SCHLUSSANTRÄGE DER GENERALANWÄLTIN
JULIANE KOKOTT
vom 20. Juli 2017(1)
Rechtssache C‑434/16
Peter Nowak
gegen
Data Protection Commissioner
(Vorabentscheidungsersuchen des Supreme Court [Irland])
„Vorabentscheidungsersuchen – Richtlinie 95/46/EG – Verarbeitung personenbezogener Daten – Begriff der personenbezogenen Daten – Zugang zu der eigenen Prüfungsarbeit – Korrekturanmerkungen“
I. Einleitung
1. Besteht eine Prüfungsarbeit aus personenbezogenen Daten, so dass der Prüfungsteilnehmer deshalb möglicherweise auf der Grundlage der Datenschutzrichtlinie(2) vom Veranstalter der Prüfung Zugang zu seiner eigenen Arbeit verlangen kann? Darum geht es im vorliegenden Vorabentscheidungsersuchen des irischen Supreme Court. Das Ausgangsverfahren richtet sich jedoch nicht unmittelbar auf Zugang zu einer Prüfungsarbeit, sondern betrifft die Weigerung des ehemaligen irischen Datenschutzbeauftragten, einer Beschwerde wegen Verweigerung des Zugangs nachzugehen.
2. Im Zentrum steht die Frage, ob die in einer Prüfungsarbeit enthaltenen Ausführungen des Prüfungsteilnehmers personenbezogene Daten sein können. Am Rande kann allerdings auch erörtert werden, ob es von Bedeutung ist, dass die Arbeit handschriftlich erstellt wurde, und ob auch Korrekturanmerkungen des Prüfers auf der Arbeit personenbezogene Daten des Prüfungsteilnehmers sind.
3. Zwar wird die Datenschutzrichtlinie demnächst durch die noch nicht anwendbare Datenschutz-Grundverordnung(3) abgelöst, doch der Begriff der personenbezogenen Daten wird davon nicht berührt. Daher ist dieses Vorabentscheidungsersuchen auch für die zukünftige Anwendung des Datenschutzrechts der Union von Bedeutung.
II. Rechtlicher Rahmen
4. Art. 2 Buchst. a der Datenschutzrichtlinie definiert verschiedene Begriffe, insbesondere was unter personenbezogenen Daten zu verstehen ist:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) ‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
c) ‚Datei mit personenbezogenen Daten‘ (‚Datei‘) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird“.
5. Der Anwendungsbereich der Richtlinie ergibt sich aus Art. 3:
„(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) …“
6. Art. 12 der Datenschutzrichtlinie regelt das Auskunftsrecht:
„Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen Folgendes zu erhalten:
a) frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten
– die Bestätigung, dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;
– eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;
– Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Art. 15 Abs. 1;
b) je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind“.
7. Der 41. Erwägungsgrund erläutert den Zweck des Auskunftsrechts:
„Jede Person muss ein Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstand einer Verarbeitung sind, haben, damit sie sich insbesondere von der Richtigkeit dieser Daten und der Zulässigkeit ihrer Verarbeitung überzeugen kann. …“
8. Art. 13 Abs. 1 der Datenschutzrichtlinie ist Grundlage für Ausnahmen zu bestimmten Regelungen:
„(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Art. 6 Abs. 1, Art. 10, Art. 11 Abs. 1, Art. 12 und Art. 21 beschränken, sofern eine solche Beschränkung notwendig ist für
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;
f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchst. c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.“
III. Sachverhalt und Vorabentscheidungsersuchen
9. Herr Nowak war Trainee Accountant (Wirtschaftsprüfer/Steuerberater in Ausbildung) und hatte verschiedene Prüfungen des Institute of Chartered Accountants of Ireland (Berufsorganisation der Wirtschaftsprüfer/Steuerberater Irlands – im Folgenden: CAI) mit Erfolg abgelegt. Er versuchte jedoch viermal erfolglos, die Prüfung für den Bereich Strategic Finance and Management Accounting zu bestehen. Hierbei handelte es sich um eine Prüfung, bei der eigene Referenzmaterialien mitgebracht werden durften („open book exam“).
10. Nach dem vierten Prüfungsversuch im Herbst 2009 wandte sich Herr Nowak gegen das Ergebnis, entschied jedoch letztlich im Mai 2010, einen Antrag auf Zugang zu Daten gemäß dem irischen Datenschutzrecht zu stellen, und verlangte Auskunft über sämtliche bei der CAI über ihn gespeicherten „personenbezogenen Daten“.
