CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:1054

SCHLUSSANTRÄGE DES GENERALANWALTS

MACIEJ SZPUNAR

vom 17. Dezember 2020(1)

Rechtssache C‑439/19

Beteiligte:

Latvijas Republikas Saeima

(Vorabentscheidungsersuchen des Satversmes tiesa [Verfassungsgericht, Lettland])

„Vorlage zur Vorabentscheidung – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten – Informationen über Strafpunkte für Verkehrsordnungswidrigkeiten – Begriff der Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten – Nationale Regelung, wonach diese Informationen offengelegt werden und ihre Weiterverwendung gestattet ist“

I. Einleitung

1. George Orwell kommentierte 1946 die damalige „Keep Death off the Roads [(Haltet den Tod von der Straße fern)]“-Kampagne eines früheren Mitgliedstaats der Union wie folgt: „Wenn man den Tod wirklich von der Straße fernhalten will, müsste man das gesamte Straßennetz dergestalt neu planen, dass Zusammenstöße unmöglich werden. Stellen Sie sich vor, was das bedeutet (es würde zum Beispiel den Abriss und Wiederaufbau ganz Londons bedeuten), und Sie sehen, dass es zum jetzigen Zeitpunkt die Kräfte einer Nation übersteigt. Ansonsten kann man nur mildernde Maßnahmen ergreifen, mit denen die Menschen letztlich dazu gebracht werden, vorsichtiger zu sein.“(2)

2. Es sind diese „mildernden Maßnahmen“, die im Mittelpunkt der vorliegenden Rechtssache stehen, die beim Satversmes tiesa (Verfassungsgericht, Lettland; im Folgenden auch: Verfassungsgericht) anhängig ist, das sich mit dem vorliegenden Vorabentscheidungsersuchen an den Gerichtshof gewandt hat: Um die Sicherheit des Straßenverkehrs zu fördern, sollen Fahrer dazu gebracht werden, bewusster und vorsichtiger zu sein, und hierzu werden gegen Fahrzeugführer, die Verkehrsordnungswidrigkeiten begehen, Strafpunkte verhängt. Diese Informationen werden dann offengelegt und zur Weiterverwendung übermittelt. Das vorlegende Gericht, bei dem eine Verfassungsbeschwerde anhängig ist, möchte wissen, ob die in Rede stehende nationale Regelung mit der Verordnung (EU) 2016/679(3) (im Folgenden: DSGVO) vereinbar ist.

3. Dies macht die vorliegende Rechtssache zu einem fast klassischen Datenschutzfall in dem Sinne, dass er überwiegend in der Offline-Welt angesiedelt ist und es sich um ein vertikales Verhältnis zwischen einem Staat und einem Einzelnen handelt, womit er sich nahtlos in eine Reihe von Rechtssachen einreiht, die den Gerichtshof seit dem richtungweisenden Urteil Stauder(4) erreicht haben, der wohl ersten, den Datenschutz im weiteren Sinne betreffenden Rechtssache(5).

4. Im Rahmen der Beurteilung der Frage, wie tief ein Mitgliedstaat in die Persönlichkeitsrechte eines Einzelnen eingreifen kann, um sein Ziel der Förderung der Sicherheit des Straßenverkehrs zu verfolgen, werde ich dem Gerichtshof vorschlagen, festzustellen, dass Maßnahmen wie die in Rede stehende lettische Regelung im Hinblick auf das Ziel, das sie erreichen sollen, nicht verhältnismäßig sind.

5. Doch bevor wir zu diesem Punkt kommen, gibt es noch eine ganze Reihe grundlegender und komplizierter Fragen, die die vorliegende Rechtssache aufwirft und die uns in halsbrecherischer Geschwindigkeit durch die DSGVO hindurch steuern werden. Legen Sie Ihre Sicherheitsgurte an. Es könnte Ihnen den einen oder anderen Strafpunkt ersparen.

II. Rechtlicher Rahmen

A. Unionsrecht

1. DSGVO

6. Kapitel I („Allgemeine Bestimmungen“) der DSGVO enthält die Art. 1 bis 4, in denen die Gegenstände und Ziele, der sachliche und räumliche Anwendungsbereich sowie Begriffsbestimmungen geregelt sind.

7. Art. 1 („Gegenstand und Ziele“) der DSGVO lautet wie folgt:

„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

8. Art. 2 („Sachlicher Anwendungsbereich“) der DSGVO bestimmt:

„(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

…“

9. Kapitel II der DSGVO regelt in den Art. 5 bis 11 die Grundsätze der Verordnung: Grundsätze für die Verarbeitung personenbezogener Daten, Rechtmäßigkeit der Verarbeitung, Bedingungen für die Einwilligung, einschließlich der Einwilligung eines Kindes, in Bezug auf Dienste der Informationsgesellschaft, Verarbeitung besonderer Kategorien personenbezogener Daten sowie personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten und eine Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist.

10. Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der DSGVO bestimmt:

„(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘).

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

11. Art. 10 („Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“) der DSGVO bestimmt:

„Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.“

2. Richtlinie 2003/98/EG

12. Art. 1 („Gegenstand und Anwendungsbereich“) der Richtlinie 2003/98/EG(6) lautet wie folgt:

„(1) Diese Richtlinie enthält einen Mindestbestand an Regeln für die Weiterverwendung und die praktischen Mittel zur Erleichterung der Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen der Mitgliedstaaten sind.

(2) Diese Richtlinie gilt nicht für

a) Dokumente, deren Bereitstellung nicht unter den gesetzlich oder durch andere verbindliche Rechtsvorschriften des Mitgliedstaats festgelegten öffentlichen Auftrag der betreffenden öffentlichen Stellen fällt oder, in Ermangelung solcher Rechtsvorschriften, nicht unter den durch allgemeine Verwaltungspraxis in dem betreffenden Mitgliedstaat festgelegten öffentlichen Auftrag fällt, vorausgesetzt, dass der Umfang der öffentlichen Aufträge transparent ist und regelmäßig überprüft wird;

b) Dokumente, die geistiges Eigentum Dritter sind;

c) Dokumente, die nach den Zugangsregelungen der Mitgliedstaaten nicht zugänglich sind, einschließlich aus Gründen

– des Schutzes der nationalen Sicherheit (d. h. Staatssicherheit), der Verteidigung oder der öffentlichen Sicherheit,

– der statistischen Geheimhaltung,

– des Geschäftsgeheimnisses (z. B. Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse);

ca) Dokumente, zu denen der Zugang durch die Zugangsregelungen der Mitgliedstaaten eingeschränkt ist, einschließlich der Fälle, in denen Bürger oder Unternehmen ein besonderes Interesse nachzuweisen haben, um Zugang zu den Dokumenten zu erhalten;

cb) Teile von Dokumenten, die lediglich Logos, Wappen und Insignien enthalten;

cc) Dokumente, die nach den Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder nur eingeschränkt zugänglich sind, und Teile von Dokumenten, die nach diesen Regelungen zugänglich sind, wenn sie personenbezogene Daten enthalten, deren Weiterverwendung gesetzlich nicht mit dem Recht über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist;

d) Dokumente, die im Besitz öffentlich-rechtlicher Rundfunkanstalten und ihrer Zweigstellen oder anderer Stellen und deren Zweigstellen sind und der Wahrnehmung eines öffentlichen Sendeauftrags dienen;

e) Dokumente im Besitz von Bildungs- und Forschungseinrichtungen einschließlich von Einrichtungen, die zum Zweck des Transfers von Forschungsergebnissen gegründet wurden, Schulen, Hochschulen, außer Hochschulbibliotheken und

f) Dokumente im Besitz anderer kultureller Einrichtungen als Bibliotheken, Museen und Archiven.

(3) Diese Richtlinie stützt sich auf die Zugangsregelungen der Mitgliedstaaten und lässt diese Regelungen unberührt.

(4) Diese Richtlinie hat keinerlei Auswirkungen auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß den Rechtsvorschriften der Union und der Mitgliedstaaten und lässt insbesondere die Pflichten und Rechte gemäß der Richtlinie 95/46/EG unberührt.^[(7)^]

(5) Die sich aus dieser Richtlinie ergebenden Verpflichtungen gelten nur insoweit, als sie mit den Bestimmungen völkerrechtlicher Übereinkommen zum Schutz der Rechte des geistigen Eigentums, insbesondere der Berner Übereinkunft^[(8)^]und dem TRIPS-Übereinkommen, vereinbar sind.“^[(9)^]

13. Art. 2 („Begriffsbestimmungen“) der Richtlinie 2003/98 lautet wie folgt:

„Im Sinne dieser Richtlinie bezeichnet der Ausdruck

1. ‚öffentliche Stelle‘ den Staat, Gebietskörperschaften, Einrichtungen des öffentlichen Rechts und Verbände, die aus einer oder mehreren dieser Körperschaften oder Einrichtungen bestehen;

2. ‚Einrichtung des öffentlichen Rechts‘: eine Einrichtung, die

a) zu dem besonderen Zweck gegründet wurde, im Allgemeininteresse liegende Aufgaben zu erfüllen, die nicht gewerblicher Art sind, und

b) Rechtspersönlichkeit besitzt und

c) überwiegend vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts finanziert wird oder hinsichtlich ihrer Leitung der Aufsicht durch letztere unterliegt oder deren Verwaltungs‑, Leitungs- oder Aufsichtsorgan mehrheitlich aus Mitgliedern besteht, die vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts ernannt worden sind;

3. ‚Dokument‘

a) jeder Inhalt unabhängig von der Form des Datenträgers (auf Papier oder in elektronischer Form, Ton‑, Bild- oder audiovisuelles Material);

b) einen beliebigen Teil eines solchen Inhalts;

4. ‚Weiterverwendung‘ die Nutzung von Dokumenten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen für kommerzielle oder nichtkommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Dokumente erstellt wurden, unterscheiden. Der Austausch von Dokumenten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags stellt keine Weiterverwendung dar;

5. ‚personenbezogene Daten‘ Daten im Sinne von Artikel 2 Buchstabe a) der Richtlinie 95/46/EG.

6. ‚maschinenlesbares Format‘ ein Dateiformat, das so strukturiert ist, dass Softwareanwendungen konkrete Daten, einschließlich einzelner Sachverhaltsdarstellungen und deren interner Struktur, leicht identifizieren, erkennen und extrahieren können;

7. ‚offenes Format‘ ein Dateiformat, das plattformunabhängig ist und der Öffentlichkeit ohne Einschränkungen, die der Weiterverwendung von Dokumenten hinderlich wären, zugänglich gemacht wird;

8. ‚formeller, offener Standard‘ einen schriftlich niedergelegten Standard, in dem die Anforderungen für die Sicherstellung der Interoperabilität der Software niedergelegt sind;

9. ‚Hochschule‘ eine öffentliche Stelle, die postsekundäre Bildungsgänge anbietet, die zu einem akademischen Grad führen.“

14. Art. 3 („Allgemeiner Grundsatz“) der Richtlinie 2003/98 lautet wie folgt:

„(1) Vorbehaltlich des Absatzes 2 stellen die Mitgliedstaaten sicher, dass die Dokumente, auf die diese Richtlinie gemäß Artikel 1 anwendbar ist, gemäß den Bedingungen der Kapitel III und IV für gewerbliche und nichtgewerbliche Zwecke weiterverwendet werden können.

