Rechtssache C‑439/19
B
(Vorabentscheidungsersuchen der Latvijas Republikas Satversmes tiesa)
Urteil des Gerichtshofs (Große Kammer) vom 22. Juni 2021
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5, 6 und 10 – Nationale Regelung, die den Zugang der Öffentlichkeit zu personenbezogenen Daten über Strafpunkte für Verkehrsverstöße vorsieht – Rechtmäßigkeit – Begriff der ‚personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten‘ – Offenlegung zum Zweck der Verbesserung der Straßenverkehrssicherheit – Zugangsrecht der Öffentlichkeit zu amtlichen Dokumenten – Informationsfreiheit – Ausgleich mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten – Weiterverwendung der Daten – Art. 267 AEUV – Zeitliche Wirkungen einer Vorabentscheidung – Für das Verfassungsgericht eines Mitgliedstaats bestehende Möglichkeit, die Rechtswirkungen einer mit dem Unionsrecht unvereinbaren nationalen Regelung aufrechtzuerhalten – Grundsätze des Vorrangs des Unionsrechts und der Rechtssicherheit“
1. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Anwendungsbereich – Ausnahmen – Verarbeitung von Daten im Rahmen einer Tätigkeit, die nicht unter das Unionsrecht fällt – Tätigkeit, die der Wahrung der nationalen Sicherheit dient oder derselben Kategorie zugeordnet werden kann – Begriff – Tätigkeit, die auf die Verbesserung der Straßenverkehrssicherheit abzielt – Nichteinbeziehung
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, 16. Erwägungsgrund und Art. 2 Abs. 2 Buchst. a)
(vgl. Rn. 61-68)
2. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Anwendungsbereich – Ausnahmen – Verarbeitung von Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung – Begriff der zuständigen Behörde – Notwendiger Zusammenhang mit dem Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit – Nationale staatliche Stelle, die der Öffentlichkeit personenbezogene Daten über für Verkehrsverstöße verhängte Strafpunkte übermittelt – Nichteinbeziehung
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, 19. Erwägungsgrund und Art. 2 Abs. 2 Buchst. d; Richtlinie 2016/680 des Europäischen Parlaments und des Rates, Erwägungsgründe 10 und 11 sowie Art. 3 Nr. 7)
(vgl. Rn. 69-72)
3. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten – Begriff der Daten über Straftaten – Daten über Strafpunkte – Einbeziehung – Begriff der Straftaten – Strafrechtlicher Charakter – Beurteilungskriterien – Verkehrsverstöße, die zur Verhängung von Strafpunkten führen – Einbeziehung
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 10; Richtlinie 2016/680 des Europäischen Parlaments und des Rates, 13. Erwägungsgrund)
(vgl. Rn. 77-93, Tenor 1)
4. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Voraussetzungen für die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten – Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt – Nationale Regelung, die den Zugang der Öffentlichkeit zu personenbezogenen Daten über Strafpunkte vorschreibt und die Übermittlung dieser Daten an Wirtschaftsteilnehmer zur Weiterverwendung erlaubt – Im allgemeinen Interesse liegendes Ziel der Verbesserung der Straßenverkehrssicherheit – Keine Erforderlichkeit der betreffenden Verarbeitung personenbezogener Daten – Unzulässigkeit – Zugangsrecht der Öffentlichkeit zu amtlichen Dokumenten und Recht auf Informationsfreiheit – Keine Auswirkung – Vorrang der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Erwägungsgründe 39 und 154 sowie Art. 5 Abs. 1, Art. 6 Abs. 1 Buchst. e, Art. 10, Art. 85 und Art. 86)
(vgl. Rn. 99, 106, 108-113, 120-122, 126, 129, Tenor 2 und 3)
5. Zur Vorabentscheidung vorgelegte Fragen – Auslegung – Zeitliche Wirkung der Auslegungsurteile – Rückwirkung – Begrenzung durch den Gerichtshof – Grundsätze des Vorrangs des Unionsrechts und der Rechtssicherheit – Möglichkeit für das Verfassungsgericht eines Mitgliedstaats, die Rechtswirkungen einer für mit dem Unionsrecht unvereinbar befundenen Regelung bis zum Zeitpunkt der Verkündung seines endgültigen Urteils aufrechtzuerhalten – Fehlen
(Art. 267 AEUV)
(vgl. Rn. 132-137, Tenor 4)
Zusammenfassung
Das Recht der Union über den Datenschutz steht der lettischen Regelung entgegen, die die Behörde für Straßenverkehrssicherheit verpflichtet, die Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, für die Öffentlichkeit zugänglich zu machen
Die Erforderlichkeit dieser Regelung zur Gewährleistung des verfolgten Ziels, der Verbesserung der Straßenverkehrssicherheit, ist nicht nachgewiesen
Gegen B, eine natürliche Person, wurden wegen eines oder mehrerer Verkehrsverstöße Strafpunkte verhängt. Diese Strafpunkte wurden von der Ceļu satiksmes drošības direkcija (Direktion für Straßenverkehrssicherheit, Lettland) (im Folgenden: CSDD) in das nationale Register für Fahrzeuge und Fahrzeugführer eingetragen.
