Language of document : ECLI:EU:T:2015:926

Rechtssache T‑343/13

CN

gegen

Europäisches Parlament

„Außervertragliche Haftung – Petition an das Parlament – Verbreitung bestimmter personenbezogener Daten auf der Website des Parlaments – Fehlen eines hinreichend qualifizierten Verstoßes gegen eine Rechtsnorm, die dem Einzelnen Rechte verleiht“

Leitsätze – Urteil des Gerichts (Sechste Kammer) vom 3. Dezember 2015

1.      Außervertragliche Haftung – Voraussetzungen – Rechtswidrigkeit – Hinreichend qualifizierter Verstoß gegen das Unionsrecht – Voraussetzung einer offenkundigen und erheblichen Überschreitung der Grenzen des Ermessens durch die Organe – Verstoß gegen die Rechtsvorschriften über den Schutz personenbezogener Daten – Einbeziehung

(Art. 340 Abs. 2 AEUV; Charta der Grundrechte der Europäischen Union, Art. 8; Richtlinie Nr. 45/2001 des Europäischen Parlaments und des Rates)

2.      Organe der Europäischen Union – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung Nr.45/2001 – Daten über Gesundheit – Begriff – Weite Auslegung – Grenzen

(Verordnung Nr. 45/2001 des Europäischen Parlaments und des Rates, Art. 10 Abs. 1)

3.      Organe der Europäischen Union – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung Nr.45/2001 – Erfordernis der Rechtmäßigkeit der Verarbeitung – Zustimmung der betroffenen Person – Begriff – Einreichen einer Petition, die sensible Daten enthält, auf der Website des Europäischen Parlaments – Dem Petenten vor Einreichen zur Verfügung gestellte Informationen, anhand derer er die öffentliche Zugänglichkeit seiner Petition beurteilen konnte – Rechtmäßigkeit der Verarbeitung

(Verordnung Nr. 45/2001 des Europäischen Parlaments und des Rates, Art. 2 Buchst. h, Art. 5 Buchst. d und Art. 10 Abs. 2 Buchst. a)

4.      Außervertragliche Haftung – Voraussetzungen – Rechtswidrigkeit – Hinreichend qualifizierter Verstoß gegen das Unionsrecht – Berufung auf Rechtsfehler, die auf der Verletzung der Rechte eines Dritten beruhen – Unzulässigkeit

(Art. 340 Abs. 2 AEUV)

5.      Organe der Europäischen Union – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung Nr. 45/2001 – Recht auf Löschung der Daten – Voraussetzung – Unrechtmäßige Verarbeitung der betreffenden Daten – Löschung von rechtmäßig verarbeiteten Daten aus Gefälligkeit – Einhaltung einer angemessenen Frist

(Verordnung Nr. 45/2001 des Europäischen Parlaments und des Rates, Art. 16)

6.      Grundrechte – Achtung des Privatlebens – Schutz personenbezogener Daten – Offenlegung von Daten mit Einwilligung der betroffenen Person – Eingriff in das Privatleben – Fehlen

7.      Außervertragliche Haftung – Voraussetzungen – Rechtswidrigkeit – Schaden – Kausalzusammenhang – Kumulative Voraussetzungen – Nichtvorliegen einer der Voraussetzungen – Abweisung der Schadensersatzklage in vollem Umfang

(Art. 340 Abs. 2 AEUV)

8.      Außervertragliche Haftung – Voraussetzungen – Durch eine rechtswidrige Handlung verursachter tatsächlicher und sicherer Schaden – Materieller und immaterieller Schaden – Beweislast

(Art. 340 Abs. 2 AEUV)

9.      Außervertragliche Haftung – Voraussetzungen – Kausalzusammenhang – Schaden, der in den mit dem Verwaltungsverfahren zusammenhängenden Kosten besteht – Kosten, die der Kläger aus freien Stücken ausgelegt hat – Kein Kausalzusammenhang zwischen dem Schaden und dem Verhalten des Organs

(Art. 340 Abs. 2 AEUV)

1.      Damit bei der außervertraglichen Haftung der Union die Voraussetzung eines rechtswidrigen Verhaltens der Organe der Union gegeben ist, muss ein hinreichend qualifizierter Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, vorliegen. Das entscheidende Kriterium für die Beurteilung der Frage, ob ein Verstoß gegen das Unionsrecht als hinreichend qualifiziert anzusehen ist, besteht darin, dass ein Organ der Union die Grenzen, die seinem Ermessen gesetzt sind, offenkundig und erheblich überschritten hat.

