SCHLUSSANTRÄGE DES GENERALANWALTS
MICHAL BOBEK
vom 26. Januar 2017(1)
Rechtssache C‑13/16
Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde
gegen
Rīgas pašvaldības SIA „Rīgas satiksme“
(Vorabentscheidungsersuchen der Augstākā tiesa, Administratīvo lietu departaments [Oberster Gerichtshof, Senat für Verwaltungsstreitsachen, Lettland])
„Vorabentscheidungsersuchen – Personenbezogene Daten – Rechtmäßige Datenverarbeitung – Art. 7 Buchst. f der Richtlinie 95/46/EG – Anwendungsbereich und Bedingungen – Pflicht oder Ermächtigung zur Verarbeitung personenbezogener Daten – Begriff der zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von einem Dritten wahrgenommen wird, erforderlichen Verarbeitung“
I. Einleitung
1. Ein Taxifahrer hatte sein Fahrzeug in Riga am Straßenrand angehalten. Als ein Oberleitungsbus der Rīgas satiksme am Taxi vorbeifuhr, öffnete ein Fahrgast im Taxi plötzlich die Tür. Es kam zu einer Kollision, bei der der Oberleitungsbus beschädigt wurde. Rīgas satiksme ersuchte die Polizei um Offenlegung der Identität des Fahrgasts. Rīgas satiksme beabsichtigte, den Fahrgast auf dem Zivilrechtsweg auf Ersatz des am Oberleitungsbus entstandenen Schadens zu verklagen. Die Polizei teilte Rīgas satiksme lediglich den Namen des Fahrgasts mit. Die Bekanntgabe der persönlichen Kennziffer und der Wohnanschrift lehnte sie ab.
2. Das vorlegende Gericht fragt vor dem Hintergrund dieses Sachverhalts, ob Art. 7 Buchst. f der Richtlinie 95/46/EG (im Folgenden: Richtlinie)(2) eine Pflicht begründet, alle personenbezogenen Daten offenzulegen, die für die Erhebung einer Zivilklage gegen die Person erforderlich sind, die sich einer Ordnungswidrigkeit schuldig gemacht haben soll. Es fragt ferner, ob die Antwort auf diese Frage anders ausfiele, wenn die betreffende Person minderjährig wäre.
II. Rechtsrahmen
A. Unionsrecht
1. Charta der Grundrechte der Europäischen Union (im Folgenden: Charta)
3. Nach Art. 7 hat „[j]ede Person … das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation“.
4. Art. 8 bestimmt:
„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“
2. Vertrag über die Arbeitsweise der Europäischen Union
5. Nach Art. 16 Abs. 1 AEUV hat „[j]ede Person … das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
3. Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
6. Nach den Begriffsbestimmungen in Art. 2 bezeichnet im Sinne der Richtlinie der Ausdruck
„a) ‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
…
f) ‚Dritter‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
…“
7. Art. 5 in Kapitel II („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) sieht vor: „Die Mitgliedstaaten bestimmen nach Maßgabe dieses Kapitels die Voraussetzungen näher, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.“
8. Art. 6 Abs. 1 hat folgenden Wortlaut: „Die Mitgliedstaaten sehen vor, dass personenbezogene Daten
…
c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;
…“
9. Art. 7 bestimmt: „Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;
c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen.“
10. Art. 8 verbietet grundsätzlich die Verarbeitung besonderer Kategorien von Daten wie etwa personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen hervorgehen. Er sieht jedoch eine Reihe von Ausnahmen vor.
11. Nach Art. 8 Abs. 2 Buchst. e gilt das Verbot insbesondere nicht, wenn „die Verarbeitung … zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich [ist]“.
12. Art. 8 Abs. 5 sieht vor:
„… Die Mitgliedstaaten können vorsehen, dass Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen“.
13. Nach Art. 8 Abs. 7 „[bestimmen d]ie Mitgliedstaaten …, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen“.
14. Gemäß Art. 14 „[erkennen d]ie Mitgliedstaaten … das Recht der betroffenen Person an,
a) zumindest in den Fällen von Artikel 7 Buchstaben e) und f) jederzeit aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, dass sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung. Im Fall eines berechtigten Widerspruchs kann sich die vom für die Verarbeitung Verantwortlichen vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen;
…“
15. Die Richtlinie ist inzwischen durch die Verordnung (EU) 2016/679 aufgehoben worden(3). Sie ist am 24. Mai 2016 in Kraft getreten. Die neue Verordnung gilt jedoch erst ab dem 25. Mai 2018.