Nach der lettischen Straßenverkehrsregelung(1) sind die Informationen über gegen Fahrzeugführer verhängte und in diesem Register eingetragene Strafpunkte öffentlich zugänglich und werden von der CSDD jeder Person übermittelt, die dies beantragt, ohne dass diese Person ein besonderes Interesse am Erhalt dieser Informationen nachzuweisen hat, u. a. auch an Wirtschaftsteilnehmer zum Zweck der Weiterverwendung. B, der Zweifel an der Rechtmäßigkeit dieser Regelung hat, hat bei der Latvijas Republikas Satversmes tiesa (Verfassungsgericht, Lettland) Verfassungsbeschwerde eingelegt, damit sie die Vereinbarkeit dieser Regelung mit dem Recht auf Achtung des Privatlebens prüft.
Das Verfassungsgericht meint, dass es im Rahmen seiner Beurteilung dieses durch die Verfassung garantierten Rechts die Datenschutz-Grundverordnung (im Folgenden: DSGVO)(2) zu berücksichtigen hat. Daher hat es den Gerichtshof ersucht, die Bedeutung mehrerer Bestimmungen der DSGVO zu klären, um die Vereinbarkeit der lettischen Straßenverkehrsregelung mit dieser Verordnung zu bestimmen.
Mit seinem von der Großen Kammer erlassenen Urteil entscheidet der Gerichtshof, dass die DSGVO der lettischen Regelung entgegensteht. Er stellt fest, dass die Erforderlichkeit – insbesondere im Hinblick auf das von der lettischen Regierung geltend gemachte Ziel der Verbesserung der Straßenverkehrssicherheit – einer Übermittlung personenbezogener Daten über für Verkehrsverstöße verhängte Strafpunkte nicht nachgewiesen ist. Außerdem rechtfertigen, so der Gerichtshof, weder das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten noch das Recht auf Informationsfreiheit eine solche Regelung.
Würdigung durch den Gerichtshof
Der Gerichtshof stellt erstens fest, dass die Verarbeitung personenbezogener Daten über Strafpunkte eine „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten“(3) darstellt, für die die DSGVO wegen der besonderen Sensibilität der betreffenden Daten einen erhöhten Schutz vorsieht.
In diesem Zusammenhang führt der Gerichtshof einleitend aus, dass die Informationen über Strafpunkte personenbezogene Daten darstellen und dass ihre Übermittlung durch die CSDD an Dritte eine Verarbeitung darstellt, die in den sachlichen Anwendungsbereich der DSGVO fällt. Dieser Anwendungsbereich ist nämlich sehr weit, und die entsprechende Verarbeitung fällt unter keine der Ausnahmen von der Anwendbarkeit dieser Verordnung.
Die entsprechende Verarbeitung fällt demnach zum einen nicht unter die Ausnahme, wonach die DSGVO keine Anwendung auf eine Verarbeitung im Rahmen einer Tätigkeit findet, die nicht in den Anwendungsbereich des Unionsrechts fällt(4). Diese Ausnahme ist so zu verstehen, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden. Diese Tätigkeiten umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken. Mit den Tätigkeiten, die die Straßenverkehrssicherheit betreffen, wird jedoch kein solches Ziel verfolgt, so dass sie nicht der Kategorie der auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten zugeordnet werden können.
Zum anderen ist die Übermittlung personenbezogener Daten über Strafpunkte auch keine Verarbeitung, die von der Ausnahme erfasst wird, wonach die DSGVO auf Verarbeitungen personenbezogener Daten durch die zuständigen Behörden im Bereich des Strafrechts keine Anwendung findet(5). Der Gerichtshof stellt nämlich fest, dass die CSDD bei der entsprechenden Übermittlung nicht als eine solche „zuständige Behörde“(6) angesehen werden kann.