Das in Art. 8 der Charta der Grundrechte der Europäischen Union verankerte Recht auf Schutz der personenbezogenen Daten wird, was die Rechtsakte der Organe und Einrichtungen der Union angeht, durch die Verordnung Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr und durch die von jedem Organ erlassenen Durchführungsbestimmungen zu dieser Verordnung näher bestimmt und diese unterschiedlichen Bestimmungen bezwecken insoweit, dem Einzelnen Rechte zu verleihen. Daher kann sich ein Kläger im Rahmen seiner Schadensersatzklage darauf berufen.

(vgl. Rn. 44, 47)

2.      Der in Art. 10 Abs. 1 der Verordnung Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr enthaltene Begriff „Daten über Gesundheit“ ist in dem Sinne weit auszulegen, dass er sich auf Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten – körperlichen wie psychischen – betreffen. Dieser Begriff kann jedoch nicht so weit ausgedehnt werden, dass davon auch Ausdrücke umfasst sind, deren Verwendung keiner Offenlegung von Daten über Gesundheit oder medizinische Beschwerden einer Person gleichkommt.

(vgl. Rn. 50)

3.      Da Art. 2 Buchst. h der Verordnung Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr kein Formerfordernis für die Einwilligung einer Person in die Verarbeitung ihrer personenbezogenen Daten enthält, kann das Einreichen einer Petition beim Europäischen Parlament als Willensbekundung der betroffenen Person angesehen werden.

Ein angemessen aufmerksamer Petent hätte nämlich bei aufmerksamem Durchsehen der vom Parlament auf seiner Website in Bezug auf die Öffentlichkeit der Petition zur Verfügung gestellten Informationen die Tragweite seiner Handlungen und deren Folgen erkennen müssen. Bei einer Petition, die die Tatsache betrifft, dass ein Organ der Union die Krankheit des Petenten, eines Unionsbeamten, und die seines Sohnes bei seiner Laufbahn nicht gebührend berücksichtigt habe, erfolgte diese Willensbekundung für den konkreten Fall, weil das Parlament den Petenten darüber unterrichtet hat, dass seine Beschwerde über das Internet zugänglich sein würde, und weil der Petent seine ausdrückliche Einwilligung erteilt hat, indem er auf dem Formular die Kästchen betreffend die öffentliche Verarbeitung und die Verzeichnung in einem über das Internet zugänglichen Register ankreuzte, ohne dass seine Einwilligung aus irgendeiner Handlung implizit abgeleitet werden müsste. Unter diesen Voraussetzungen ist anzunehmen, dass der Petent seine ausdrückliche Einwilligung in die Offenlegung der sensiblen Daten über seine Gesundheit im Sinne von Art. 10 Abs. 2 Buchst. a der Verordnung Nr. 45/2001 gegeben hat. Diese Überlegungen sind mutatis mutandis auf die Verarbeitung personenbezogener Daten des Petenten, die nicht unter sensible personenbezogene Daten fallen, anzuwenden.