B. Nationales Recht
16. Art. 7 des Fizisko personu datu aizsardzības likums (Gesetz zum Schutz personenbezogener Daten) ist Art. 7 der Richtlinie nachgebildet. Er sieht vor, dass, soweit gesetzlich nichts anderes vorgesehen ist, die Verarbeitung personenbezogener Daten lediglich dann erfolgen darf, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:
1. Die betroffene Person hat ihre Einwilligung gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;
3. die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
4. die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person, darunter ihr Leben und ihre Gesundheit;
5. die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;
6. die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, dem bzw. denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
III. Ausgangsverfahren und Vorlagefragen
17. Im Dezember 2012 ereignete sich in Riga ein Verkehrsunfall. Ein Taxifahrer hatte sein Fahrzeug am Straßenrand angehalten. Als ein Oberleitungsbus der Rīgas satiksme an dem Taxi vorbeifuhr, öffnete der Fahrgast im Taxi die Tür, die den Oberleitungsbus streifte und beschädigte. Aufgrund des Unfalls wurde ein Ordnungswidrigkeitsverfahren eingeleitet. Es wurde ein Unfallbericht mit der Feststellung erstellt, dass es zu einer Ordnungswidrigkeit gekommen sei.
18. Da Rīgas satiksme zunächst davon ausging, dass der Taxifahrer für den Unfall verantwortlich sei, forderte sie Schadensersatz von der Versicherungsgesellschaft, bei der der Eigentümer des Taxis haftpflichtversichert war. Die Versicherung teilte Rīgas satiksme jedoch mit, dass sie keinerlei Schadensersatz leisten werde, da der Unfall auf dem Verschulden des Fahrgasts und nicht des Taxifahrers beruhe, und dass Rīgas satiksme ihre Ansprüche gegen diesen Fahrgast auf dem Zivilrechtsweg verfolgen könne.
19. Rīgas satiksme wandte sich an das Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (Amt für Verkehrsübertretungen der Schutzpolizei der Region Riga) (im Folgenden: Polizei) und begehrte Auskunft über die Person, gegen die wegen des Unfalls eine Verwaltungssanktion verhängt worden war. Konkret ersuchte Rīgas satiksme um Angabe des Namens, der persönlichen Kennziffer und der Anschrift des Taxifahrgasts sowie um Kopien der Dokumente, aus denen sich die Aussagen des Taxifahrers und des Fahrgasts zu den Umständen des Unfalls ergeben. Rīgas satiksme versicherte gegenüber der Polizei, dass die verlangte Auskunft ausschließlich für die Erhebung einer zivilrechtlichen Klage gegen diese Person verwendet werde.
20. Die Polizei kam dem Ersuchen von Rīgas satiksme nur teilweise nach und teilte lediglich den Namen des Taxifahrgasts mit, lehnte es jedoch ab, die persönliche Kennziffer und Wohnanschrift dieser Person mitzuteilen. Ebenso wenig übersandte sie die Aussagen der an dem Unfall beteiligten Personen.
21. Die Entscheidung der Polizei stützte sich darauf, dass die Dokumente aus dem Ordnungswidrigkeitsverfahren nur die an diesem Verfahren Beteiligten erhalten könnten, wozu Rīgas satiksme nicht zähle, und dass die Datu valsts inspekcija (nationale Datenschutzbehörde) eine Auskunft betreffend die persönliche Kennziffer und den Wohnsitz der Person untersagt habe.
22. Nach Art. 261 des Latvijas Administratīvo pārkāpumu kodeks (lettisches Ordnungswidrigkeitengesetz) werde einer Person in einem Ordnungswidrigkeitsverfahren auf Antrag die Stellung eines Geschädigten zuerkannt. Rīgas satiksme habe von diesem Recht, für sich die Stellung als Geschädigter zu beantragen, in diesem Ordnungswidrigkeitsverfahren keinen Gebrauch gemacht.
23. Rīgas satiksme focht die Entscheidung der Polizei vor dem Verwaltungsgericht an, soweit damit die Bekanntgabe der persönlichen Kennziffer und des Wohnsitzes des Taxifahrgasts abgelehnt wird.
24. Mit Urteil vom 16. Mai 2014 gab die Administratīvā rajona tiesa (Bezirksverwaltungsgericht) der Klage von Rīgas satiksme statt und verurteilte die Polizei, die in dem Antrag genannten Informationen hinsichtlich der persönlichen Kennziffer und der Wohnsitzanschrift des Taxifahrgasts zu erteilen.
25. Die Polizei legte gegen diese Entscheidung bei der Augstākā tiesa (Oberster Gerichtshof, Lettland), dem vorlegenden Gericht in dieser Rechtssache, Rechtsmittel ein. Das vorlegende Gericht bat die lettische Datenschutzbehörde um eine Stellungnahme, woraufhin diese mitteilte, dass die verlangten Daten in diesem konkreten Fall nach Art. 7 Abs. 6 des Gesetzes zum Schutz personenbezogener Daten nicht bereitgestellt werden dürften, da das Ordnungswidrigkeitengesetz festlege, an welche natürlichen und juristischen Personen die Polizei Informationen bekannt geben dürfe, die sich aus dem Verfahren ergäben. Daher könne die Weitergabe von personenbezogenen Daten im Zusammenhang mit Ordnungswidrigkeitsverfahren nur im Einklang mit Art. 7 Abs. 3 und 5 dieses Gesetzes erfolgen. Im Übrigen verpflichte dessen Art. 7 den für die Verarbeitung Verantwortlichen (in diesem Fall die Polizei) nicht zur Datenverarbeitung, sondern gestatte ihm diese lediglich.