11. Mit Schreiben vom 1. Juni 2010 übersandte die CAI Herrn Nowak 17 Dokumente, weigerte sich jedoch, seine Prüfungsarbeit herauszugeben, und zwar mit der Begründung, der CAI sei mitgeteilt worden, es handele sich bei der Arbeit nicht um „personenbezogene Daten“ im Sinne der Datenschutzgesetze.
12. Daraufhin kontaktierte Herr Nowak das Office of the Data Protection Commissioner, die Behörde des irischen Datenschutzbeauftragten, bat um Unterstützung und vertrat die Auffassung, bei seiner Arbeit handele es sich um personenbezogene Daten. Im Juni 2010 teilte der Datenschutzbeauftragte Herrn Nowak per E-Mail u. a. mit, dass „Prüfungsarbeiten ... im Allgemeinen nicht [für Datenschutzzwecke] geprüft [werden], … da es sich bei diesem Material im Allgemeinen nicht um personenbezogene Daten handelt“.
13. Weiterer Schriftverkehr zwischen Herrn Nowak und dem damaligen Datenschutzbeauftragten folgte und mündete in einer formellen Beschwerde, die Herr Nowak am 1. Juli 2010 einreichte. Mit Schreiben vom 21. Juli 2010 teilte der Datenschutzbeauftragte Herrn Nowak mit, dass er die Informationen geprüft und keinen wesentlichen Verstoß gegen die Datenschutzgesetze festgestellt habe. Ferner handelt es sich laut diesem Schreiben bei dem Material, in Bezug auf das Herr Nowak „ein Recht auf Berichtigung“ ausüben wollte, „nicht um personenbezogene Daten, auf die [Datenschutzrecht] Anwendung findet“. Der Datenschutzbeauftragte prüfte die Beschwerde daher nicht weiter.
14. Herr Nowak focht diese Entscheidung vor den irischen Gerichten an, wo das Verfahren nunmehr beim Supreme Court anhängig ist. Dieser richtet die folgenden Fragen an den Gerichtshof:
1) Können Informationen, die von einem Prüfling in einer berufsbezogenen Prüfung in seiner Antwort bzw. als Antwort aufgezeichnet wurden, personenbezogene Daten im Sinne der Datenschutzrichtlinie darstellen?
2) Falls die Antwort auf Frage 1 lautet, dass sämtliche oder Teile dieser Informationen personenbezogene Daten im Sinne der Richtlinie darstellen können – welche Faktoren sind bei der Bestimmung, ob im konkreten Fall eine solche Arbeit personenbezogene Daten darstellt, maßgeblich und welches Gewicht ist diesen Faktoren beizumessen?
15. Im Verfahren vor dem Gerichtshof haben Herr Nowak und die heutige irische Datenschutzbeauftragte als Beteiligte des Ausgangsverfahrens, ferner die Hellenische Republik, Irland, die Republik Polen, die Portugiesische Republik, die Republik Österreich, Ungarn, die Tschechische Republik und die Europäische Kommission schriftlich Stellung genommen. In der mündlichen Verhandlung vom 22. Juni 2017 waren neben Herrn Nowak und der irischen Datenschutzbeauftragten auch Irland und die Europäische Kommission vertreten.
IV. Rechtliche Würdigung
16. Im Zentrum des Vorabentscheidungsersuchens steht die Frage, ob Prüfungsarbeiten als personenbezogene Daten anzusehen sind (dazu unter A). Daneben erörtern einige Beteiligte, ob etwaige Korrekturanmerkungen von Prüfern personenbezogene Daten des Prüfungsteilnehmers sind (dazu unter B). Und schließlich hat sich insbesondere die Kommission zu weiteren Voraussetzungen eines datenschutzrechtlichen Auskunftsanspruchs geäußert (dazu unter C).
A. Zur Prüfungsarbeit
17. Mit den beiden Fragen, die gemeinsam zu beantworten sind, möchte der Supreme Court erfahren, ob eine schriftliche Prüfungsarbeit unter die Definition personenbezogener Daten nach Art. 2 Buchst. a der Datenschutzrichtlinie fällt. Hintergrund dieser Frage ist, dass Herr Nowak, der Kandidat der betreffenden Prüfung, auf der Grundlage des datenschutzrechtlichen Auskunftsrechts, das in Art. 12 der Datenschutzrichtlinie niedergelegt ist, Zugang zu seiner Prüfungsarbeit beansprucht und diesbezüglich eine erfolglose Beschwerde beim damaligen irischen Datenschutzbeauftragten eingelegt hatte.