(2) Für Dokumente, an denen Bibliotheken, einschließlich Hochschulbibliotheken, Museen und Archiven Rechte des geistigen Eigentums innehaben, stellen die Mitgliedstaaten sicher, dass diese Dokumente, falls deren Weiterverwendung erlaubt wird, gemäß den Bedingungen der Kapitel III und IV für gewerbliche und nichtgewerbliche Zwecke weiterverwendet werden können.“

B. Lettisches Recht

15. Art. 14¹ Abs. 2 des Ceļu satiksmes likums (im Folgenden: Straßenverkehrsgesetz)(10) lautet wie folgt:

„Informationen über Fahrzeuge, deren Eigentümer juristische Personen sind, … über das Recht von Personen, Fahrzeuge zu führen, über wegen Verkehrsordnungswidrigkeiten verhängte Bußgelder, die nicht innerhalb der gesetzlichen Fristen bezahlt worden sind, sowie über sonstige Informationen, die im nationalen Register für Fahrzeuge und Fahrzeugführer [im Folgenden: nationales Fahrzeugregister] bzw. im System für Zugfahrzeuge und deren Führer eingetragen sind, sind für jedermann zugänglich.“

III. Sachverhalt, Verfahren und Vorabentscheidungsfragen

16. B, der Antragsteller im Verfahren vor dem vorlegenden Gericht, ist eine natürliche Person, gegen die nach dem Straßenverkehrsgesetz und einer entsprechenden Verordnung(11) Strafpunkte verhängt worden sind. Die Ceļu satiksmes drošības direkcija (Direktion für Verkehrssicherheit, Lettland; im Folgenden: CSDD) ist eine öffentliche Einrichtung, die solche Strafpunkte in das nationale Fahrzeugregister einträgt.

17. Da die Informationen über die vorgenannten Strafpunkte auf Antrag offengelegt werden können und nach Angaben von B an mehrere Unternehmen zur Weiterverwendung weitergegeben wurden, erhob B vor dem vorlegenden Gericht eine Verfassungsbeschwerde, mit der die Vereinbarkeit von Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes mit dem Recht auf Privatsphäre nach Art. 96 der Latvijas Republikas Satversme (im Folgenden: lettische Verfassung) gerügt wird.

18. Da Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes vom Latvijas Republikas Saeima (lettisches Parlament, im Folgenden: Parlament) verabschiedet wurde, wurde dieses Organ am Verfahren beteiligt. Die CSDD, die die in Rede stehenden Daten verarbeitet, wurde ebenfalls am Verfahren beteiligt. Außerdem wurden die Datu valsts inspekcija (Datenschutzbehörde, Lettland) – die in Lettland die Aufsichtsbehörde im Sinne von Art. 51 der DSGVO ist – und mehrere andere Behörden und Personen aufgefordert, als amici curiae vor dem vorlegenden Gericht ihre Stellungnahme abzugeben.

19. Das Parlament erkennt an, dass nach der in Rede stehenden Bestimmung jedermann Informationen über die Strafpunkte einer anderen Person erhalten kann, indem er entweder direkt bei der CSDD anfragt oder die Dienstleistungen gewerblicher Weiterverwender in Anspruch nimmt.

20. Das Parlament hält diese Bestimmung jedoch für rechtmäßig, da sie durch das Ziel der Verbesserung der Sicherheit des Straßenverkehrs gerechtfertigt sei, das erfordere, dass Personen, die gegen die Verkehrsregeln verstießen, offen identifiziert und Fahrzeugführer von der Begehung von Verstößen abgeschreckt würden.

21. Zudem müsse das Recht auf Zugang zu Informationen nach Art. 100 der lettischen Verfassung beachtet werden. Jedenfalls erfolge die Verarbeitung von Informationen über Strafpunkte unter Aufsicht der Behörde und unter Einhaltung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Personen.

22. Das Parlament führt weiter aus, dass die Offenlegung der im nationalen Fahrzeugregister enthaltenen Informationen in der Praxis unter der Bedingung erfolge, dass die Person, die die Informationen anfordere, die nationale Identifikationsnummer des Fahrzeugführers angebe, über den sie Auskunft begehre. Diese Voraussetzung für den Erhalt der Informationen erkläre sich daraus, dass eine nationale Identifikationsnummer anders als der Name einer Person ein individuelles Identifizierungsmerkmal sei.

23. Die CSDD hat ihrerseits dem vorlegenden Gericht die Funktionsweise des Strafpunktesystems erläutert und bestätigt, dass nach den nationalen Vorschriften der öffentliche Zugang zu Daten über Strafpunkte und deren Weiterverwendung nicht eingeschränkt sei.

24. Die CSDD hat auch Einzelheiten zu den mit gewerblichen Weiterverwendern geschlossenen Verträgen angegeben. Sie wies darauf hin, dass in diesen Verträgen keine rechtliche Übertragung von Daten vorgesehen sei und dass die Weiterverwender sicherzustellen hätten, dass die an ihre Kunden übermittelten Informationen nicht über diejenigen hinausgingen, die von der CSDD erhältlich seien. Außerdem sehe eine der Vertragsklauseln vor, dass der Empfänger der Informationen sie in der in den geltenden Vorschriften vorgesehenen Art und Weise und in Übereinstimmung mit den im Vertrag genannten Zwecken verwenden müsse.

25. Die Datenschutzbehörde hat Zweifel an der Vereinbarkeit der in Rede stehenden Bestimmung mit Art. 96 der lettischen Verfassung geäußert. Sie hat es nicht für ausgeschlossen gehalten, dass die Verarbeitung der in Rede stehenden Daten unangemessen oder unverhältnismäßig sein könnte.

26. Diese Behörde hat ferner festgestellt, dass nach den Statistiken über Verkehrsunfälle in Lettland die Zahl der Unfälle zwar zurückgehe, es jedoch keinen Nachweis dafür gebe, dass das Strafpunktesystem und der öffentliche Zugang zu Informationen darüber zu dieser günstigen Entwicklung beigetragen hätten.

27. Das Verfassungsgericht stellt zunächst fest, dass das bei ihm anhängige Verfahren nicht Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes in seiner Gesamtheit, sondern nur insoweit betreffe, als diese Bestimmung die im nationalen Fahrzeugregister eingetragenen Strafpunkte der Öffentlichkeit zugänglich mache.

28. Das Verfassungsgericht stellt ferner fest, dass diese Strafpunkte personenbezogene Daten seien und daher im Einklang mit dem Recht auf Achtung der Privatsphäre verarbeitet werden müssten. Es betont, dass bei der Beurteilung des Anwendungsbereichs von Art. 96 der lettischen Verfassung die DSGVO sowie Art. 16 AEUV und Art. 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) zu berücksichtigen seien.

29. Im Hinblick auf die Ziele des Straßenverkehrsgesetzes führt das vorlegende Gericht aus, dass in Lettland als Ordnungswidrigkeiten eingestufte Verstöße von Fahrzeugführern in das nationale Verurteilungsregister und Strafpunkte in das nationale Fahrzeugregister eingetragen würden, um das Verhalten von Fahrzeugführern zu beeinflussen und somit Gefahren für Leben, Gesundheit und Eigentum von Personen zu mindern.

30. Das nationale Verurteilungsregister stelle ein einheitliches Register von Verurteilungen von Personen dar, die Verstöße (straf- oder ordnungswidrigkeitsrechtlicher Art) begangen hätten, und diene u. a. dem Ziel, die Kontrolle der verhängten Strafen zu erleichtern. Das nationale Fahrzeugregister dagegen ermögliche es, Verkehrsordnungswidrigkeiten nachzuverfolgen und in Abhängigkeit von der Anzahl dieser Verstöße Maßnahmen zu ergreifen. Mit dem Strafpunktesystem solle die Sicherheit im Straßenverkehr verbessert werden, indem zwischen Fahrzeugführern, die die Straßenverkehrsregeln systematisch und bösgläubig missachteten, und Fahrzeugführern, die gelegentlich Verstöße begingen, unterschieden und das Verhalten der Verkehrsteilnehmer durch Abschreckung beeinflusst werde.

31. Das vorlegende Gericht weist darauf hin, dass nach Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes jedermann berechtigt sei, von der CSDD Auskunft über die im nationalen Fahrzeugregister enthaltenen Informationen über die gegen Fahrzeugführer verhängten Strafpunkte zu verlangen und zu erhalten. In der Praxis würden die Informationen über Strafpunkte der Person, die die Auskunft beantrage, mitgeteilt, sobald diese Person die nationale Identifikationsnummer des betreffenden Fahrzeugführers angebe.

32. Das Verfassungsgericht stellt sodann klar, dass Strafpunkte aufgrund ihrer Einstufung als öffentlich zugängliche Informationen in den Anwendungsbereich des Gesetzes über die Offenlegung von Informationen fielen und daher für andere gewerbliche oder nichtgewerbliche Zwecke als den ursprünglichen Zweck, für den die Informationen erstellt worden seien, weiterverwendet werden dürften.

33. Um Art. 96 der lettischen Verfassung im Einklang mit dem Unionsrecht auslegen und anwenden zu können, möchte das vorlegende Gericht erstens wissen, ob Strafpunkte, wie sie das lettische Recht vorsieht, unter Art. 10 der DSGVO fallen. Insbesondere möchte es wissen, ob Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes gegen die in Art. 10 der DSGVO enthaltenen Anforderungen verstößt, wonach die Verarbeitung der in dieser Vorschrift genannten Daten nur „unter behördlicher Aufsicht“ oder bei „geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen“ erfolgen darf.

34. Das vorlegende Gericht weist darauf hin, dass Art. 8 Abs. 5 der Richtlinie 95/46, der es jedem Mitgliedstaat überlassen habe, zu entscheiden, ob die besonderen Vorschriften für Daten über Straftaten und strafrechtliche Verurteilungen auf Daten, die administrative Zuwiderhandlungen und Strafen beträfen, habe erstreckt werden sollen, in Lettland durch Art. 12 des Fizisko personu datu aizsardzības likums (Gesetz über den Schutz der Daten natürlicher Personen) umgesetzt worden sei, wonach personenbezogene Daten über Ordnungswidrigkeiten ebenso wie Daten über Straftaten und Verurteilungen nur von den hierzu gesetzlich befugten Personen und in den gesetzlich vorgesehenen Fällen verarbeitet werden dürften.

35. Daraus folge, dass in Lettland seit mehr als einem Jahrzehnt für die Verarbeitung personenbezogener Daten über Straftaten und Verurteilungen und für die Verarbeitung personenbezogener Daten über Ordnungswidrigkeiten ähnliche Anforderungen gälten.

36. Das vorlegende Gericht weist auch darauf hin, dass der Anwendungsbereich von Art. 10 der DSGVO entsprechend dem vierten Erwägungsgrund dieser Verordnung unter Berücksichtigung der Funktion der Grundrechte in der Gesellschaft zu beurteilen sei. Insoweit könnte das Ziel, zu gewährleisten, dass das Privat- und Berufsleben einer Person infolge einer früheren Verurteilung nicht unangemessen nachteilig berührt werde, gleichermaßen für strafrechtliche Verurteilungen und für administrative Zuwiderhandlungen gelten.

37. Das Verfassungsgericht fragt zweitens nach dem Anwendungsbereich von Art. 5 der DSGVO. Es wirft insbesondere die Frage auf, ob der lettische Gesetzgeber im Licht des 39. Erwägungsgrundes dieser Verordnung der in Art. 5 Abs. 1 Buchst. f der DSGVO festgelegten Verpflichtung nachgekommen sei, bei der Verarbeitung personenbezogener Daten „Integrität und Vertraulichkeit“ zu gewährleisten. Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes, der es durch die Gewährung des Zugangs zu Informationen über Strafpunkte ermögliche, in Erfahrung zu bringen, ob eine Person wegen einer Verkehrsordnungswidrigkeit verurteilt worden sei, gehe nicht mit besonderen Maßnahmen zur Gewährleistung der Sicherheit dieser Daten einher.

