervorgehoben, ist zu prüfen, ob eine Verarbeitung personenbezogener Daten wie die vorliegende außerhalb
des Anwendungsbereichs der Richtlinie liegt, weil sie
für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, oder weil sie
von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.
34. Was den zweiten Gesichtspunkt betrifft, teile ich die Auffassung der Kommission sowie der schwedischen und der niederländischen
Regierung, dass eine Datenverarbeitung wie die vorliegende nicht als Verarbeitung angesehen werden kann, die
zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird. Darunter fallen nämlich meines Erachtens nur Tätigkeiten wie
Schriftverkehr oder Führung von Anschriftenverzeichnissen (die in der zwölften Begründungserwägung als Beispiele genannt sind), d. h. eindeutig private und vertrauliche Tätigkeiten,
die auf den persönlichen und familiären Bereich der Betroffenen beschränkt bleiben sollen. Ich glaube deshalb nicht, dass
eine Tätigkeit, die wie der von Frau Lindqvist in der Gemeinde erteilte Religionsunterricht stark sozial geprägt ist, als
eine solche Tätigkeit angesehen werden kann. Dies trifft umso mehr zu, wenn man berücksichtigt, dass die von ihr vorgenommene
Verarbeitung eindeutig über ihren persönlichen und familiären Bereich hinausgeht, da sie sogar die Veröffentlichung persönlicher
Daten auf einer Startseite umfasst, die von jedermann überall auf der Welt aufgesucht werden kann, insbesondere auch aufgrund
eines Hyperlink, der auf einer der Öffentlichkeit zugänglichen (also mit einer Suchmaschine leicht auffindbaren) Webseite
wie der der schwedischen Kirche angebracht ist.
35. Ich stimme Frau Lindqvist jedoch darin zu, dass die fragliche Verarbeitung
für die Ausübung von Tätigkeiten erfolgt[e], die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen.
36. Frau Lindqvist hat die fragliche Startseite ohne Gewinnstreben ausschließlich zur Unterstützung ihrer ehrenamtlich und außerhalb
irgendeines Arbeitsverhältnisses in der Kirchengemeinde verrichteten Tätigkeit als Religionslehrerin eingerichtet. Die erörterte
Verarbeitung personenbezogener Daten erfolgte somit im Rahmen einer Tätigkeit ohne wirtschaftlichen Charakter, die keinen
(jedenfalls keinen direkten) Zusammenhang mit der Ausübung der vom Vertrag gewährleisteten Grundfreiheiten aufweist und auch
nicht Gegenstand irgendeiner besonderen Vorschrift auf Gemeinschaftsebene ist. Daraus ergibt sich meines Erachtens, dass diese
Verarbeitung im Sinne von Artikel 3 Absatz 2 der Richtlinie für die Ausübung einer Tätigkeit erfolgt ist, die nicht in den
Anwendungsbereich des Gemeinschaftsrechts fällt.
37. Im Übrigen erscheint mir das Vorbringen der Kommission, die fragliche Tätigkeit falle in den Anwendungsbereich des Gemeinschaftsrechts,
da Frau Lindqvist Empfängerin zahlreicher mit der Benutzung des Internets zusammenhängender Leistungen (insbesondere von Telekommunikationsleistungen)
sei und sich somit auf die in Artikel 49 EG verankerten Rechte berufe, etwas gezwungen. Denn abgesehen davon, dass sich aus
dem Vorlagebeschluss und aus den Verfahrensakten kein grenzüberschreitender Gesichtspunkt ergibt, der die Anwendung des Artikels
49 auf den vorliegenden Sachverhalt rechtfertigen könnte
(7)
, erscheint mir nur allzu klar, dass Artikel 3 Absatz 2 der Richtlinie völlig ausgehöhlt würde, wenn man alle ─ auch nichtwirtschaftlichen
─ Tätigkeiten, bei deren Ausübung Telekommunikations- oder andere Dienstleistungen in Anspruch genommen werden, in den Anwendungsbereich
des Gemeinschaftsrechts einbeziehen müsste. Wollte man dieser Logik folgen, müsste man jedes Mal, wenn jemand für ihre Ausübung
auf derartige Dienstleistungen zurückgreift, auch diejenigen Tätigkeiten unter die Richtlinie subsumieren, die in den Titeln
V und VI des Vertrages über die Europäische Union aufgeführt sind und in Artikel 3 Absatz 2 gerade als Beispiele für
Tätigkeiten ..., die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, genannt werden.
38. Etwas gezwungen erscheint mir auch der Versuch der Kommission, die Tätigkeit von Frau Lindqvist auch deshalb als in den Anwendungsbereich
der Richtlinie fallend anzusehen, weil diese sich nicht auf die Verfolgung wirtschaftlicher Ziele beschränke, sondern sich
auch Ziele setze, die mit sozialen Erfordernissen und mit dem Schutz der Grundrechte zusammenhingen.