1. Zur Definition personenbezogener Daten
18. Der Anwendungsbereich der Datenschutzrichtlinie ist sehr weit und die von der Richtlinie erfassten personenbezogenen Daten sind vielfältig.(4) Gemäß Art. 2 Buchst. a sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person personenbezogene Daten.
a) Zur Qualifikation von Prüfungsarbeiten
19. Nach Auffassung der heutigen irischen Datenschutzbeauftragten enthält eine Prüfungsarbeit, insbesondere wenn die Verwendung eigener Referenzmaterialien zugelassen ist, keine personenbezogenen Daten. Diese Auffassung dürfte in der Regel bei isolierter Betrachtung der Lösung von Prüfungsaufgaben zutreffen. Da Prüfungsaufgaben normalerweise abstrakt formuliert sind oder fiktive Sachverhalte betreffen,(5) sollte auch ihre Beantwortung keine Informationen über bestimmte oder bestimmbare natürliche Personen zum Gegenstand haben.
20. Obwohl die Fragen des Supreme Court tatsächlich nur die Lösung anzusprechen scheinen, nämlich die „Informationen, die von einem Prüfling … aufgezeichnet wurden“, wäre es nicht sinnvoll, die Analyse hier zu beenden.
21. Denn wie fast alle übrigen Beteiligten zu Recht vortragen, enthält eine Prüfungsarbeit nicht nur Informationen über die Lösung bestimmter Aufgaben, sondern sie verknüpft diese mit der Person des Prüfungsteilnehmers, der die Arbeit erstellt. Die Arbeit dokumentiert, dass diese Person an einer bestimmten Prüfung teilgenommen und welche Leistung sie erbracht hat. Der Personenbezug dieser Leistung zeigt sich im Übrigen auch daran, dass die Prüfungsteilnehmer die wichtigsten Prüfungsergebnisse regelmäßig in ihre Lebensläufe aufnehmen.
22. Ob es sich bei einer Arbeit um selbst verfasste Antworten oder um die Auswahl bestimmter Antworten nach dem Multiple-Choice-Verfahren handelt ist für die Qualifikation der Prüfungsarbeit als Verkörperung personenbezogener Daten genauso wenig von Bedeutung wie die im vorliegenden Fall gegebene Möglichkeit, bestimmte Materialien zu verwenden („open book exam“).
23. Der Bezug der jeweiligen Leistung zum Prüfungsteilnehmer nimmt zwar in dem Maß zu, in dem er die Antworten selbst entwickeln muss. Denn die eigenständige Entwicklung einer Lösung erschöpft sich nicht in der Wiedergabe von erlernten Informationen, sondern zeigt auch, wie der Prüfungsteilnehmer denkt und arbeitet.
24. In allen Fällen zielt jedoch eine Prüfung – etwa im Unterschied zu einer repräsentativen Umfrage – nicht darauf ab, Informationen zu erlangen, die von einer Person unabhängig sind. Sie soll vielmehr die Leistung einer besonderen Person, nämlich des Prüfungsteilnehmers, feststellen und dokumentieren. Jede Prüfung zielt darauf ab, eine höchstpersönliche und individuelle Leistung des Prüfungsteilnehmers abzufragen. Nicht umsonst wird die ungerechtfertigte Inanspruchnahme fremder Leistungen bei Prüfungen als Täuschungsversuch streng sanktioniert.
25. Folglich verkörpert eine Prüfungsarbeit Informationen über den Prüfungsteilnehmer und ist insoweit ein Bündel personenbezogener Daten.
26. Dass dieses Ergebnis zutrifft, zeigt sich im Übrigen auch daran, dass ein Prüfungsteilnehmer ein auf dem Schutz seiner Privatsphäre aufbauendes berechtigtes Interesse daran hat, der Verarbeitung der ihm zugeordneten Prüfungsarbeit außerhalb des Prüfungsverfahrens widersprechen zu können. Denn ein Prüfungsteilnehmer muss es nicht hinnehmen, dass seine Arbeit ohne seine Zustimmung an Dritte weitergegeben oder sogar veröffentlicht wird.
27. Anders als die irische Datenschutzbeauftragte vorträgt, erschöpfen sich die in einer Prüfungsarbeit verkörperten personenbezogenen Daten nicht im Ergebnis der Prüfung, der erreichten Note oder auch Punktwerten, die für bestimmte Abschnitte der Prüfung vergeben wurden. Diese Werte fassen die Prüfungsleistung nur zusammen, die im Einzelnen in der Prüfungsarbeit selbst dokumentiert ist.