38. Das vorlegende Gericht möchte drittens wissen, ob die Richtlinie 2003/98 für die Prüfung der Vereinbarkeit von Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes mit Art. 96 der lettischen Verfassung relevant ist. Nach dieser Richtlinie könne die Weiterverwendung personenbezogener Daten nur unter Beachtung des Rechts auf Privatsphäre gestattet werden.

39. Viertens fragt das vorlegende Gericht im Licht der Rechtsprechung des Gerichtshofs, wonach die in Vorabentscheidungsverfahren festgestellte Auslegung des Unionsrechts erga omnes und ex tunc wirke, danach, ob es, wenn Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes für unvereinbar mit Art. 96 der lettischen Verfassung im Licht des Unionsrechts in seiner Auslegung durch den Gerichtshof befunden werden würde, gleichwohl entscheiden könnte, die rechtlichen Wirkungen des genannten Art. 14¹ Abs. 2 bis zum Zeitpunkt der Verkündung seines die Verfassungswidrigkeit dieser Bestimmung feststellenden Urteils auf der Grundlage aufrechtzuerhalten, dass eine große Zahl von Rechtsverhältnissen von seinem Urteil betroffen sein werde.

40. In diesem Zusammenhang erläutert das vorlegende Gericht, dass nach lettischem Recht ein für verfassungswidrig erklärter Rechtsakt ab dem Tag der Veröffentlichung des Urteils des Verfassungsgerichts als nichtig anzusehen sei, sofern das Gericht nicht etwas anderes entscheide. Es erläutert ferner seine Praxis, wonach bei der Entscheidung darüber, ab welchem Zeitpunkt die für verfassungswidrig erklärte Bestimmung keine Geltung mehr habe, ein Ausgleich zwischen dem Grundsatz der Rechtssicherheit einerseits und den Grundrechten der verschiedenen betroffenen Beteiligten andererseits herzustellen sei.

41. Vor diesem Hintergrund hat das Satversmes tiesa (Verfassungsgericht) mit Beschluss vom 4. Juni 2019, beim Gerichtshof eingegangen am 11. Juni 2019, folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist der in Art. 10 der DSGVO verwendete Begriff „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln“ dahin auszulegen, dass er auch die in der in Rede stehenden Vorschrift vorgesehene Verarbeitung von Informationen über die Punkte umfasst, die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängt worden sind?

2. Können – unabhängig von der Beantwortung der ersten Frage – die Bestimmungen der DSGVO, insbesondere der in Art. 5 Abs. 1 Buchst. f genannte Grundsatz der „Integrität und Vertraulichkeit“, dahin ausgelegt werden, dass sie es den Mitgliedstaaten verbieten, festzulegen, dass Informationen über die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängten Punkte jedermann zugänglich sind, und die Verarbeitung der entsprechenden Daten durch deren Offenlegung zu gestatten?

3. Sind die Erwägungsgründe 50 und 154, Art. 5 Abs. 1 Buchst. b und Art. 10 der DSGVO sowie Art. 1 Abs. 2 Buchst. cc der Richtlinie 2003/98 dahin auszulegen, dass sie der Regelung eines Mitgliedstaats entgegenstehen, die die Übermittlung von Informationen über wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängte Punkte zum Zweck der Weiterverwendung gestattet?

4. Sollte eine der vorstehenden Fragen bejaht werden, sind dann der Grundsatz des Vorrangs des Unionsrechts und der Grundsatz der Rechtssicherheit dahin auszulegen, dass es zulässig sein könnte, die in Rede stehende Norm anzuwenden und ihre rechtlichen Wirkungen bis zum Eintritt der Rechtskraft der abschließenden Entscheidung des Verfassungsgerichts aufrechtzuerhalten?

42. Schriftliche Erklärungen sind von der lettischen, der niederländischen, der österreichischen und der portugiesischen Regierung sowie von der Europäischen Kommission eingereicht worden.

43. Vor dem Hintergrund der Ausbreitung des SARS‑CoV‑2-Virus hat der Gerichtshof beschlossen, die mündliche Verhandlung in der vorliegenden Rechtssache, die für den 11. Mai 2020 anberaumt war, aufzuheben. Der Gerichtshof hat im Wege prozessleitender Maßnahmen ausnahmsweise beschlossen, diese mündliche Verhandlung durch schriftlich zu beantwortende Fragen zu ersetzen. Die lettische und die schwedische Regierung sowie die Kommission haben die vom Gerichtshof gestellten Fragen beantwortet.

IV. Würdigung

44. Das vorliegende Vorabentscheidungsersuchen wirft eine Reihe grundlegender Fragen zur DSGVO auf. Diese Fragen beruhen allerdings alle auf der Prämisse, dass die DSGVO auf die vorliegende Rechtssache anwendbar ist(12). Diesen Punkt spreche ich mit Blick auf die Tatsache an, dass die Union im Bereich von Strafpunkten für Verkehrsverstöße bisher keine Rechtsvorschriften erlassen hat.

A. Sachlicher Anwendungsbereich der DSGVO

45. Nach Art. 2 Abs. 2 Buchst. a der DSGVO findet diese Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Es ist offensichtlich, dass Art. 2 Abs. 1 der DSGVO positiv formuliert, was unter diese Verordnung fällt(13), während Art. 2 Abs. 2 vier Arten von Tätigkeiten von ihrem Anwendungsbereich ausnimmt. Als Ausnahme von der allgemeinen Regel ist Art. 2 Abs. 2 der DSGVO eng auszulegen(14).

46. Der Unionsgesetzgeber hat als Form des Rechtsinstruments die Verordnung gewählt, um den Grad der Einheitlichkeit des Datenschutzrechts der Union zu erhöhen und insbesondere um gleiche Wettbewerbsbedingungen für (Wirtschafts‑)Akteure im Binnenmarkt zu schaffen, unabhängig davon, wo diese Akteure ansässig sind(15).

47. Art. 16 AEUV enthält nicht nur die Rechtsgrundlage für den Erlass von Rechtsakten wie der DSGVO, sondern stellt allgemeiner auch als Teil des Ersten Teils, Titel II des AEU-Vertrags(16) eine horizontale Vorschrift verfassungsrechtlicher Art dar, die bei der Ausübung jeder Zuständigkeit der Union zu berücksichtigen ist.

48. Ebenso wie ihre Vorgängerregelung, die Richtlinie 95/46, zielt die DSGVO darauf ab, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten(17).

49. Der Wortlaut von Art. 2 Abs. 2 Buchst. a der DSGVO entspricht im Wesentlichen demjenigen von Art. 16 Abs. 2 AEUV(18), der die primärrechtliche Rechtsgrundlage dieser Verordnung darstellt. Nach Art. 16 Abs. 2 AEUV erlässt der Unionsgesetzgeber Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten „im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr“(19). Diese Vorschrift hat daher deklaratorischen Charakter. Dementsprechend gilt die folgende Erörterung für Art. 2 Abs. 2 Buchst. a der DSGVO und Art. 16 Abs. 2 AEUV gleichermaßen.

50. Zunächst ist darauf hinzuweisen, dass der Wortlaut von Art. 2 Abs. 2 Buchst. a der DSGVO („eine Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“) von demjenigen des Art. 51 Abs. 1 der Charta(20) abweicht, wonach „[d]ie Charta … für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union [gilt]“(21).

51. Soweit hierin ein Hinweis darauf gesehen werden sollte, dass der Wortlaut von Art. 2 Abs. 2 Buchst. a der DSGVO weiter ist als derjenige von Art. 51 Abs. 1 der Charta(22), da der Gerichtshof Art. 51 Abs. 1 der Charta dahin ausgelegt hat, dass die Charta gilt, „wenn eine nationale Rechtsvorschrift in den Geltungsbereich des Unionsrechts fällt“(23), besteht zwischen dem Wortlaut dieser beiden Bestimmungen in ihrer Auslegung durch den Gerichtshof kein wesentlicher Unterschied(24).

52. Gleichwohl sollten meines Erachtens keine Analogien zur Rechtsprechung des Gerichtshofs zum Anwendungsbereich der Charta gezogen werden(25). Dies wäre zu eng und würde dem mit Art. 16 AEUV und der DSGVO verfolgten Zweck zuwiderlaufen. Die Grundgedanken der Charta sind nämlich gänzlich andere als diejenigen der DSGVO: Die Charta soll die Ausübung von Befugnissen durch die Unionsorgane und die Mitgliedstaaten im Zaum halten, soweit sie im Anwendungsbereich des Unionsrechts handeln, und umgekehrt dem Einzelnen einen Schutzschild zur Geltendmachung seiner jeweiligen Rechte bieten. Im Gegensatz dazu ist der Schutz personenbezogener Daten mehr als ein Grundrecht. Wie Art. 16 AEUV belegt(26), stellt der Datenschutz ein eigenständiges Politikfeld der Union dar. Es ist gerade der Zweck der DSGVO, auf jede Form der Verarbeitung personenbezogener Daten Anwendung zu finden, unabhängig vom jeweiligen Gegenstand und davon, ob die Verarbeitung durch Mitgliedstaaten oder Einzelpersonen erfolgt. Eine restriktive Auslegung der Bestimmungen von Art. 2 Abs. 2 Buchst. a der DSGVO ließe dieses Ziel vollständig leerlaufen. Die DSGVO, die für den Datenschutz als Tiger gedacht war, entpuppte sich dann als Hauskätzchen.

53. Allein die Existenz einer Bestimmung wie Art. 10 der DSGVO, die im Folgenden im Rahmen meiner Würdigung der ersten Frage des vorlegenden Gerichts eingehend ausgelegt werden wird, ist hierfür Beleg genug. Wenn sich die DSGVO mit der „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1“ der DSGVO befasst(27), und dies zu einer Zeit, in der strafrechtliche Verurteilungen und Straftaten fast ausschließlich durch innerstaatliches Recht und nicht durch das Unionsrecht geregelt sind, kann diese Verordnung, soll Art. 10 der DSGVO nicht ungültig sein, nicht die der Charta eigene akzessorische Funktion haben.

54. Das Gleiche gilt für die Existenz von Art. 87 der DSGVO, wonach die Mitgliedstaaten näher bestimmen können, unter welchen spezifischen Bedingungen eine nationale Kennziffer Gegenstand einer Verarbeitung sein darf(28).

55. Ferner ist der 16. Erwägungsgrund der DSGVO zu berücksichtigen, der im nicht verbindlichen, sondern erläuternden Teil dieser Verordnung Art. 2 der DSGVO entspricht. Hier wird als ein Beispiel für ein Gebiet, das nicht in den Anwendungsbereich des Unionsrechts fällt, die nationale Sicherheit genannt. Das Gleiche gilt für die ebenfalls nicht verbindliche Erklärung zu Art. 16 des AEU-Vertrags(29), wo erklärt wird, dass „immer dann, wenn Bestimmungen über den Schutz personenbezogener Daten, die auf der Grundlage von Artikel 16 [AEUV] zu erlassen sind, direkte Auswirkungen auf die nationale Sicherheit haben könnten, dieser Umstand gebührend zu berücksichtigen ist“, und wo darauf hingewiesen wird, dass „insbesondere [die] Richtlinie 95/46… besondere Ausnahmeregelungen hierzu enth[ält]“(30).

56. Diese ausdrückliche Hervorhebung der nationalen Sicherheit ist ein klarer Hinweis darauf, was sowohl die Verfasser des AEU-Vertrags (Art. 16 AEUV) als auch der Unionsgesetzgeber (Art. 2 Abs. 2 Buchst. a der DSGVO) bei der Formulierung der jeweiligen Passagen im Sinn hatten.