Um zu bestimmen, ob der Zugang zu personenbezogenen Daten über Verkehrsverstöße, etwa Strafpunkten, eine Verarbeitung personenbezogener Daten über „Straftaten“(7) darstellt, für die ein verstärkter Schutz gilt, stellt der Gerichtshof insbesondere unter Heranziehung der Entstehungsgeschichte der DSGVO fest, dass dieser Begriff ausschließlich auf Straftaten im Sinne des Strafrechts verweist. Allerdings ist der Umstand, dass Verkehrsverstöße in der lettischen Rechtsordnung als Ordnungswidrigkeiten eingestuft werden, für die Beurteilung, ob diese Verstöße unter den Begriff „Straftaten“ fallen, nicht entscheidend, da es sich um einen autonomen Begriff des Unionsrechts handelt, der in der gesamten Union autonom und einheitlich auszulegen ist. Nach einem Hinweis auf die drei Kriterien, die für die Beurteilung des strafrechtlichen Charakters einer Zuwiderhandlung maßgeblich sind, nämlich die rechtliche Einordnung der Zuwiderhandlung im innerstaatlichen Recht, die Art der Zuwiderhandlung und der Schweregrad der drohenden Sanktion, führt der Gerichtshof somit aus, dass die fraglichen Verkehrsverstöße unter den Begriff „Straftaten“ im Sinne der DSGVO fallen. Hinsichtlich der ersten beiden Kriterien stellt der Gerichtshof fest, dass die entsprechenden Verstöße zwar im innerstaatlichen Recht nicht als „strafrechtliche“ Verstöße eingestuft werden, dass sich ein solcher Charakter aber aus der Art der Zuwiderhandlung und insbesondere dem repressiven Zweck der Sanktion, die der Verstoß nach sich ziehen kann, ergeben kann. Im vorliegenden Fall wird indessen mit der Verhängung von Strafpunkten für Verkehrsverstöße ebenso wie mit den anderen Sanktionen, die ihre Begehung nach sich ziehen kann, u. a. ein solcher repressiver Zweck verfolgt. Zu dem dritten Kriterium führt der Gerichtshof aus, dass nur Verkehrsverstöße von gewisser Schwere zur Verhängung von Strafpunkten führen und dass diese Verstöße somit zu Sanktionen mit einem gewissen Schweregrad führen können. Außerdem kommt die Verhängung solcher Punkte im Allgemeinen zu der verhängten Sanktion hinzu, und die Kumulierung solcher Punkte hat rechtliche Folgen, die bis zu einem Fahrverbot reichen können.
Zweitens entscheidet der Gerichtshof, dass die DSGVO der lettischen Regelung entgegensteht, die die CSDD verpflichtet, die Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, der Öffentlichkeit zugänglich zu machen, ohne dass die Person, die den Zugang beantragt, ein besonderes Interesse am Erhalt dieser Daten nachzuweisen hat.
In diesem Zusammenhang hebt der Gerichtshof hervor, dass das mit der lettischen Regelung verfolgte Ziel der Verbesserung der Straßenverkehrssicherheit ein von der Union anerkanntes Ziel im allgemeinen Interesse darstellt und dass die Mitgliedstaaten somit die Straßenverkehrssicherheit als „Aufgabe …, die im öffentlichen Interesse liegt“, einstufen können(8). Allerdings ist nicht nachgewiesen, dass die lettische Regelung der Übermittlung personenbezogener Daten über Strafpunkte zur Gewährleistung des verfolgten Ziels erforderlich ist. Zum einen verfügt der lettische Gesetzgeber nämlich über eine Vielzahl von Handlungsmöglichkeiten, die es ihm ermöglicht hätten, dieses Ziel mit anderen Mitteln zu erreichen, die weniger in die Grundrechte der betroffenen Personen eingreifen. Zum anderen sind die Sensibilität der Daten über Strafpunkte und der Umstand zu berücksichtigen, dass ihre Übermittlung an die Öffentlichkeit einen schweren Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen kann, da sie zu einer Missbilligung durch die Gesellschaft und zur Stigmatisierung der betroffenen Person führen kann.
Ferner ist der Gerichtshof der Ansicht, dass diese beiden Grundrechte angesichts der Schwere des Eingriffs in diese Rechte sowohl dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten, wie dem nationalen Register für Fahrzeuge und Fahrzeugführer, als auch dem Recht auf Informationsfreiheit vorgehen.
Drittens entscheidet der Gerichtshof aus identischen Gründen, dass die DSGVO der lettischen Regelung auch insoweit entgegensteht, als sie es der CSDD erlaubt, Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, an Wirtschaftsteilnehmer zu übermitteln, damit diese sie weiterverwenden und an die Öffentlichkeit übermitteln können.
Viertens und letztens stellt der Gerichtshof klar, dass der Grundsatz des Vorrangs des Unionrechts es dem vorlegenden Gericht, das mit einem Rechtsbehelf gegen die lettische Regelung befasst ist, die vom Gerichtshof als unionsrechtswidrig eingestuft worden ist, verwehrt, die Rechtswirkungen dieser Regelung bis zum Zeitpunkt der Verkündung seines endgültigen Urteils aufrechtzuerhalten.