Im Übrigen unterliegt die Verarbeitung der personenbezogenen Daten, die nicht unter Art. 10 Abs. 1 der Verordnung Nr. 45/2001 fallen, wie jene betreffend die Berufslaufbahn des Petenten, Art. 5 der Verordnung Nr. 45/2001. Gemäß Art. 5 Buchst. d dieser Verordnung dürfen solche Daten u. a. dann verarbeitet werden, wenn die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat. Mit anderen Worten ist die Verarbeitung erlaubt, wenn die betroffene Person ihre Einwilligung mit Sicherheit und unmissverständlich gegeben hat. Während Art. 10 Abs. 2 Buchst. a der Verordnung Nr. 45/2001 fordert, dass die Einwilligung ausdrücklich sein muss, verlangt Art. 5 Buchst. d der genannten Verordnung insoweit, dass die Einwilligung ohne jeden Zweifel gegeben wird. Es kann daher unter Berücksichtigung der Natur sensibler personenbezogener Daten gefolgert werden, dass die Voraussetzungen für eine Einwilligung im Sinne von Art. 5 Buchst. d der Verordnung Nr. 45/2001 nicht strenger sein können als jene, die nach Art. 10 Abs. 2 Buchst. a der genannten Verordnung vorgesehen sind.

(vgl. Rn. 59, 70, 74, 76-79)

4.      Bei der außervertraglichen Haftung der Union kann die praktische Wirksamkeit der Voraussetzung der Verletzung einer Rechtsvorschrift, die dem Einzelnen Rechte verleiht, nur dann gewährleistet werden, wenn der durch die geltend gemachte Bestimmung verliehene Schutz tatsächlich gegenüber der Person, die sich auf ihn beruft, besteht und diese Person somit zu denen gehört, denen die in Rede stehende Bestimmung Rechte verleiht. Keinen Schadensersatzanspruch eröffnen kann eine Bestimmung, die nicht die Einzelperson gegen die von ihr gerügte Rechtswidrigkeit schützt, sondern eine andere Einzelperson. Daraus folgt, dass sich ein Kläger im Rahmen seiner Schadensersatzklage nicht auf Rechtsfehler berufen kann, die auf der angeblichen Verletzung der Rechte eines Dritten beruhen.

(vgl. Rn. 86)

5.      Art. 16 der Verordnung Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr verleiht das Recht, die Löschung der personenbezogenen Daten zu verlangen, nur wenn deren Verarbeitung rechtswidrig ist. Daher kann ein Antrag auf Löschung nicht auf diese Vorschrift gestützt werden, wenn die Verarbeitung rechtmäßig ist. Der Umstand, dass das betroffene Unionsorgan beschlossen hat, einem Antrag auf Löschung stattzugeben, stellt als solcher keine Anerkennung der Rechtswidrigkeit der ursprünglichen Verarbeitung dar.

Insoweit sieht Art. 12 Abs. 3 der vom Europäischen Parlament erlassenen Durchführungsbestimmungen zur Verordnung Nr. 45/2001 vor, dass ein Antrag auf Löschung der personenbezogenen Daten unverzüglich ausgeführt werden muss, wenn er angenommen wird. Bei dieser Bestimmung geht es aber um Situationen, in denen ein Antrag angenommen wird, weil er begründet ist und somit die Verarbeitung rechtswidrig wäre. Unter solchen Umständen ist es logisch, dass die Ausführung unverzüglich zu erfolgen hat. Wenn hingegen der Antrag nicht begründet ist, er aber aus Gefälligkeit angenommen wird, gibt es keinen Grund für eine Verpflichtung, ihn unverzüglich auszuführen. In einem solchen Fall hat das Parlament seiner Verpflichtung bloß innerhalb einer angemessenen Frist nachzukommen.

(vgl. Rn. 90, 100)

6.      Bei der Offenlegung personenbezogener Angaben durch ein Unionsorgan kann nicht von einem Eingriff einer Behörde in das Privatleben im Sinne von Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte ausgegangen werden, wenn die betroffene Person ihre Einwilligung in diese Offenlegung gibt.

(vgl. Rn. 107)

7.      Siehe Text der Entscheidung.

(vgl. Rn. 110)

8.      Siehe Text der Entscheidung.

(vgl. Rn. 118, 119)

9.      Siehe Text der Entscheidung.

(vgl. Rn. 123, 124)