57. Der Unionsgesetzgeber hat an anderer Stelle, jedoch ebenfalls im Kontext des Datenschutzes, klargestellt, dass in diesem Kontext unter nationaler Sicherheit „die Sicherheit des Staates“ zu verstehen ist(31).

58. In diesem Zusammenhang ist Art. 2 Abs. 2 Buchst. a der DSGVO im Übrigen vor dem Hintergrund von Art. 4 Abs. 2 EUV zu sehen, der vorsieht, dass die Europäische Union die grundlegenden Funktionen der Mitgliedstaaten achtet(32), und in diesem Zusammenhang beispielhaft konkretisiert, dass „die nationale Sicherheit … weiterhin in die alleinige Verantwortung der einzelnen Mitgliedstaaten [fällt]“. Art. 2 Abs. 2 Buchst. a der DSGVO enthält nicht mehr als eine Wiederholung dieses verfassungsrechtlichen Erfordernisses dessen, was garantiert sein muss, damit ein Staat funktioniert(33).

59. Ausgehend von der vorstehenden Erörterung habe ich keinen Grund zu der Annahme, dass mit Art. 2 Abs. 2 Buchst. a der DSGVO Kriterien eingeführt werden, die eine hohe Schwelle für die Anwendbarkeit der DSGVO schaffen, oder dass dies die Absicht des Unionsgesetzgebers gewesen wäre.

60. Schließlich wird diese Schlussfolgerung durch einen kurzen Blick auf die anderen drei, in Art. 2 Abs. 2 Buchst. b bis d enthaltenen Ausnahmen vom sachlichen Anwendungsbereich der DSGVO bestätigt. So gilt die DSGVO nicht für die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die unter die Gemeinsame Außen- und Sicherheitspolitik der Union fallen(34), durch natürliche Personen bei der Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten(35) sowie durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit(36).

61. Die Ausnahme der Gemeinsamen Außen- und Sicherheitspolitik, die weiterhin überwiegend zwischenstaatlich geprägt ist, ist nur logisch(37). Ausschließlich persönliche oder familiäre Tätigkeiten fallen ohnehin grundsätzlich nicht in den Anwendungsbereich des Unionsrechts, da sie nicht durch Primär- oder Sekundärrecht geregelt sind. Das Gleiche gilt grundsätzlich für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung. Allerdings liegt der Grund für diese letzte Ausnahme darin, dass die Union, übrigens am selben Tag, an dem auch die DSGVO erlassen wurde, eine besondere Richtlinie(38) erlassen hat. Außerdem fällt nach Art. 23 Abs. 1 Buchst. d der DSGVO die Verarbeitung personenbezogener Daten zu denselben Zwecken durch natürliche Personen in den Anwendungsbereich der DSGVO(39).

62. Demnach kann bei den letzten beiden Ausnahmen, wenn sie eine normative rechtliche Bedeutung haben sollen, nicht angenommen werden, dass sie außerhalb des Anwendungsbereichs des Unionsrechts im Sinne von Art. 2 Abs. 2 Buchst. a der DSGVO liegen.

63. Schließlich ist darauf hinzuweisen, dass kein Anhaltspunkt dafür ersichtlich ist, dass der Gerichtshof grundsätzlich bei der Prüfung des Anwendungsbereichs der DSGVO oder der Richtlinie 95/46 nach Art. 2 der DSGVO bzw. Art. 3 der Richtlinie 95/46 strenge Kriterien anlegen würde(40). Im Gegenteil ist der Gerichtshof geneigt zu betonen, dass „die Anwendbarkeit der Richtlinie 95/46 nicht davon abhängen [kann], ob in den Sachverhalten, die den Ausgangsverfahren zugrunde liegen, ein hinreichender Zusammenhang mit der Ausübung der durch den EG-Vertrag garantierten Grundfreiheiten …bestand“(41).

64. Zum Abschluss dieses vorangestellten Teils der Würdigung ist zur richtigen Auslegung von Art. 2 Abs. 2 Buchst. a der DSGVO festzuhalten, dass diese Verordnung auf die Verarbeitung personenbezogener Daten in einem oder durch einen Mitgliedstaat Anwendung findet, es sei denn, diese Verarbeitung erfolgt auf einem Gebiet, für das die Union keine Zuständigkeit hat.

65. Folglich ist die DSGVO auf die vorliegende Rechtssache anwendbar und muss vom vorlegenden Gericht bei der Prüfung der Gültigkeit des nationalen Rechts berücksichtigt werden.

B. Art. 86 der DSGVO

66. Der Vollständigkeit halber möchte ich kurz auf die Bestimmung des Art. 86 der DSGVO in der vorliegenden Rechtssache eingehen.

67. Nach diesem Artikel können personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß der DSGVO in Einklang zu bringen.

68. Mit dieser Bestimmung wird lediglich die Bedeutung des öffentlichen Zugangs zu amtlichen Dokumenten anerkannt. Ferner wird, wie von der Kommission zu Recht vorgetragen, durch diese Bestimmung kein weiterer Hinweis darauf gegeben, wie der öffentliche Zugang zu amtlichen Dokumenten mit den Regelungen des Datenschutzes in Einklang zu bringen ist(42). Diese Bestimmung hat eher deklaratorischen Charakter und gleicht mehr einem Erwägungsgrund als einer verbindlichen Bestimmung eines Gesetzestexts(43). Folglich dürfte der „narrativen Norm“ des Art. 86 der DSGVO meines Erachtens für die folgende Würdigung keine Bedeutung zukommen.

C. Erste Frage: Strafpunkte nach Art. 10 der DSGVO

69. Mit seiner ersten Frage möchte das vorlegende Gericht geklärt wissen, ob Art. 10 der DSGVO dahin auszulegen ist, dass er auch für den Fall der Verarbeitung von Informationen über Strafpunkte gilt, die nach der nationalen Regelung wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängt worden sind.

70. Nach dieser Bestimmung darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Art. 6 Abs. 1 der DSGVO(44) nur unter behördlicher Aufsicht vorgenommen werden(45). Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

71. Angesichts des Umstands, dass es sich bei der CSDD offenbar um eine Behörde handelt, könnte die Relevanz der ersten Frage zweifelhaft erscheinen und in Betracht zu ziehen sein, ob sie im Sinne der Rechtsprechung des Gerichtshofs zur Zulässigkeit hypothetisch ist. Diese Zweifel lassen sich indes meines Erachtens mit dem Hinweis darauf entkräften, dass sich die vorliegende Rechtssache sowohl auf die Offenlegung von Strafpunkten (durch die CSDD) als auch auf die Weiterverwendung dieser Daten durch andere Stellen bezieht. Soweit sich die erste Frage auf diese anderen Stellen bezieht, ist sie meines Erachtens zulässig.

1. Personenbezogene Daten

72. Nach Art. 4 Nr. 1 der DSGVO bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

73. Es gibt keinen Grund, daran zu zweifeln, dass Informationen über Strafpunkte, die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängt worden sind, personenbezogene Daten im Sinne von Art. 4 Nr. 1 der DSGVO darstellen.

2. … über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln

74. Was die in Art. 10 der DSGVO genannten „Straftaten“ angeht, ist anzumerken, dass diese Bestimmung im Hinblick auf die Frage, ob sie sich nur auf Straftaten bezieht oder auch Ordnungswidrigkeiten erfasst, nicht in allen Sprachfassungen völlig eindeutig ist. Die natürlichste und naheliegendste Auslegung der englischen Sprachfassung ist, dass der Begriff „criminal“ sozusagen vor die Klammer gezogen wurde und sich sowohl auf „convictions“ (Verurteilungen) als auch auf „offences“ (Straftaten) bezieht. In einigen Sprachfassungen(46) bleibt insoweit für Zweifel kein Raum: „Straftaten“ im Sinne von Art. 10 der DSGVO sind „strafrechtlich“ zu verstehen. Andere Sprachfassungen(47) sind insofern mehrdeutig, als sie mehr als einer Auslegung zugänglich sind. Die lettische Sprachfassung (saistītiem drošības pasākumiem), mit der das vorlegende Gericht vermutlich am besten vertraut ist, ist ebenfalls mehrdeutig. Hier wird nicht nur nicht näher angegeben, ob die „Straftaten“ (pārkāpumi) strafrechtlicher Natur sein müssen, sondern auch offen gelassen, ob die „Verurteilungen“ (sodāmība) strafrechtlicher Natur sein müssen(48).

75. Auch wenn die verschiedenen Sprachfassungen bunt gemischt erscheinen mögen, lassen sich an dieser Stelle bereits einige Schlussfolgerungen ziehen.

76. Alle Fassungen der Handlungen in den Amtssprachen der Union sind maßgebend, so dass grundsätzlich allen Sprachfassungen einer Unionshandlung der gleiche Wert beizumessen ist(49). Die Auslegung einer unionsrechtlichen Vorschrift erfordert somit einen Vergleich der verschiedenen Sprachfassungen(50). Im Übrigen müssen die verschiedenen Sprachfassungen einer Vorschrift des Unionsrechts einheitlich ausgelegt werden(51).

77. Unter diesen Umständen ist die Bedeutung der „genaueren“ Sprachfassungen als die zutreffende anzusehen, zumal diese genauere Bedeutung auch zu den möglichen Auslegungen nach den weniger genauen Sprachfassungen gehört, bei denen davon ausgegangen werden kann, dass eine Möglichkeit ihrer Auslegung diejenige ist, dass „Straftaten“ allein „strafrechtlich“ zu verstehen ist. An dieser Stelle kann daher vorläufig festgehalten werden, dass auf der Grundlage einer vergleichenden Lektüre der verschiedenen Sprachfassungen von Art. 10 der DSGVO der Begriff „strafrechtlich“ sich sowohl auf „Verurteilungen“ als auch auf „Straftaten“ bezieht(52).

78. Zudem behält diese hier vertretene Auslegung von Art. 10 der DSGVO die Unterscheidung bei, die in ihrer Vorgängerbestimmung, Art. 8 Abs. 5 der Richtlinie 95/46, vorgenommen wurde. Nach der früheren Bestimmung war für die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten eine behördliche Aufsicht zwingend(53), während bei administrativen Sanktionen eine behördliche Aufsicht über die Datenverarbeitung optional war(54). Wenn nach Art. 8 Abs. 5 der Richtlinie 95/46 der Begriff „Straftaten“ dahin zu verstehen gewesen wäre, dass er auch „administrative Straftaten“ umfasste, wäre der zweite Teil dieser Bestimmung redundant gewesen.

79. Bei diesem Ergebnis bleibt allerdings noch die Frage offen, was genau unter dem Begriff „Straftaten“ zu verstehen ist.

80. Insoweit besteht die erste Fragestellung darin, ob es sich bei diesem Begriff um einen autonomen Begriff des Unionsrechts handelt oder ob die Auslegung dieses Begriffs den Mitgliedstaaten überlassen bleibt.

81. Nach ständiger Rechtsprechung des Gerichtshofs folgt aus den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes, dass die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen(55). Bei dieser Auslegung sind der Wortlaut, die Ziele und der Kontext der betreffenden Bestimmung sowie das gesamte Unionsrecht zu berücksichtigen. Die Entstehungsgeschichte einer Bestimmung des Unionsrechts kann ebenfalls relevante Anhaltspunkte für ihre Auslegung liefern(56).

82. Insoweit ist eindeutig, dass das Strafrecht und das Strafprozessrecht grundsätzlich in die Zuständigkeit der Mitgliedstaaten fallen(57). Demzufolge sind in erster Linie die Mitgliedstaaten in der Lage, zu bestimmen, was eine Straftat darstellt(58).