28. An der Qualifikation einer Prüfungsarbeit als Verkörperung personenbezogener Daten ändert sich nichts, wenn die Arbeit statt mit dem Namen des Prüfungsteilnehmers mit einer Kennnummer oder einem Balkencode gekennzeichnet ist. Denn nach Art. 2 Buchst. a der Datenschutzrichtlinie reicht es für personenbezogene Informationen aus, dass die betreffende Person zumindest indirekt identifiziert werden kann.(6) Und zumindest soweit der Prüfungsteilnehmer die Arbeit bei der Organisation anfordert, die die Prüfung durchgeführt hat, kann diese ihn anhand der Kennnummer identifizieren.
b) Zur Bedeutung der Handschrift
29. Herr Nowak, Polen und die Tschechische Republik vertreten auch zu Recht die Auffassung, dass handschriftlich verfasste Antworten zusätzliche Informationen über den Prüfungsteilnehmer, nämlich über seine Handschrift, enthalten. Eine handschriftlich verfasste Arbeit ist damit praktisch eine Schriftprobe, die zumindest potenziell zu einem späteren Zeitpunkt als Indiz herangezogen werden könnte, um zu untersuchen, ob ein anderer Text ebenfalls in der Handschrift des Prüfungsteilnehmers verfasst wurde. Sie kann also Aufschluss über die Identität des Verfassers der Arbeit geben.
30. Ob eine solche Schriftprobe geeignet ist, den Schreibenden zweifelsfrei zu identifizieren, kann für die Einstufung als personenbezogene Daten keine Rolle spielen. Denn auch viele andere personenbezogene Daten erlauben isoliert keine zweifelsfreie Identifikation von Personen. Daher ist es auch nicht notwendig, zu entscheiden, ob die Handschrift als biometrische Information anzusehen ist.
2. Zum Zweck des Auskunftsrechts
31. Entgegen der Auffassung Irlands spricht auch der im 41. Erwägungsgrund der Datenschutzrichtlinie angegebene Zweck des Rechts auf Auskunft über personenbezogene Daten nicht gegen die entsprechende Einstufung einer Prüfungsarbeit. Danach muss jede Person ein Auskunftsrecht hinsichtlich der sie betreffenden Daten haben, die Gegenstand einer Verarbeitung sind, damit sie sich insbesondere von der Richtigkeit dieser Daten und der Zulässigkeit ihrer Verarbeitung überzeugen kann. Irland befürchtet, dass der Prüfungsteilnehmer auf dieser Grundlage in Verbindung mit dem in Art. 12 Buchst. b niedergelegten Berichtigungsanspruch die Korrektur fehlerhafter Prüfungsantworten verlangt.
a) Zur zweckorientierten Auslegung des Begriffs der personenbezogenen Daten
32. Zunächst ist daran zu erinnern, dass es vorliegend erst in zweiter Linie um den Auskunftsanspruch geht, in erster Linie aber um die Auslegung des Begriffs der personenbezogenen Daten. Wie die Kommission in der mündlichen Verhandlung zutreffend dargelegt hat, knüpfen an diesen Begriff viele weitere Anforderungen der Datenschutzrichtlinie an. So verlangt Art. 6 Abs. 1 Buchst. a, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden und Buchst. b sieht die Zweckbindung personenbezogener Daten vor.
33. Im Zusammenhang mit dem vorliegenden Fall ist von besonderem Interesse, dass nach Art. 8 Abs. 3 der Charta der Grundrechte, Art. 16 Abs. 2 AEUV sowie Art. 28 der Datenschutzrichtlinie Kontrollstellen in völliger Unabhängigkeit die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten überwachen sollen.(7) In diesem Zusammenhang garantieren Art. 8 Abs. 1 und 3 der Charta und Art. 28 Abs. 4 der Datenschutzrichtlinie den Personen, auf die sich die fraglichen Daten beziehen, das Recht, sich mit einer Eingabe zum Schutz ihrer Grundrechte an die nationalen Kontrollstellen zu wenden.(8)
34. Daher kann die Qualifikation von Informationen als personenbezogene Daten nicht davon abhängig gemacht werden, ob es spezifische Regelungen über den Zugang zu diesen Informationen gibt, die möglicherweise neben dem Auskunftsanspruch oder stattdessen gelten könnten. Und auch Probleme im Zusammenhang mit einem Berichtigungsanspruch können für die Feststellung, ob personenbezogene Daten vorliegen, nicht ausschlaggebend sein. Denn bei maßgeblicher Berücksichtigung dieser Faktoren könnten bestimmte personenbezogene Daten aus dem gesamten Schutzsystem der Datenschutzrichtlinie ausgegrenzt werden, obwohl die stattdessen anwendbaren Regeln keinen gleichwertigen, sondern höchstens einen fragmentarischen Schutz gewährleisten.