26. Die lettische Datenschutzbehörde wies außerdem darauf hin, dass Rīgas satiksme alternative Mittel zur Erlangung der Informationen zur Verfügung stünden: Sie könne einen mit Gründen versehenen Antrag beim Iedzīvotāju reģistrs (Einwohnermelderegister) oder nach den Art. 98, 99 und 100 des Civilprocesa likums (lettisches Zivilprozessgesetz) bei Gericht einen Antrag auf Beweissicherung stellen. Das Gericht könne die Polizei sodann zur Bekanntgabe der personenbezogenen Daten verurteilen, die Rīgas satiksme benötige, um die betreffende Person vor dem Zivilgericht zu verklagen.
27. Das vorlegende Gericht hat Zweifel hinsichtlich der von der lettischen Datenschutzbehörde angeführten alternativen Möglichkeiten, die personenbezogenen Daten zu erlangen. Im Fall einer Anfrage beim Einwohnermelderegister unter Nennung lediglich des Namens des Taxifahrgasts bestehe die Möglichkeit, dass mehrere Personen denselben Vor- und Nachnamen führten. Dann könne die betreffende Person nur durch zusätzliche wie die im vorliegenden Fall verlangten Daten (die persönliche Kennziffer und die Wohnanschrift), identifiziert werden. Außerdem betreffen die von der lettischen Datenschutzbehörde angeführten Bestimmungen des Zivilprozessgesetzes die Beweissicherung. Nach Art. 128 des Zivilprozessgesetzes seien bei Stellung eines Antrags der Name und Vorname, (soweit bekannt) die persönliche Kennziffer sowie der gesetzliche Wohnsitz und der im Register zusätzlich angegebene Wohnsitz oder, in Ermangelung dessen, die zustellfähige Anschrift des Beklagten anzugeben. Dem Kläger müsse folglich zumindest der Wohnsitz des Beklagten bekannt sein.
28. Die weiteren Möglichkeiten, die erforderlichen personenbezogenen Daten zu erlangen, seien also unklar oder ineffektiv. Daher sei es für Rīgas satiksme zur Verwirklichung ihrer berechtigten Interessen möglicherweise erforderlich, die verlangten personenbezogenen Daten von der Polizei zu erhalten.
29. Das vorlegende Gericht hat ferner Zweifel hinsichtlich der Auslegung des Begriffs „Erforderlichkeit“ in Art. 7 Buchst. f und hält diese Auslegung für die Entscheidung des vorliegenden Rechtsstreits für ausschlaggebend.
30. Die Augstākās tiesa, Administratīvo lietu departaments (Oberster Gerichtshof, Senat für Verwaltungsstreitsachen, Lettland), hat daher beschlossen, das bei ihm anhängige Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist der Ausdruck „die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das … von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden“, in Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahin auszulegen, dass die Staatspolizei gegenüber Rīgas satiksme die von dieser verlangten, für die Erhebung einer zivilrechtlichen Klage erforderlichen personenbezogenen Daten offenlegen muss? Hat der Umstand, dass – wie sich aus den Akten ergibt – der Taxifahrgast, dessen Daten Rīgas satiksme begehrt, zum Zeitpunkt des Unfalls minderjährig war, Einfluss auf die Beantwortung dieser Frage?
31. Rīgas satiksme, die Kommission sowie die tschechische, die spanische, die lettische, die österreichische und die portugiesische Regierung haben schriftliche Erklärungen eingereicht. Die Kommission und die lettische Regierung haben in der Sitzung vom 24. November 2016 mündlich verhandelt.
IV. Würdigung
32. Das vorlegende Gericht möchte wissen, ob nach der Richtlinie eine Pflicht des für die Datenverarbeitung Verantwortlichen besteht, Daten offenzulegen, die die Identifizierung einer Person, die eine Ordnungswidrigkeit begangen haben soll, ermöglichen, so dass Rīgas satiksme eine Zivilklage erheben kann.
33. Meine Antwort auf diese konkrete Vorlagefrage ist ein klares „Nein“. Die Richtlinie selbst begründet keine solche Pflicht. Sie sieht lediglich die Möglichkeit (im Sinne einer Erlaubnis oder Ermächtigung) hierzu vor, sofern eine Reihe von Voraussetzungen erfüllt ist. Die rechtliche Möglichkeit eines bestimmten Handelns ist von der Pflicht zu einem solchen Handeln zu unterscheiden.