83. Hat der Unionsgesetzgeber jedoch die Rechtsform einer Verordnung – und nicht diejenige einer Richtlinie – gewählt, müsste meines Erachtens eine einheitliche Auslegung der Bestimmungen dieser Verordnung in der gesamten Union die Regel sein, um ihre allgemeine und unmittelbare Geltung in allen Mitgliedstaaten im Einklang mit Art. 288 Abs. 2 AEUV zu gewährleisten.

84. Ebenso gibt es Hinweise darauf, dass der Unionsgesetzgeber im Hinblick auf die Auslegung des Begriffs „Straftaten“ nicht auf innerstaatliches Recht verweisen wollte. So sollte nach dem 13. Erwägungsgrund der Richtlinie 2016/680(59) eine Straftat im Sinne dieser Richtlinie ein eigenständiger Begriff des Unionsrechts in der Auslegung durch den Gerichtshof der Europäischen Union sein. Im Sinne eines Schlusses de maiore ad minus müsste meines Erachtens eine solche Feststellung auch für die DSGVO gelten, die, wie oben ausgeführt, als Verordnung einen Rechtsakt darstellt, der automatisch ein höheres Maß an Integration und Zentralisierung besitzt.

85. Die zweite Fragestellung, die darin besteht, zu ermitteln, ob sich die in Rede stehenden personenbezogenen Daten auf strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen im Sinne von Art. 10 der DSGVO beziehen, ist schwieriger.

86. Der Gerichtshof hat bereits Gelegenheit gehabt, zur Definition einer „Straftat“ im Kontext des Grundsatzes ne bis in idem(60) nach Art. 50 der Charta Stellung zu nehmen(61).

87. Insoweit greift der Gerichtshof auf die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte(62) zurück, wonach für die Definition des Begriffs „Strafverfahren“ drei Kriterien relevant sind: die rechtliche Einordnung der Zuwiderhandlung im innerstaatlichen Recht, die Art der Zuwiderhandlung sowie die Art und der Schweregrad der angedrohten Sanktion(63).

88. Strafpunkte, wie die nach der fraglichen nationalen Regelung verhängten, kommen meines Erachtens nach dieser Rechtsprechung für eine Straftat nicht in Betracht, da sie diese Kriterien nicht erfüllen. Insbesondere sind sie nicht sehr schwerwiegend(64).

89. Abschließend ist darauf hinzuweisen, dass aufgrund dieser Würdigung keine Notwendigkeit besteht, die Abgrenzung zwischen Art. 10 der DSGVO und den Bestimmungen der Richtlinie 2016/680 zu prüfen, da diese Richtlinie auf die vorliegende Rechtssache nicht anwendbar ist.

3. Vorgeschlagene Antwort

90. Ich schlage daher vor, die erste Frage dahin zu beantworten, dass Art. 10 der DSGVO in dem Sinne auszulegen ist, dass er den Fall der Verarbeitung von Informationen über wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängte Strafpunkte, wie sie nach einer nationalen Regelung wie Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes vorgesehen ist, nicht erfasst.

D. Zweite Frage: Offenlegung von Strafpunkten

91. Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen geklärt wissen, ob ein Mitgliedstaat aufgrund der Bestimmungen der DSGVO daran gehindert ist, Informationen über wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängte Strafpunkte zu verarbeiten und offenzulegen.

92. Obwohl das vorlegende Gericht beispielhaft auf den in Art. 5 Abs. 1 Buchst. f der DSGVO enthaltenen Grundsatz der Integrität und Vertraulichkeit(65) hinweist, ist die Frage weit gefasst, da sie sich auf die Bestimmungen dieser Verordnung in ihrer Gesamtheit bezieht(66). Die nachfolgende Erörterung wird sich daher auch auf andere als die vom vorlegenden Gericht in seiner Frage genannten Bestimmungen der DSGVO beziehen müssen.

93. Jede Verarbeitung personenbezogener Daten muss erstens mit den in Art. 5 der DSGVO aufgestellten Grundsätzen in Bezug auf die Datenqualität und zweitens mit einem der in Art. 6 dieser Verordnung aufgeführten Grundsätze bzw. Kriterien in Bezug auf die Zulässigkeit der Verarbeitung von Daten im Einklang stehen(67). Aus dem Wortlaut dieser beiden Bestimmungen lässt sich ableiten, dass Erstere kumulativer(68) und Letztere alternativer(69) Natur ist.

94. Die zweite Frage bezieht sich auf die Grundsätze der Datenqualität. Das vorlegende Gericht geht – durchaus zu Recht – davon aus, dass die CSDD Daten verarbeitet, und es stellt nicht die Verhängung der Strafpunkte als solche in Frage, sondern die auf Antrag erfolgende Offenlegung der Strafpunkte.

95. Die CSDD ist unbestreitbar ein „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 der DSGVO, der durch die Eintragung der Strafpunkte in das nationale Fahrzeugregister personenbezogene Daten im Sinne von Art. 4 Nr. 2 dieser Verordnung verarbeitet.

96. Es mag der Hinweis darauf genügen, dass der Gerichtshof im Zusammenhang mit einem öffentlichen „Unternehmensregister“ entschieden hat, dass die mit der Führung dieses Registers betraute Stelle durch Eintragungen von Informationen in das Register, deren Aufbewahrung im Register und gegebenenfalls deren Übermittlung auf Antrag an Dritte im Sinne der Definitionen der Richtlinie 95/46(70), welche die Vorgänger der in Art. 4 Nrn. 2 und 7 der DSGVO enthaltenen Definitionen sind, eine „Verarbeitung personenbezogener Daten“ vornimmt, für die sie „Verantwortlicher“ ist(71).

1. Art. 5 Abs. 1 Buchst. f der DSGVO: Integrität und Vertraulichkeit

97. Dies wirft die Frage auf, ob die Grundsätze der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 Buchst. f der DSGVO gewahrt sind, eine Bestimmung, auf die sich das vorlegende Gericht in seiner Frage selbst bezieht.

98. Nach Art. 5 Abs. 1 Buchst. f der DSGVO sind personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

99. Wie aus ihrem Wortlaut hervorgeht, geht es in dieser Bestimmung um Sicherheit sowie technische und organisatorische Maßnahmen im Zusammenhang mit der Verarbeitung personenbezogener Daten(72). Es geht hier um allgemeine formale Anforderungen an die Sicherheit von Daten(73).

100. Dagegen ersucht das vorlegende Gericht um Hinweise, die grundlegender sind und die rechtliche Möglichkeit einer solchen Verarbeitung betreffen. Anders und bildlicher ausgedrückt, ersucht es um Hinweise zum Ob der Verarbeitung personenbezogener Daten, während Art. 5 Abs. 1 Buchst. f der DSGVO das Wie einer solchen Verarbeitung regelt. Folglich ist Art. 5 Abs. 1 Buchst. f der DSGVO für den vorliegenden Fall nicht von Bedeutung.

2. Art. 5 Abs. 1 Buchst. a der DSGVO: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

101. Nach Art. 5 Abs. 1 Buchst. a der DSGVO sind personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten.

102. Hinzuweisen ist darauf, dass der Begriff „Rechtmäßigkeit“ sowohl in Art. 5 Abs. 1 Buchst. a als auch in Art. 6 der DSGVO vorkommt. Die detaillierten Anforderungen von Art. 6 in Art. 5 dieser Verordnung hineinzulesen, wäre aus Sicht der gesetzgeberischen Gestaltung von Rechtsvorschriften wenig sinnvoll, wenn Art. 5 auch die Kriterien des Art. 6 der DSGVO enthalten sollte.

103. Die Rechtmäßigkeit im Sinne von Art. 5 Abs. 1 Buchst. a der DSGVO sollte vielmehr im Licht des 40. Erwägungsgrundes dieser Verordnung(74) verstanden werden, wonach die Verarbeitung entweder auf einer Einwilligung oder einer anderen gesetzlich geregelten Rechtsgrundlage beruhen muss(75).

104. Ausgehend hiervon (es besteht eine Rechtsgrundlage im nationalen Recht) sehe ich keinen Grund, die Rechtmäßigkeit der Verarbeitung in der vorliegenden Rechtssache in Frage zu stellen(76).

105. Ich stimme daher mit der österreichischen Regierung(77) darin überein, dass dieser Grundsatz für den Sachverhalt der vorliegenden Rechtssache nicht relevant sein dürfte.

3. Art. 5 Abs. 1 Buchst. b der DSGVO: Zweckbindung

106. Art. 5 Abs. 1 Buchst. b der DSGVO legt den Grundsatz der „Zweckbindung“ fest, indem er besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen(78).

107. Das vorlegende Gericht erläutert, dass die in Rede stehende Bestimmung, Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes, das Ziel der Sicherheit des Straßenverkehrs verfolge, indem sie die Identität sich regelwidrig verhaltender Fahrzeugführer preisgebe. Somit dürfte die Offenlegung der Strafpunkte zu einem festgelegten, eindeutigen und legitimen Zweck erfolgen. Auch erscheint die Verarbeitung personenbezogener Daten mit diesem Zweck nicht unvereinbar.

4. Art. 5 Abs. 1 Buchst. c der DSGVO: Datenminimierung

108. Nach Art. 5 Abs. 1 Buchst. c der DSGVO müssen nach dem Grundsatz der Datenminimierung personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dementsprechend sollten nach dem 39. Erwägungsgrund der DSGVO personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.

109. Ebenso wie die anderen in Art. 5 Abs. 1 der DSGVO verankerten Grundsätze verstehe ich diesen Grundsatz als Ausdruck des Verhältnismäßigkeitsprinzips(79); meine Würdigung ist daher nunmehr mit der Prüfung der Frage fortzusetzen, ob die in Rede stehende nationale Regelung im Hinblick auf das mit ihr verfolgte Ziel verhältnismäßig ist.

110. Nach ständiger Rechtsprechung verlangt der Grundsatz der Verhältnismäßigkeit als allgemeiner Grundsatz des Unionsrechts, dass die von einem Unionsrechtsakt eingesetzten Mittel zur Erreichung des verfolgten Ziels geeignet sind und nicht über das dazu Erforderliche hinausgehen(80).

111. Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes muss somit geeignet und erforderlich sein, um das angeblich mit ihm angestrebte Ziel, nämlich die Erhöhung der Sicherheit des Straßenverkehrs, zu erreichen.

a) Geeignetheit

112. Das angebliche erste Ziel der nationalen Regelung besteht darin, Fahrzeugführer identifizieren zu können, die die Straßenverkehrsregeln systematisch und schwerwiegend missachten. Die Identifizierung von Personen, die gegen Straßenverkehrsregeln verstoßen, hängt offenkundig in keiner Weise davon ab, dass die gegen die Person, die den Verstoß begangen hat, verhängten Strafpunkte öffentlich (allgemein zugänglich) sind. Es ist die alleinige Verantwortung einer Behörde, die Täter solcher Verstöße sachlich richtig zu identifizieren und die gegen sie verhängten Strafpunkte in Verzeichnissen zu erfassen, damit die angemessenen Rechtsfolgen eintreten und entsprechende Sanktionen auf sie angewandt werden können.

113. Das zweite Ziel der die Offenlegung der fraglichen personenbezogenen Daten zulassenden nationalen Bestimmung besteht nach den Angaben des Parlaments darin, das Verhalten der Verkehrsteilnehmer zu beeinflussen, um mögliche Täter von der Begehung weiterer Verstöße abzuhalten. Insoweit ist möglicherweise zuzugestehen, dass der Umstand, dass jedermann die Möglichkeit gegeben wird, sich Kenntnis darüber zu verschaffen, wer gegen Verkehrsregeln verstößt, wahrscheinlich eine gewisse abschreckende Wirkung hat: viele Fahrzeugführer würden sich dagegen wehren, dass solche Informationen über sie der Öffentlichkeit preisgegeben werden, um nicht als Delinquent gekennzeichnet zu werden.