b) Zur Berichtigung von Daten
35. Wenn man sich aber auf das Auskunftsrecht und die Frage der Berichtigung konzentriert, so ist anzuerkennen, dass dieses Recht in Bezug auf eine Prüfungsarbeit offensichtlich nicht dafür in Anspruch genommen werden kann, um im Anschluss an die Auskunft eine Berichtigung des Inhalts der Arbeit, d. h. der Lösung, die der Prüfungsteilnehmer zu Papier gebracht hat, gemäß Art. 12 Buchst. b der Datenschutzrichtlinie zu verlangen.(9) Denn wie Polen zu Recht hervorhebt, sind die Richtigkeit und die Vollständigkeit personenbezogener Daten nach Art. 6 Abs. 1 Buchst. d im Hinblick auf den Zweck zu beurteilen, für den die Daten erhoben wurden und verarbeitet werden. Der Zweck einer Prüfungsarbeit ist, die Kenntnisse und Fähigkeiten des Prüfungsteilnehmers zum Zeitpunkt der Prüfung festzustellen, was sich gerade aus seiner Prüfungsleistung und insbesondere den darin enthalten Fehlern ergibt. Fehler in der Lösung bedeuten daher nicht, dass die in der Arbeit verkörperten personenbezogenen Daten unrichtig sind.
36. Eine Berichtigung käme jedoch in Betracht, wenn sich zeigen sollte, dass die Arbeit die Prüfungsleistung der betreffenden Person unrichtig oder unvollständig dokumentiert. Ein solcher Fall läge etwa vor, wenn – wie Griechenland anmerkt – der betreffenden Person die Arbeit eines anderen Prüfungsteilnehmers zugeordnet worden wäre, was sich u. a. mit Hilfe der Handschrift beweisen ließe, oder wenn Teile der Arbeit verloren gegangen wären.
37. Im Übrigen ist nicht auszuschließen, dass ein Prüfungsteilnehmer zu einem späteren Zeitpunkt ein berechtigtes Interesse daran hat, dass personenbezogene Daten, die in der Arbeit verkörpert sind, nach Art. 12 Buchst. b der Datenschutzrichtlinie gelöscht werden, d. h., dass die Arbeit zerstört wird. Ein solches Interesse dürfte spätestens dann anzunehmen sein, wenn die Arbeit aufgrund des Ablaufs von Fristen jeden Beweiswert im Zusammenhang einer Kontrolle des Prüfungsergebnisses verloren hat. Auch dieser Löschungsanspruch setzt die Anerkennung der Verkörperung personenbezogener Daten in der Arbeit voraus.
38. Schließlich sind die Berichtigung und die anderen Ansprüche nach Art. 12 Buchst. b der Datenschutzrichtlinie, die Sperrung und die Löschung, nicht der einzige Zweck des Auskunftsrechts.
39. Zwar beschreibt der 41. Erwägungsgrund den Zweck der Auskunft dahin gehend, dass sich die betroffene Person insbesondere von der Richtigkeit dieser Daten und der Zulässigkeit ihrer Verarbeitung überzeugen können soll. Mit der Verwendung von „insbesondere“ in den meisten Sprachfassungen(10) hat der Gesetzgeber jedoch bereits gezeigt, dass der Zweck weiter reicht. Denn auch unabhängig von einer Berichtigung, Löschung oder Sperrung haben die Betroffenen in der Regel ein berechtigtes Interesse daran, zu erfahren, welche Informationen über sie der Verantwortliche verarbeitet.
40. Es trifft zwar zu, dass in Bezug auf eine Prüfungsarbeit das entsprechende Informationsbedürfnis des Prüfungsteilnehmers zunächst sehr begrenzt sein dürfte. Denn er wird sich in der Regel noch relativ gut an den Inhalt seiner Antworten erinnern und auch damit rechnen, dass die Prüfungsorganisation seine Arbeit noch aufbewahrt.
41. Einige Jahre später dürfte die Erinnerung aber schon deutlich schwächer ausgeprägt sein, so dass einem eventuellen Auskunftsbegehren ein tatsächliches Informationsbedürfnis entsprechen wird – aus welchen Gründen es auch immer entsteht. Darüber hinaus nimmt mit dem Zeitablauf – insbesondere nach Ablauf etwaiger Beschwerde- und Überprüfungsfristen – die Unsicherheit darüber zu, ob die Arbeit noch aufbewahrt wird. In dieser Situation muss der Prüfungsteilnehmer zumindest erfahren können, ob seine Arbeit noch aufbewahrt wird. Auch dieser Anspruch setzt voraus, dass die Verkörperung personenbezogener Daten des Prüfungsteilnehmers in der Arbeit anerkannt wird.
c) Zum Missbrauch des Auskunftsanspruchs
42. Ergänzend ist auf die Frage des Missbrauchs von datenschutzrechtlichen Ansprüchen einzugehen, da die Beschwerde von Herrn Nowak innerstaatlich von der Datenschutzbeauftragten und sein Auskunftsanspruch im vorliegenden Verfahren von der Tschechischen Republik als missbräuchlich qualifiziert wurden. Dieser Vorwurf scheint daran anzuknüpfen, dass Herr Nowak nicht das Verfahren zur Kontrolle des Prüfungsergebnisses in Anspruch genommen, sondern einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht hat.