39. Insoweit ist daran zu erinnern, dass die Richtlinie auf der Grundlage des Artikels 100a EWG-Vertrag erlassen wurde, um die
freie Übermittlung personenbezogener Daten durch eine Harmonisierung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten
über den Schutz natürlicher Personen bei der Verarbeitung derartiger Daten zu fördern. Der Gemeinschaftsgesetzgeber wollte
insbesondere ein
gleichwertiges Schutzniveau ... in allen Mitgliedstaaten herstellen, um die Hemmnisse für den Verkehr personenbezogener Daten zu beseitigen, die sich aus dem
unterschiedliche[n] Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre ... in den Mitgliedstaaten ergeben (siebte und achte Begründungserwägung)
(8)
. Deshalb durften die Mitgliedstaaten nach Erlass der Harmonisierungsrichtlinie
aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien
Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten
natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen (neunte Begründungserwägung).
40. Zwar trifft es zu, das der Gemeinschaftsgesetzgeber bei der Festlegung des
gleichwertigen Schutzniveaus in allen Mitgliedstaaten der Notwendigkeit Rechnung getragen hat,
zum wirtschaftlichen und sozialen Fortschritt ... beizutragen und (vor allem)
die Grundrechte der Personen [zu wahren] (zweite und dritte Begründungserwägung), und zwar in der Absicht, ein
hohes Schutzniveau sicherzustellen (zehnte Begründungserwägung), all dies geschieht aber im Rahmen und im Hinblick auf die Verwirklichung des
Hauptzwecks der Richtlinie, nämlich den freien Verkehr personenbezogener Daten zu fördern, der als
für den Binnenmarkt grundlegende[s] Ziel angesehen wird (achte Begründungserwägung).
41. Die Förderung des wirtschaftlichen und sozialen Fortschritts und die Wahrung der Grundrechte sind somit wesentliche Werte
und Erfordernisse, denen der Gemeinschaftsgesetzgeber beim Erlass der für die Errichtung und das Funktionieren des Binnenmarktes
notwendigen vereinheitlichten Regelung Rechnung getragen hat ─ sie sind jedoch keine
selbständigen Regelungsgegenstände der Richtlinie. Andernfalls müsste man davon ausgehen, dass die Richtlinie beabsichtigt, die Einzelnen
hinsichtlich der Verarbeitung personenbezogener Daten auch unabhängig vom Ziel der Förderung des freien Verkehrs dieser Daten
zu schützen, mit der unangemessenen Folge, dass auch Datenverarbeitungen im Rahmen der Ausübung von Tätigkeiten, die eine
gewisse soziale Bedeutung haben, mit der Errichtung und dem Funktionieren des Binnenmarktes jedoch nichts zu tun haben, in
den Anwendungsbereich der Richtlinie fallen würden.
42. Außerdem bestünde, wie Frau Lindqvist vorgetragen hat, die Gefahr, dass die Gültigkeit der Richtlinie selbst in Frage gestellt
würde, wenn man dieser außer dem Zweck der Förderung des freien Verkehrs personenbezogener Daten im Binnenmarkt noch weitere
selbständige Ziele zuordnen würde, die mit sozialen Erfordernissen und dem Schutz der Grundrechte (insbesondere des Rechts
auf eine Privatsphäre) verbunden sind, denn die Rechtsgrundlage der Richtlinie würde sich dann als völlig ungeeignet erweisen.
Artikel 100a könne nämlich nicht als Grundlage für Maßnahmen herangezogen werden, die über die dort aufgeführten spezifischen
Ziele hinausgehen, d. h. für Maßnahmen, die nicht durch das Ziel gerechtfertigt sind,
die Errichtung und das Funktionieren des Binnenmarktes zu fördern.
43. Gerade dazu hat der Gerichtshof ganz kürzlich in dem Urteil, mit dem er die Richtlinie 98/43/EG
(9)
wegen fehlender Rechtsgrundlage für nichtig erklärt hat, Gelegenheit gehabt, darzulegen, dass
Maßnahmen gemäß Artikel 100a Absatz 1 EG-Vertrag die Voraussetzungen für die Errichtung und das Funktionieren des Binnenmarktes
verbessern sollen. Diesen Artikel dahin auszulegen, dass er dem Gemeinschaftsgesetzgeber eine allgemeine Kompetenz zur Regelung
des Binnenmarktes gewährte, widerspräche nicht nur dem Wortlaut der genannten Bestimmungen, sondern wäre auch unvereinbar
mit dem in Artikel 3b EG-Vertrag (jetzt Artikel 5 EG) niedergelegten Grundsatz, dass die Befugnisse der Gemeinschaft auf Einzelermächtigungen
beruhen.