114. Dieser Zweck wird auch in Art. 43¹ des Straßenverkehrsgesetzes eindeutig als das mit der Einführung des Strafpunktesystems verfolgte Ziel genannt. Es ist recht offensichtlich, dass der Umstand, dass Strafpunkte öffentlich gemacht werden, in gewissem Maße schon einen zusätzlichen abschreckenden Faktor darstellt. Die fragliche Bestimmung könnte somit grundsätzlich mit dem verfolgten Allgemeininteresse, nämlich der Förderung der Sicherheit des Straßenverkehrs und der Verhütung von Verkehrsunfällen, im Einklang stehen.

115. Wenn allerdings die in Rede stehenden personenbezogenen Daten nur auf Antrag zur Verfügung gestellt werden und der Antragsteller die persönliche Identifikationsnummer der betreffenden Person angeben muss, wirft das die Frage auf, wie schwierig es ist, diese Nummer zu erhalten. Denn je schwieriger diese Daten zu erhalten sind, umso geringer ist die abschreckende Wirkung der Offenlegungsregelung, da die öffentliche Zugänglichkeit dieser Daten ihrerseits von weiteren Faktoren abhängt, die schwer vorhersehbar sind.

116. Aus diesem Grund habe ich gravierende Zweifel an der Geeignetheit der in Rede stehenden nationalen Regelung.

117. Es ist Sache des vorlegenden Gerichts, unter Berücksichtigung aller Umstände des Falles zu entscheiden, ob Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes wirklich geeignet ist, das legitime Ziel der Verbesserung der Sicherheit des Straßenverkehrs zu erreichen.

b) Erforderlichkeit

118. Was die Frage der Erforderlichkeit angeht, d. h. die Anforderung, dass die in Rede stehende Maßnahme nicht über das hinausgehen darf, was zur Erreichung des verfolgten Ziels erforderlich ist, erscheint die Lage eindeutiger.

119. Es ist wiederum Sache des vorlegenden Gerichts, unter Berücksichtigung aller Umstände des Falles zu entscheiden, ob die fragliche Bestimmung wirklich erforderlich ist. Auf der Grundlage der verfügbaren Informationen ist meines Erachtens jedoch nicht ersichtlich, inwieweit diese Bestimmung in irgendeiner Weise als erforderlich angesehen werden könnte.

120. Auch wenn das Ziel der Förderung der Sicherheit des Straßenverkehrs wichtig ist, müssen gleichwohl die verschiedenen betroffenen Interessen in einen angemessenen Ausgleich gebracht werden; es ist somit Sache des nationalen Gesetzgebers, zu entscheiden, ob die Offenlegung der in Rede stehenden personenbezogenen Daten über das hinausgeht, was zur Erreichung der verfolgten legitimen Ziele erforderlich ist; hierbei ist insbesondere die durch eine solche Offenlegung verursachte Verletzung der Grundrechte zu berücksichtigen.

121. Dem Vorabentscheidungsersuchen ist nicht zu entnehmen, ob das Parlament vor Erlass der fraglichen Bestimmung andere Mittel in Betracht gezogen hat, mit denen das Ziel der Förderung der Sicherheit des Straßenverkehrs erreicht werden könnte und zugleich weniger stark in das Recht des Einzelnen auf Datenschutz eingegriffen würde. Außerdem muss der Gesetzgeber nachweisen können, dass sich die Ausnahmen und Einschränkungen des Datenschutzes streng innerhalb der hierfür gesetzten Grenzen bewegen. Vor der Veröffentlichung eines Datensatzes (oder vor der Verabschiedung eines Gesetzes, das seine Veröffentlichung vorschreibt) ist eine sorgfältige Abschätzung der Folgen für den Datenschutz durchzuführen, die auch eine Bewertung der Möglichkeiten einer Weiterverwendung und deren mögliche Auswirkungen umfasst.

122. Das Vorliegen und die sachliche Richtigkeit entsprechender Angaben sind eine wesentliche Grundlage für die Entscheidung, ob die Ziele der Förderung der Sicherheit des Straßenverkehrs und der Verringerung von Verkehrsunfällen durch Maßnahmen erreicht werden können, die die Rechte der betroffenen Personen weniger stark beeinträchtigen und somit einen Verstoß gegen den durch Art. 8 der Charta gewährten Schutz vermeiden oder zumindest mildern würden.

123. Der Eingriff in die Privatsphäre durch die Veröffentlichung von Daten über Verstöße und verhängte Sanktionen ist an sich schon besonders schwerwiegend: Mit ihm werden der Öffentlichkeit Informationen über von Einzelnen begangene Verstöße offengelegt. Es kann ferner nicht ausgeschlossen werden, dass eine solche mit der Veröffentlichung der in Rede stehenden Daten untrennbar einhergehende Datenverarbeitung zu einer Stigmatisierung des Täters des Verstoßes und zu weiteren negativen Folgen führen kann. Daher müssen solche „schwarzen Listen“ streng reguliert werden.

124. Schließlich sind, wie von der Datenschutzbehörde festgestellt, der präventive Charakter der fraglichen Bestimmung und die Statistiken, die eine günstige Entwicklung, nämlich eine Verringerung der Zahl der Verkehrsunfälle, erkennen lassen, kein Beleg dafür, dass diese Verringerung mit der Einführung des Strafpunktesystems an sich oder damit, dass die Informationen über die erfassten Strafpunkte öffentlich zugänglich sind, zusammenhängt.

5. Vorgeschlagene Antwort

125. Ich schlage dem Gerichtshof daher vor, die zweite Frage dahin zu beantworten, dass Art. 5 Abs. 1 Buchst. c der DSGVO einer nationalen Regelung wie Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes, die die Verarbeitung und Offenlegung von Informationen über gegen Fahrzeugführer wegen Verkehrsordnungswidrigkeiten verhängte Strafpunkte gestattet, entgegensteht.

E. Dritte Frage: Weiterverwendung personenbezogener Daten

1. Richtlinie 2003/98

126. Wie in Art. 1 Abs. 1 der Richtlinie 2003/98 ausgeführt, enthält diese Richtlinie einen Mindestbestand an Regeln für die Weiterverwendung und die praktischen Mittel zur Erleichterung der Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen der Mitgliedstaaten sind.

127. Vorliegend kann davon ausgegangen werden, dass Strafpunkte in Lettland in Dokumenten erfasst werden, die sich im Besitz der CSDD als einer öffentlichen Stelle im Sinne dieser Bestimmung befinden.

128. Der Anwendungsbereich der Richtlinie 2003/98 ist jedoch nicht eröffnet, da diese Richtlinie nach ihrem Art. 1 Abs. 2 Buchst. c, cc nicht für Dokumente gilt, die nach den Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder nur eingeschränkt zugänglich sind(81). Nach ihrem Art. 1 Abs. 4 hat die Richtlinie 2003/98 ferner keinerlei Auswirkungen auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß den Rechtsvorschriften der Union und der Mitgliedstaaten und lässt insbesondere die Pflichten und Rechte gemäß der DSGVO unberührt(82).

129. Aus diesen Bestimmungen ergibt sich somit, dass für die Verarbeitung der in Rede stehenden personenbezogenen Daten die Unionsregelungen zum Datenschutz, nämlich die DSGVO, und nicht die Richtlinie 2003/98, maßgebend sind(83).

2. Weiterverwendung

130. Wie das vorlegende Gericht zu Recht feststellt, wird es, wenn Informationen über die gegen Fahrzeugführer verhängten Strafpunkte an jedermann, auch an ihre Weiterverwendung betreibende Wirtschaftsteilnehmer, weitergegeben werden können, nicht möglich sein, die Zwecke der weiteren Verarbeitung der Daten festzustellen oder zu beurteilen, ob die Verarbeitung personenbezogener Daten in einer Art und Weise erfolgt, die mit diesen Zwecken unvereinbar ist.

131. Vor diesem Hintergrund gilt die Würdigung der zweiten Vorlagefrage hier nicht nur entsprechend, sondern erst recht: Privatunternehmen könnten versucht sein, die personenbezogenen Daten für gewerbliche Zwecke zu verwerten, d. h. für Zwecke, die mit dem Zweck der Verarbeitung, nämlich der Erhöhung der Sicherheit des Straßenverkehrs, unvereinbar sind.

132. Ferner geht die Möglichkeit, dass Dritte die personenbezogenen Daten weiterverarbeiten können, eindeutig über die in Art. 5 Abs. 1 Buchst. b der DSGVO festgelegte Zweckbindung hinaus.

3. Vorgeschlagene Antwort

133. Ich schlage daher vor, die dritte Frage dahin zu beantworten, dass eine nationale Regelung wie Art. 14¹ Abs. 2 des Straßenverkehrsgesetzes, die die Verarbeitung und die auch zu Zwecken der Weiterverwendung erfolgende Offenlegung von Informationen über gegen Fahrzeugführer wegen Verkehrsordnungswidrigkeiten verhängte Strafpunkte gestattet, durch die Bestimmungen der Richtlinie 2003/98 nicht geregelt ist. Sie ist vielmehr durch Art. 5 Abs. 1 Buchst. c der DSGVO ausgeschlossen.

F. Vierte Frage

134. Mit seiner vierten Frage möchte das vorlegende Gericht geklärt wissen, ob es – für den Fall, dass festgestellt wird, dass das Unionsrecht der fraglichen nationalen Regelung entgegensteht – möglich wäre, die in Rede stehende Bestimmung anzuwenden und ihre rechtlichen Wirkungen bis zum Eintritt der Rechtskraft der abschließenden Entscheidung des Verfassungsgerichts aufrechtzuerhalten.

135. Das vorlegende Gericht beantragt somit, die rechtlichen Wirkungen der fraglichen Bestimmung aufrechtzuerhalten, bis es eine abschließende Entscheidung getroffen hat.

136. Nach ständiger Rechtsprechung wird durch die Auslegung einer Vorschrift des Unionsrechts, die der Gerichtshof in Ausübung seiner Befugnisse aus Art. 267 AEUV vornimmt, erläutert und verdeutlicht, in welchem Sinne und mit welcher Tragweite diese Vorschrift seit ihrem Inkrafttreten zu verstehen und anzuwenden ist oder gewesen wäre(84). Daraus folgt, dass die Gerichte die Vorschrift in dieser Auslegung auch auf Rechtsverhältnisse, die vor Erlass des auf das Ersuchen um Auslegung ergangenen Urteils entstanden sind, anwenden können und müssen, wenn alle sonstigen Voraussetzungen für die Anrufung der zuständigen Gerichte in einem die Anwendung dieser Vorschrift betreffenden Streit vorliegen(85). Nur ganz ausnahmsweise kann der Gerichtshof selbst aufgrund des allgemeinen unionsrechtlichen Grundsatzes der Rechtssicherheit die für die Betroffenen bestehende Möglichkeit beschränken, sich auf die Auslegung, die er einer Vorschrift gegeben hat, zu berufen, um in gutem Glauben begründete Rechtsverhältnisse in Frage zu stellen(86).

137. Jedenfalls kann über die Voraussetzungen einer möglichen Aussetzung(87) ausschließlich der Gerichtshof entscheiden, und zwar aus gutem Grund: Andernfalls könnte ein nationales Gericht die Wirkungen dieser Entscheidung aufschieben und sie damit in ihrem Wesen als erga omnes ergehender Entscheidung beeinträchtigen, die in erster Linie die einheitliche Anwendung des Unionsrechts und die Rechtssicherheit in allen Mitgliedstaaten gewährleisten sowie gleiche Wettbewerbsbedingungen für Mitgliedstaaten, Bürger und Wirtschaftsteilnehmer schaffen soll. Insoweit kann nicht zugelassen werden, dass Vorschriften des nationalen Rechts, auch wenn sie Verfassungsrang haben, die einheitliche Geltung und die Wirksamkeit des Unionsrechts beeinträchtigen(88).