43. Insofern trifft es zu, dass die missbräuchliche oder betrügerische Berufung auf Unionsrecht nicht gestattet ist.(11)
44. Die Feststellung eines missbräuchlichen Verhaltens verlangt das Vorliegen eines objektiven und eines subjektiven Tatbestandsmerkmals. Was zum einen das objektive Tatbestandsmerkmal betrifft, muss sich aus einer Gesamtwürdigung der objektiven Umstände ergeben, dass trotz formaler Einhaltung der von der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wird. Zum anderen erfordert eine solche Feststellung ein subjektives Tatbestandsmerkmal: Es muss aus einer Reihe objektiver Anhaltspunkte ersichtlich sein, dass wesentlicher Zweck der fraglichen Handlungen die Erlangung eines ungerechtfertigten Vorteils ist. Denn das Missbrauchsverbot greift nicht, wenn die fraglichen Handlungen eine andere Erklärung haben können als nur die Erlangung eines (ungerechtfertigten) Vorteils.(12)
45. Wenn Prüfungsarbeiten personenbezogene Daten verkörpern, läge nach dem Vorbringen der Datenschutzbeauftragten und Irlands eine Verfehlung des Ziels der Datenschutzrichtlinie darin, dass ein datenschutzrechtlicher Auskunftsanspruch es erlauben würde, die Regelungen über das Prüfungsverfahren und den Widerspruch gegen Prüfungsentscheidungen zu umgehen.
46. Einer angeblichen Umgehung des Verfahrens der Prüfung und des Widerspruchs gegen Prüfungsergebnisse durch den datenschutzrechtlichen Auskunftsanspruch müsste allerdings mit den Instrumenten der Datenschutzrichtlinie begegnet werden. Insofern ist insbesondere an Art. 13 zu denken, der es erlaubt, zum Schutz bestimmter, dort genannter Interessen Ausnahmen zum Auskunftsanspruch festzulegen.
47. Soweit diese Gründe in bestimmten Situationen, wie möglicherweise im Zusammenhang mit Prüfungen, keine Ausnahme stützen, ist anzuerkennen, dass der Gesetzgeber den grundrechtlich untermauerten datenschutzrechtlichen Anforderungen Vorrang vor den konkret betroffenen anderen Interessen eingeräumt hat.
48. Allerdings ist darauf hinzuweisen, dass die künftig geltende Datenschutz-Grundverordnung dieses Spannungsverhältnis entschärft. Zum einen darf nach Art. 15 Abs. 4 der Verordnung das Recht auf Erhalt einer Kopie personenbezogener Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Zum anderen fasst Art. 23 der Verordnung die Gründe für eine Einschränkung datenschutzrechtlicher Gewährleistungen etwas weiter als noch Art. 13 der Richtlinie, da insbesondere der Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats gemäß Art. 23 Abs. 1 Buchst. e der Verordnung Einschränkungen rechtfertigen kann.
49. Dagegen reicht die bloße Existenz anderer innerstaatlicher Regelungen, die ebenfalls die Auskunft über Prüfungsarbeiten zum Gegenstand haben, noch nicht aus, um eine Verfehlung des Zwecks der Richtlinie anzunehmen.
50. Aber selbst wenn man eine Zweckverfehlung annehmen wollte, so ist nicht ersichtlich, worin der ungerechtfertigte Vorteil liegen sollte, wenn ein Prüfungsteilnehmer über den Auskunftsanspruch Zugang zu seiner Arbeit erhalten würde. Ein Missbrauch kann insbesondere nicht darin gesehen werden, dass man über den Auskunftsanspruch Informationen erhält, zu denen man andernfalls keinen Zugang hätte. Denn soweit es bereits Zugang zu personenbezogenen Informationen gibt, hätte es der Einführung des datenschutzrechtlichen Auskunftsanspruchs nicht bedurft. Es ist vielmehr die Funktion des datenschutzrechtlichen Auskunftsanspruchs, den Betroffenen – vorbehaltlich der Ausnahmen auf der Grundlage von Art. 13 der Datenschutzrichtlinie – Zugang zu den eigenen Daten zu ermöglichen, falls ansonsten kein Zugangsanspruch existiert.
3. Zwischenergebnis
51. Zusammenfassend ist festzuhalten, dass es sich bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Datenschutzrichtlinie handelt.