(10)
Insbesondere im Hinblick auf die Wahrung der Grundrechte hat der Gerichtshof im Gutachten 2/94, das er nach dem Erlass der
Richtlinie abgegeben hat, ausdrücklich bekräftigt, dass
keine Bestimmung des Vertrages den Gemeinschaftsorganen allgemein die Befugnis [verleiht], Vorschriften auf dem Gebiet der
Menschenrechte zu erlassen
(11)
.
44. Im Licht all dieser Überlegungen schlage ich deshalb vor, die vorgelegte Frage dahin zu beantworten, dass es gemäß Artikel
3 Absatz 2 erster Gedankenstrich der Richtlinie nicht in den Anwendungsbereich der Richtlinie fällt, wenn personenbezogene
Daten in der Weise verarbeitet werden, dass eine Startseite der vorliegenden Art ohne Gewinnstreben ausschließlich zur Unterstützung
der ehrenamtlich und außerhalb irgendeines Arbeitsverhältnisses in einer Kirchengemeinde ausgeübten Tätigkeit als Religionslehrer
eingerichtet wird.
Die übrigen Fragen
45. Da ich zu der Auffassung gelangt bin, dass eine Verarbeitung personenbezogener Daten wie die, um die es hier geht, nicht in
den Anwendungsbereich der Richtlinie fällt, halte ich es nicht für erforderlich, die übrigen Fragen des vorlegenden Gerichts
zu prüfen.
Entscheidungsvorschlag
46. Aufgrund der vorstehenden Erwägungen schlage ich somit vor, dem Hovrätt Götaland folgende Antwort zu erteilen:Gemäß Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46/EG fällt es nicht in den Anwendungsbereich der Richtlinie,
wenn personenbezogene Daten in der Weise verarbeitet werden, dass eine Startseite der vorliegenden Art ohne Gewinnstreben
ausschließlich zur Unterstützung der ehrenamtlich und außerhalb irgendeines Arbeitsverhältnisses in einer Kirchengemeinde
ausgeübten Tätigkeit als Religionslehrer eingerichtet wird.
- 1 –
- Originalsprache: Italienisch.
- 2 –
- ABl. L 281, S. 31.
- 3 –
- Als Beispiele für
ausschließlich persönliche oder familiäre Tätigkeiten nennt die zwölfte Begründungserwägung
Schriftverkehr oder Führung von Anschriftenverzeichnissen.
- 4 –
- Personuppgiftslag, Svensk författningssamling (SFS) 1998:204.
- 5 –
- Die fragliche Bestimmung nennt beispielsweise Tätigkeiten
gemäß den Titeln V und VI des Vertrages über die Europäische Union und fügt hinzu, dass die Richtlinie auf keinen Fall auf
Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines
wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen
Bereich anwendbar ist.
- 6 –
- Insoweit verweist die Kommission analog u. a. auf die Urteile vom 31. Januar 1984 in den Rechtssachen 286/82 und 26/83 (Luisi
und Carbone, Slg. 1984, 377) und vom 2. Februar 1989 in der Rechtssache 186/87 (Cowan, Slg. 1989, 195).
- 7 –
- Siehe u. a. zuletzt Urteile vom 9. September 1999 in der Rechtssache C-108/98 (RI.SAN., Slg. 1999, I-5219, Randnr. 23), vom
21. Oktober 1999 in der Rechtssache C-97/98 (Jägerskiöld, Slg. 1999, I-7319, Randnr. 42) und vom 11. April 2000 in den Rechtssachen
C-51/96 und C-191/97 (Deliège, Slg. 2000, I-2549, Randnr. 58).
- 8 –
- In der siebten Begründungserwägung heißt es insbesondere, dass dieses unterschiedliche Schutzniveau
ein Hemmnis für die Ausübung einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen, den Wettbewerb verfälschen
und die Erfüllung des Auftrags der im Anwendungsbereich des Gemeinschaftsrechts tätigen Behörden verhindern kann.
- 9 –
- Richtlinie 98/43/EG des Europäischen Parlaments und des Rates vom 6. Juli 1998 zur Angleichung der Rechts- und Verwaltungsvorschriften
der Mitgliedstaaten über Werbung und Sponsoring zugunsten von Tabakerzeugnissen (ABl. L 213, S. 9).
- 10 –
- Urteil vom 5. Oktober 2000 in der Rechtssache C-376/98 (Deutschland/ Europäisches Parlament und Rat, Slg. 2000, I-8419, Randnr.
83).
- 11 –
- Gutachten 2/94 vom 28. März 1996 (Slg. 1996, I-1759, Randnr. 27).