138. Eine solche Beschränkung ist nur dann zulässig, wenn zwei grundlegende Kriterien erfüllt sind, nämlich guter Glaube der Betroffenen und die Gefahr schwerwiegender Störungen(89).

139. Es ist hinzuzufügen, dass der Gerichtshof nur ausnahmsweise(90) und nur unter ganz bestimmten Umständen beschlossen hat, auf diese Lösung zurückgreifen, namentlich, wenn eine Gefahr schwerwiegender wirtschaftlicher Auswirkungen bestand, die insbesondere mit der großen Zahl von Rechtsverhältnissen zusammenhingen, die in gutem Glauben auf der Grundlage der als gültig betrachteten Regelung eingegangen worden waren, und wenn sich herausstellte, dass die Einzelnen und die nationalen Behörden zu einem mit dem Unionsrecht unvereinbaren Verhalten veranlasst worden waren, weil hinsichtlich der Tragweite der Unionsbestimmungen eine bedeutende objektive Unsicherheit bestand, zu der eventuell auch das Verhalten anderer Mitgliedstaaten oder der Union beigetragen hatte(91).

140. In der vorliegenden Rechtssache lassen die im Vorabentscheidungsersuchen genannten Angaben nicht den Schluss zu, dass eine große Zahl auf der Grundlage der fraglichen Bestimmung in gutem Glauben eingegangener Rechtsverhältnisse beeinträchtigt worden wäre und dass es folglich besonders schwierig wäre, sicherzustellen, dass die diese Bestimmung für mit dem Unionsrecht unvereinbar erklärende Vorabentscheidung des Gerichtshofs ex tunc eingehalten wird.

141. Daher besteht keine Notwendigkeit, die zeitlichen Wirkungen des Urteils des Gerichtshofs in der vorliegenden Rechtssache zu begrenzen.

142. Ich schlage daher vor, die vierte Frage dahin zu beantworten, dass es nicht möglich ist, die in Rede stehende Bestimmung anzuwenden und ihre rechtlichen Wirkungen bis zum Eintritt der Rechtskraft der abschließenden Entscheidung des Verfassungsgerichts aufrechtzuerhalten.

V. Ergebnis

143. Nach alledem schlage ich dem Gerichtshof vor, die vom Satversmes tiesa (Verfassungsgericht, Lettland) vorgelegten Fragen wie folgt zu beantworten:

1. Art. 10 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er den Fall der Verarbeitung personenbezogener Daten über wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängte Strafpunkte, wie sie nach einer nationalen Regelung wie Art. 14¹ Abs. 2 des Ceļu satiksmes likums (Straßenverkehrsgesetz) vorgesehen ist, nicht erfasst.

2. Art. 5 Abs. 1 Buchst. c der Verordnung 2016/679 steht der Verarbeitung und Offenlegung personenbezogener Daten über gegen Fahrzeugführer wegen Verkehrsordnungswidrigkeiten verhängte Strafpunkte durch einen Mitgliedstaat entgegen.

3. Art. 5 Abs. 1 Buchst. b und c der Verordnung 2016/679 steht der Verarbeitung und Offenlegung personenbezogener Daten über gegen Fahrzeugführer wegen Verkehrsordnungswidrigkeiten verhängte Strafpunkte durch einen Mitgliedstaat entgegen, wenn diese Offenlegung zu Zwecken der Weiterverwendung erfolgt.

4. Die Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors trifft keine Regelungen für die Verarbeitung und die auch zu Zwecken der Weiterverwendung erfolgende Offenlegung personenbezogener Daten über gegen Fahrzeugführer wegen Verkehrsordnungswidrigkeiten verhängte Strafpunkte.

5. Es nicht möglich, die in Rede stehende Bestimmung anzuwenden und ihre rechtlichen Wirkungen bis zum Eintritt der Rechtskraft der abschließenden Entscheidung des Satversmes tiesa (Verfassungsgericht) aufrechtzuerhalten.

1 Originalsprache: Englisch.

2 Siehe Tribune vom 8. November 1946.

3 Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).

4 Vgl. Urteil vom 12. November 1969 (29/69, EU:C:1969:57, Rn. 7).

5 Und sicherlich der ersten, die Grundrechte in der Unionsrechtsordnung betreffenden Rechtssache.

6 Richtlinie des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. 2003, L 345, S. 90) in der durch die Richtlinie 2013/37/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 (ABl. 2013, L 175, S. 1) geänderten Fassung.

7 Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

8 Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst (Pariser Fassung vom 24. Juli 1971) in der am 28. September 1979 geänderten Fassung.

9 Das TRIPS-Übereinkommen (Übereinkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums) in Anhang 1C des Übereinkommens zur Errichtung der Welthandelsorganisation (WTO-Übereinkommen), das im Namen der Europäischen Gemeinschaft hinsichtlich des in ihre Zuständigkeit fallenden Teils durch den Beschluss 94/800/EG des Rates vom 22. Dezember 1994 (ABl. 1994, L 336, S. 1) genehmigt wurde.

10 In der am 10. Mai 2018 in Kraft getretenen geänderten Fassung.

11 Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi“ (Verordnung des Kabinetts Nr. 551 vom 21. Juni 2004, „Regeln für die Anwendung des Strafpunktesystems“).

12 So sehr es auch verwundern mag, ist die Formulierung „Anwendungsbereich des Unionsrechts“ in Art. 2 Abs. 2 Buchst. a der DSGVO im Kontext der DSGVO doch alles andere als klar, vgl. Wolff, H. A., in Pechstein, M., Nowak, C., Häde, U. (Hrsg.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Mohr Siebeck, Tübingen, 2017, Art. 16 AEUV, Rn. 19.

13 Nämlich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

14 Dies hat der Gerichtshof für Art. 3 Abs. 2 der Richtlinie 95/46 in ständiger Rechtsprechung entschieden, vgl. Urteil vom 10. Juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, Rn. 37 und die dort angeführte Rechtsprechung). Vgl. auch Sobotta, C., in Grabitz, E., Hilf, M., und Nettesheim, M., Das Recht der Europäischen Union, 71. EL, aktualisierte Auflage, August 2020, C.H. Beck, München, Art. 16 AEUV, Rn. 22, der auf den weiten sachlichen Anwendungsbereich der Datenschutzregelung der Union verweist.

15 Vgl. insoweit auch Hatje, A., in Schwarze, J., Becker, U., Hatje, A., Schoo, J. (Hrsg.), EU-Kommentar, 4. Aufl., Nomos, Baden-Baden, 2019, Art. 16, Rn. 10, und Brühann, U., in von der Groeben, H., Schwarze, J., Hatje, A. (Hrsg.), Europäisches Unionsrecht (Kommentar), Band I, 7. Aufl., Nomos, Baden-Baden, 2015, Art. 16 AEUV, Rn. 130.

16 Über „Allgemein geltende Bestimmungen“.

17 Vgl. zur Richtlinie 95/46 z. B. Urteile vom 13. Mai 2014, Google Spain und Google (C‑131/12, EU:C:2014:317, Rn. 66), und vom 10. Juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, Rn. 35).

18 Der ursprünglich binnenmarktbezogene Sinn und Zweck der regulatorischen Datenschutzregelung der Union besteht neben dem Schutz von Daten eigenständig fort. Wie bereits in ihrem Titel zum Ausdruck kommt und in Art. 1 der DSGVO definiert, hat die DSGVO zweierlei Gegenstand und Ziel: die Festlegung von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Außerdem wird im 13. Erwägungsgrund der DSGVO näher ausgeführt, dass Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, und dass das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

19 Hervorhebung nur hier.

20 Diese Bestimmung definiert den Anwendungsbereich der Charta.

21 Hervorhebung nur hier.

22 Vgl. z. B. Zerdick, T., in Ehmann, E., Selmayr, M. (Hrsg.), Datenschutz-Grundverordnung, Kommentar, C.H. Beck, München, 2. Aufl., 2018, Art. 2, Rn. 5.

23 Dies ist ständige Rechtsprechung seit dem Urteil vom 26. Februar 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, Rn. 21). Vgl. auch Urteile vom 21. Dezember 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, Rn. 62); vom 21. Mai 2019, Kommission/Ungarn (Nießbrauchsrechte an landwirtschaftlichen Flächen) (C‑235/17, EU:C:2019:432, Rn. 63); und vom 24. September 2020, NK (Betriebspensionen leitender Angestellter) (C‑223/19, EU:C:2020:753, Rn. 78).

24 Der Wortlaut von Art. 2 Abs. 2 Buchst. a der DSGVO ist meines Erachtens nicht eindeutig. Nach ständiger Rechtsprechung des Gerichtshofs sind bei der Auslegung einer unionsrechtlichen Vorschrift nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden, und insbesondere deren Entstehungsgeschichte, vgl. z. B. Urteil vom 17. April 2018, Egenberger (C‑414/16, EU:C:2018:257, Rn. 44 und die dort angeführte Rechtsprechung).

25 Vgl. in diesem Sinne auch Lubasz, D., in Lubasz, D. (Hrsg.), Ochrona danych osobowych, Wolters Kluwer, Warschau 2020, Rn. 92.

26 Und galt früher auch für Art. 114 AEUV.

27 Vgl. Art. 10 der DSGVO.

28 Insbesondere wenn man bedenkt, dass eine solche nationale Identifikationsnummer üblicherweise bei der amtlichen Registrierung einer Geburt vergeben wird, einem nicht typischerweise mit einer Unionszuständigkeit verbundenen Gegenstand.

29 Vgl. 20. Erklärung zur Schlussankte der Regierungskonferenz, die den am 13. Dezember 2007 unterzeichneten Vertrag von Lissabon angenommen hat.

30 Nach Art. 94 Abs. 2 der DSGVO gelten Verweise auf die Richtlinie 95/46 als Verweise auf die DSGVO.

31 Vgl. Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37). Vgl. zu dieser Bestimmung Urteil vom 29. Januar 2008, Promusicae (C‑275/06, EU:C:2008:54, Rn. 49).

32 Dazu gehören die Gewährleistung der territorialen Integrität des Staates, die Aufrechterhaltung von Recht und Ordnung und der Schutz der nationalen Sicherheit.

33 Vgl. zu diesem Begriff Franzius, C., in Pechstein, M., Nowak, C., Häde, U. (Hrsg.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band I, Mohr Siebeck, Tübingen, 2017, Art. 4 EUV, Rn. 50: „Staatsfunktionsgarantie“.

34 Vgl. Art. 2 Abs. 2 Buchst. b der DSGVO.

35 Vgl. Art. 2 Abs. 2 Buchst. c der DSGVO.

36 Vgl. Art. 2 Abs. 2 Buchst. d der DSGVO.

37 Zudem enthält Art. 39 EUV eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die unter die Gemeinsame Außen- und Sicherheitspolitik fallen. Somit ist die Unterscheidung nach Säulen insoweit mit dem Vertrag von Lissabon beibehalten worden, vgl. Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015, S. 18.

38 Vgl. Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89).

39 Vgl. im Übrigen Urteil vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 102).

40 Um nur ein Beispiel zu nennen: Der Gerichtshof hat nicht etwa tatsächlich geprüft, ob ehrenamtliche und religionsgemeinschaftliche Tätigkeiten in den Anwendungsbereich des Unionsrechts fallen (vgl. Urteil vom 6. November 2003, Lindqvist, C‑101/01, EU:C:2003:596, Rn. 48).