B. Zu etwaigen Korrekturanmerkungen auf der Prüfungsarbeit
52. Teilweise werfen die Beteiligten und insbesondere Herr Nowak die Frage auf, ob etwaige Korrekturanmerkungen auf der Prüfungsarbeit ebenfalls personenbezogene Daten in Bezug auf den Prüfungsteilnehmer sind.
53. Eine Beantwortung dieser Frage ist allerdings für die Entscheidung des Ausgangsverfahrens nicht notwendig, da es dort nicht darum geht, ob etwaige Korrekturanmerkungen Informationen über Herrn Nowak sind. Gegenstand des Verfahrens ist vielmehr, ob der damalige irische Datenschutzbeauftragte die Beschwerde von Herrn Nowak zu Recht mit der Begründung abweisen durfte, dass es sich bei seiner Prüfungsarbeit von vorneherein nicht um personenbezogene Daten handelt. Inwieweit Korrekturanmerkungen ebenfalls als Daten mit Bezug auf den Prüfungsteilnehmer anzusehen sind, müsste nicht der Supreme Court, sondern – bei Erfolg der Klage – zunächst die heutige irische Datenschutzbeauftragte entscheiden. Ich werde dies gleichwohl für den Fall erörtern, dass sich der Gerichtshof diesem Aspekt trotzdem zuwendet.
54. Anders als bei der Prüfungsarbeit insgesamt ist im Hinblick auf Korrekturanmerkungen ein datenschutzrechtlicher Anspruch auf Berichtigung, Löschung oder Sperrung unrichtiger Daten schwer vorstellbar. Denn es erscheint ausgeschlossen, dass sich auf der Arbeit vorgenommene Anmerkungen tatsächlich auf eine andere Arbeit beziehen oder nicht die Auffassung des Prüfers wiedergeben. Genau diese Auffassung sollen sie aber dokumentieren. Im Sinne der Datenschutzrichtlinie wären sie daher auch dann nicht falsch und korrekturbedürftig, wenn die in den Anmerkungen dokumentierte Bewertung objektiv nicht gerechtfertigt wäre.
55. Etwaige Einwände gegen die Anmerkungen wären daher im Rahmen eines Widerspruchs gegen die Bewertung der Arbeit zu behandeln.
56. Es wäre allerdings vorstellbar, dass der oben angesprochene Löschungsanspruch in Bezug auf die Arbeit auch die Korrekturanmerkung einschließt.
57. Gleichwohl hätte ein Auskunftsanspruch hinsichtlich der Korrekturanmerkungen primär den Zweck, den Prüfungsteilnehmer über die Bewertung bestimmter Passagen seiner Arbeit zu informieren.
58. Insofern ähnelt der vorliegende Fall demjenigen, in dem der Gerichtshof die Ausdehnung des Auskunftsrechts auf den Entwurf einer rechtlichen Analyse eines Antrags auf Asyl abgelehnt hat, weil dies nicht den Zielen der Datenschutzrichtlinie gedient, sondern ein Recht auf Zugang zu Verwaltungsdokumenten begründet hätte.(13) Vorliegend könnte man annehmen, dass der Zugang zu Informationen über die Bewertung einer Prüfungsarbeit vorrangig im Rahmen des Prüfungsverfahrens bzw. eines speziellen Verfahrens zum Widerspruch gegen Prüfungsentscheidungen erlangt werden sollte und nicht auf der Grundlage des Datenschutzrechts. Und soweit das Prüfungsverfahren nicht durch das Unionsrecht determiniert wird, wären etwaige Informationsansprüche in dessen Rahmen allein von innerstaatlichem Recht abhängig.
59. Darüber hinaus entschied der Gerichtshof in dem genannten Urteil, dass es sich bei einer solchen rechtlichen Analyse nicht um eine Information über denjenigen handelt, der den Aufenthaltstitel beantragt, sondern höchstens um eine Information darüber, wie die zuständige Behörde das Recht im Fall dieses Antragstellers beurteilt und anwendet.(14) Auch diese Feststellung könnte man auf den ersten Blick auf Korrekturanmerkungen übertragen. Sie würden danach nur zeigen, wie der Prüfer die Antworten beurteilt.
60. In der Tat ist es keinesfalls notwendig, dass ein Prüfer bei der Korrektur einer Arbeit weiß, wer sie erstellt hat. Im Gegenteil wird, wie im Ausgangsfall, in vielen schriftlichen Prüfungsverfahren Wert darauf gelegt, dass die Prüfer die Identität der Teilnehmer nicht erfahren, um Interessenkonflikte oder Voreingenommenheit auszuschließen. Ihre Anmerkungen haben dann – wie wohl auch bei der streitgegenständlichen Prüfung – zunächst keinen Bezug zur Person des Prüfungsteilnehmers.
61. Gleichwohl bezwecken solche Anmerkungen die Bewertung der Prüfungsleistung und beziehen sich insofern indirekt auf den Prüfungsteilnehmer. Die Organisation, die die Prüfung durchführt, kann ihn auch problemlos identifizieren und mit den Korrekturanmerkungen in Verbindung bringen, sobald sie die korrigierte Arbeit vom Prüfer zurückerhält.
62. Wie darüber hinaus Österreich vorträgt, sind auf der Arbeit befindliche Anmerkungen typischerweise – im Unterschied etwa zu einem Kurzgutachten über die Arbeit – in der Regel untrennbar mit der Arbeit verknüpft, weil sie ohne diese keinen sinnvollen Aussagewert erreichen würden. Die Arbeit selbst verkörpert aber – wie bereits dargelegt – personenbezogene Daten des Prüfungsteilnehmers. Und diese Daten werden gerade zu dem Zweck erhoben und verarbeitet, die in den Korrekturanmerkungen verkörperte Bewertung der Leistung des Prüfungsteilnehmers zu ermöglichen.
63. Schon aufgrund dieser engen Verknüpfung zwischen der Prüfungsarbeit und den auf ihr vorgenommenen Korrekturanmerkungen sind auch Letztere personenbezogene Daten des Prüfungsteilnehmers gemäß Art. 2 Buchst. a der Datenschutzrichtlinie.
64. Die Möglichkeit der Umgehung des Prüfungsbeschwerdeverfahrens kann demgegenüber die Anwendung des Datenschutzrechts nicht ausschließen. Denn der Umstand, dass möglicherweise parallel weitere Regelungen über den Zugang zu bestimmten Informationen bestehen, kann das Datenschutzrecht nicht verdrängen. Es erschiene höchstens zulässig, die Betroffenen auf parallel bestehende Auskunftsansprüche zu verweisen, solange diese wirksam in Anspruch genommen werden können.
65. Der Vollständigkeit halber sei darauf hingewiesen, dass Korrekturanmerkungen zugleich personenbezogene Daten des Prüfers sind. Dessen Rechte sind grundsätzlich geeignet, Einschränkungen des Auskunftsrechts nach Art. 13 Abs. 1 Buchst. g der Datenschutzrichtlinie zu rechtfertigen, wenn sie gegenüber den berechtigten Interessen des Prüfungsteilnehmers überwiegen. Die endgültige Lösung dieses potenziellen Interessenkonflikts dürfte allerdings in der Regel darin liegen, die korrigierte Arbeit zu vernichten, sobald eine nachträgliche Kontrolle des Prüfungsverfahrens wegen Zeitablaufs nicht mehr möglich ist.
C. Zu den übrigen Anwendungsvoraussetzungen der Datenschutzrichtlinie
66. Die Kommission weist zutreffend darauf hin, dass die Anwendung der Datenschutzrichtlinie und des Rechts auf Auskunft über das Vorliegen von personenbezogenen Daten hinaus weiteren Voraussetzungen unterliegt und auch die Einschränkung des Auskunftsrechts erlaubt.
67. Nach diesen weiteren Voraussetzungen und Einschränkungsmöglichkeiten ist jedoch nicht gefragt, so dass der Gerichtshof darauf nicht eingehen muss. Ihre Erörterung erscheint auch nicht notwendig, damit der Supreme Court darüber entscheiden kann, ob der damalige irische Datenschutzbeauftragte zu Recht die weitere Prüfung der Beschwerde von Herrn Nowak verweigert hat.
68. Sollte der Gerichtshof sich gleichwohl zu diesen Fragen äußern wollen, so wäre auf den ersten Blick insbesondere Art. 3 Abs. 1 der Datenschutzrichtlinie von Interesse. Danach gilt die Richtlinie nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
69. Es erscheint nicht zwingend, dass die Prüfungsarbeit von Herrn Nowak automatisiert verarbeitet wurde, etwa indem sie in eine elektronische Datenverarbeitungsanlage eingelesen und gespeichert wurde. Gleichwohl ist davon auszugehen, dass sie zumindest Teil in einer „Datei“ ist. Denn eine Datei muss nach Art. 2 Buchst. c der Datenschutzrichtlinie nicht zwingend in einer elektronischen Datenverarbeitungsanlage gespeichert sein. Vielmehr umfasst dieser Begriff jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Eine alphabetisch oder nach anderen Kriterien geordnete physische Sammlung von Prüfungsarbeiten auf Papier erfüllt diese Anforderungen bereits.
V. Ergebnis
70. Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
Bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, handelt es sich einschließlich etwaiger Korrekturanmerkungen von Prüfern um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.