41 Vgl. Urteil vom 20. Mai 2003, Österreichischer Rundfunk u. a. (C‑465/00, C‑138/01 und C‑139/01, EU:C:2003:294, Rn. 42).

42 Zur Rechtslehre vgl. im Übrigen Kranenborg, H., in Kuner, C., Bygrave, L. A., Docksey, C. (Hrsg.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Art. 86, A., auf S. 1214. Vgl. auch Pauly, D. A., in Paal, B. P., Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, C.H. Beck, München 2018, Art. 86 DS‑GVO, Rn. 9.

43 Vgl. insoweit auch Kranenborg, H., a. a. O., Art. 86, C.1., auf S. 1217, einschließlich Fn. 14. Derselbe Verfasser weist durchaus zu Recht darauf hin, dass im ursprünglichen Kommissionsvorschlag hierzu nur ein Erwägungsgrund und keine Vorschrift enthalten war.

44 Nach dieser Bestimmung ist, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat, die Verarbeitung im Umfang der erteilten Einwilligung rechtmäßig.

45 Oder wenn die Verarbeitung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.

46 So etwa in der spanischen (condenas e infracciones penales), der deutschen (strafrechtliche Verurteilungen und Straftaten), der italienischen (condanne penali e … reati), der litauischen (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), der maltesischen (kundanni kriminali u reati) und der niederländischen (strafrechtelijke veroordelingen en strafbare feiten) Sprachfassung.

47 So etwa die französische (condamnations pénales et … infractions), die polnische (wyroków skazujących oraz naruszeń prawa), die portugiesische (condenações penais e infrações) und die rumänische (condamnări penale și infracțiuni) Sprachfassung.

48 Allein vom reinen Wortlaut ausgehend könnten nämlich sogar die „Verurteilungen“ theoretisch ordnungswidrigkeitsrechtlicher Natur sein.

49 Vgl. z. B. Urteil vom 25. Juni 2020, A u. a. (Windkraftanlagen in Aalter und Nevele) (C‑24/19, EU:C:2020:503, Rn. 39 und die dort angeführte Rechtsprechung).

50 Vgl. Urteil vom 6. Oktober 1982, Cilfit u. a. (283/81, EU:C:1982:335, Rn. 18).

51 Vgl. z. B. Urteile vom 30. Mai 2013, Genil 48 und Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, Rn. 38 und die dort angeführte Rechtsprechung), und vom 6. September 2012, Parlament/Rat (C‑490/10, EU:C:2012:525, Rn. 68).

52 Vgl. in diesem Sinne auch Kawecki, M., Barta, P, in Litwiński, P. (Hrsg.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warschau 2018, Art. 10, Rn. 3.

53 „Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter behördlicher Aufsicht … erfolgen …“. Hervorhebung nur hier.

54 „Die Mitgliedstaaten können vorsehen, dass Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen.“ Hervorhebung nur hier.

55 Vgl. z. B. Urteil vom 1. Oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, Rn. 47 und die dort angeführte Rechtsprechung).

56 Ebd.

57 Vgl. Urteil vom 17. September 2020, JZ (Freiheitsstrafe bei Verstoß gegen ein Einreiseverbot) (C‑806/18, EU:C:2020:724, Rn. 26 und die dort angeführte Rechtsprechung).

58 Vgl. in diesem Sinne auch Georgieva, L., The EU General Data Protection Regulation (GDPR), a. a. O., Art. 10, C.1., auf S. 388, und Schiff, A., Datenschutz-Grundverordnung, Kommentar, a. a. O., Art. 10, Rn. 4.

59 Die übrigens am selben Tag wie die DSGVO erlassen wurde.

60 Das Recht, wegen derselben Straftat nicht zweimal strafrechtlich verfolgt oder bestraft zu werden.

61 Vgl. auch die aufschlussreichen Schlussanträge der Generalanwältin Kokott in der Rechtssache Bonda (C‑489/10, EU:C:2011:845, Nrn. 32 ff.).

62 Vgl. Urteil des Gerichtshofs für Menschenrechte vom 8. Juni 1976, Engel u. a./Niederlande (CE:ECHR:1976:0608JUD000510071, Rn. 80 bis 82), und vom 10. Februar 2009, Sergey Zolotukhin/Russland (CE:ECHR:2009:0210JUD001493903, Rn. 52 und 53).

63 Vgl. Urteil vom 5. Juni 2012, Bonda (C‑489/10, EU:C:2012:319, Rn. 37).

64 Da es hier um Strafpunkte geht, die, wie gesagt, nicht schwerwiegend sind, wird diese Feststellung nicht durch das Urteil des Gerichtshofs vom 14. November, Baláž (C‑60/12, EU:C:2013:733), in Frage gestellt, das sich mit der umfassenderen und allgemeineren Zuständigkeitsfrage des „auch in Strafsachen zuständigen Gerichts“ bei Zuwiderhandlung gegen die Verkehrsvorschriften im Allgemeinen und nicht nur im Hinblick auf Strafpunkte im Zusammenhang mit dem Rahmenbeschluss 2005/214/JI des Rates vom 24. Februar 2005 über die Anwendung des Grundsatzes der gegenseitigen Anerkennung von Geldstrafen und Geldbußen (ABl. 2005, L 76, S. 16) befasste.

65 Welcher, wie sich im Folgenden zeigen wird, vorliegend jedenfalls nicht anwendbar ist.

66 Vor diesem Hintergrund könnte zu Recht als fraglich angesehen werden, ob die Voraussetzungen nach Art. 94 Buchst. c der Verfahrensordnung des Gerichtshofs erfüllt sind; andernfalls wäre die Frage unzulässig.

67 Vgl. Urteil vom 16. Januar 2019, Deutsche Post (C‑496/17, EU:C:2019:26, Rn. 57 und die dort angeführte Rechtsprechung).

68 Art. 5 der DSGVO ist verbindlich formuliert („müssen“), und die verschiedenen Grundsätze sind jeweils durch Semikolon verbunden, womit ein „und“ und nicht ein „oder“ impliziert wird.

69 Art. 6 der DSGVO bezieht sich auf „mindestens eine der nachstehenden Bedingungen“.

70 Vgl. Urteil vom 9. März 2017, Manni (C‑398/15, EU:C:2017:197, Rn. 35).

71 Art. 2 Buchst. b und d der Richtlinie 95/46.

72 Dieser Grundsatz wird in Kapitel IV Abschnitt 2 der DSGVO (Art. 32 bis 34) konkreter ausgestaltet.

73 Siehe hierzu auch Pötters, S., in Gola, P. (Hrsg.), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar, C.H. Beck, München, 2. Aufl., 2018, Art. 5, Rn. 29.

74 Demnach müssen, damit die Verarbeitung rechtmäßig ist, personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in der DSGVO darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

75 Vgl. insoweit auch Herbst, T., in Buchner, J., Kühling, B. (Hrsg.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. Aufl., C.H. Beck, München, 2018, Art. 5 DS‑GVO, Rn. 11, und Pötters, S., a. a. O., Art. 5, Rn. 6. Für ein weiteres Verständnis der Rechtmäßigkeit dahin, dass Erfüllung sämtlicher Bestimmungen der Verordnung erforderlich ist, vgl. Lubasz, D., in Lubasz, D. (Hrsg.), Ochrona danych osobowych, Wolters Kluwer, Warschau 2020, Rn. 186.

76 Und selbst wenn man es für erforderlich hielte, die Anforderungen von Art. 6 der DSGVO im Rahmen von Art. 5 dieser Verordnung zu prüfen, wäre meines Erachtens die Verarbeitung auch im Sinne von Art. 6 Abs. 1 Buchst. c der DSGVO als rechtmäßig anzusehen, nämlich als eine Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, da die CSDD durch die Offenlegung der Strafpunkte an die Öffentlichkeit ihre rechtliche Verpflichtung nach nationalem Recht erfüllt.

77 Was das hierzu von der österreichischen Regierung angeführte Urteil des Bundesverfassungsgerichts vom 27. Februar 2008 (1 BvR 370/07 und 1 BvR 595/07, ECLI:DE:BVerfG:2008:rs20080227.1bvr037007, BVerfGE 120, 274 ff, S. 314, abrufbar unter: http://www.bverfg.de/e/rs20080227_1bvr037007.html) betrifft, bin ich mir seiner Relevanz weniger sicher, da dieses Urteil eine Frage der materiellen Grundrechte betrifft, während es bei Art. 5 Abs. 1 Buchst. f der DSGVO, wie in den vorstehenden Abschnitten der vorliegenden Schlussanträge dargelegt, um Formerfordernisse geht.

78 Weiter heißt es in der Bestimmung, dass eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 der DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken gilt.

79 Vgl. hierzu Lubasz, D., in Lubasz, D. (Hrsg.), Ochrona danych osobowych, Wolters Kluwer, Warschau 2020, Rn. 202.

80 Vgl. z. B. Urteil vom 9. Januar 2010, Volker und Markus Schecke und Eifert (C‑92/09 und C‑93/09, EU:C:2010:662, Rn. 74 und die dort angeführte Rechtsprechung).

81 Diese Bestimmung wurde 2013 in die Richtlinie 2003/98 aufgenommen, vgl. Art. 1 Nr. 1 Buchst. a Ziff. iii der Richtlinie 2013/37/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 zur Änderung der Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. 2013, L 175, S. 1 bis 8).

82 Art. 1 Abs. 4 der Richtlinie 2003/98 verweist insoweit auf die Richtlinie 95/46.

83 Zur Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. 2019, L 172, S. 56), mit der nach ihrem Art. 19 die Richtlinie 2003/98 mit Wirkung vom 17. Juli 2021 aufgehoben wird, vgl. Art. 1 Abs. 2 Buchst. f der Richtlinie 2019/1024.

84 Dies wird gemeinhin als die Ex-tunc-Wirkung von Vorabentscheidungen nach Art. 267 AEUV bezeichnet.

85 Vgl. z. B. Urteile vom 29. September 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, Rn. 44), und vom 28. Oktober 2020, Bundesrepublik Deutschland (Festsetzung der Sätze der Mautgebühren für die Benutzung von Autobahnen) (C‑321/19, EU:C:2020:866, Rn. 54).

86 Vgl. z. B. Urteile vom 29. September 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, Rn. 45), und vom 28. Oktober 2020, Bundesrepublik Deutschland (Festsetzung der Sätze der Mautgebühren für die Benutzung von Autobahnen) (C‑321/19, EU:C:2020:866, Rn. 55).

87 Vgl. Urteile vom 8. September 2010, Winner Wetten (C‑409/06, EU:C:2010:503, Rn. 67), und vom 19. November 2009, Filipiak (C‑314/08, EU:C:2009:719, Rn. 84). Vgl. auch Urteil vom 6. März 2007, Meilicke u. a. (C‑292/04, EU:C:2007:132, Rn. 36 und die dort angeführte Rechtsprechung).

88 Vgl. Urteile vom 17. Dezember 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, Rn. 3), und vom 8. September 2010, Winner Wetten (C‑409/06, EU:C:2010:503, Rn. 61).

89 Vgl. z. B. Urteile vom 29. September 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, Rn. 45), und vom 28. Oktober 2020, Bundesrepublik Deutschland (Festsetzung der Sätze der Mautgebühren für die Benutzung von Autobahnen) (C‑321/19, EU:C:2020:866, Rn. 55).

90 Vgl. auch Lenaerts, K., Maselis, I., Gutman, K., EU Procedural Law, Oxford University Press, Oxford, 2014, 6.34, S. 247.

91 Vgl. z. B. Urteil vom 16. September 2020, Romenergo und Aris Capital (C‑339/19, EU:C:2020:709, Rn. 49 und die dort angeführte Rechtsprechung).