34. Nach dem vorliegenden Sachverhalt ist die Frage hiermit jedoch noch nicht vollständig beantwortet. Zumindest teilweise, nämlich in Bezug auf die Informationen, die tatsächlich bereitgestellt wurden, ist der Gerichtshof aufgerufen, die Voraussetzungen für die Anwendung von Art. 7 Buchst. f der Richtlinie sowie Art und Umfang der personenbezogenen Daten festzulegen, die eine um Auskunft ersuchende Person gemäß dieser Bestimmung erhalten darf.
35. Die vorliegenden Schlussanträge sind daher wie folgt aufgebaut: Zuerst lege ich dar, warum die Richtlinie meiner Ansicht nach für die Stelle, die im Besitz der Daten ist, keine Pflicht zur Weitergabe begründet (Abschnitt A). Um die Fragen des vorlegenden Gerichts in dieser Rechtssache umfassend und nutzbringend zu beantworten, mache ich danach Ausführungen zu den Voraussetzungen für die Anwendung von Art. 7 Buchst. f der Richtlinie sowie dazu, in welchem Umfang personenbezogene Daten weitergegeben werden dürfen, wenn die Voraussetzungen erfüllt sind (Abschnitt B).
A. Pflicht zur Weitergabe
36. Das vorlegende Gericht möchte wissen, ob personenbezogene Daten zur Ermöglichung der Erhebung einer Zivilklage aufgrund von Art. 7 Buchst. f der Richtlinie offengelegt werden müssen. Mit anderen Worten fragt es danach, ob die Richtlinie selbst eine Pflicht zur Weitergabe dieser personenbezogenen Daten begründet.
37. Meines Erachtens kann aus der Richtlinie selbst keine solche Pflicht abgeleitet werden. Dies ergibt sich unzweifelhaft aus dem Wortlaut, der Systematik sowie aus dem Zweck der Richtlinie.
38. Was zunächst Systematik und Logik der Richtlinie betrifft, liegt dieser die Regel zugrunde, dass, um ein hohes Maß an Schutz des Rechts auf Privatsphäre zu gewährleisten, personenbezogene Daten im Allgemeinen nicht verarbeitet werden sollen(4). Die Verarbeitung personenbezogener Daten soll ihrer Art nach vielmehr die Ausnahme bleiben.
39. Art. 7 fügt sich in diese Systematik ein. Er legt eine Reihe von Ausnahmen von der Grundregel fest, wonach unter bestimmten streng festgelegten Voraussetzungen ein berechtigtes Interesse für die Verarbeitung besteht. Demnach stellen die in Art. 7 genannten Kategorien Ausnahmen von der allgemeinen Regel dar.
40. Vor diesem Hintergrund bestätigt der Wortlaut des Art. 7 eindeutig, dass die aufgeführten Kategorien als bloße Gestattung oder Ermöglichung der Verarbeitung personenbezogener Daten und nicht als eine Verpflichtung anzusehen sind, wenn der Sachverhalt unter eine der gesetzlichen Ausnahmen fällt. Nach dieser Bestimmung „[sehen d]ie Mitgliedstaaten … vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn …“(5). Diesem Wortlaut, der auch in den anderen Sprachfassungen verwendet wird(6), ist eindeutig zu entnehmen, dass die in Art. 7 aufgeführten Ausnahmen tatsächlich Ausnahmen sind. Sie können nicht als eine Verpflichtung zur Verarbeitung personenbezogener Daten ausgelegt werden.
41. Die Tatsache, dass zumindest einige der Ausnahmen nach Art. 7 unmittelbare Wirkung haben(7), ändert an der obigen Schlussfolgerung nichts. Sie begründen als solche weder einen Anspruch desjenigen, der um Informationen ersucht, auf deren Bereitstellung, noch begründen sie eine Pflicht desjenigen, der im Besitz von Informationen ist, zu deren Weitergabe. Art. 7 stellt vielmehr allgemeine Regeln auf, die den Auftragsverarbeiter in die Lage versetzen zu bestimmen, ob, wann, wie und in welchem Umfang er ihm vorliegende personenbezogene Daten verarbeiten darf.
42. Übergeordnetes Ziel der Richtlinie ist schließlich, der Verarbeitung personenbezogener Daten gemeinsame unionsrechtliche Schranken und Grenzen zu setzen. Die konkreten Grundlagen und Gründe für die Verarbeitung sind dann typischerweise im nationalen Recht oder in anderen Unionsrechtsakten zu finden. Mit anderen Worten setzt die Richtlinie der Datenverarbeitung Grenzen und ist nicht deren Triebfeder.
43. Demnach deuten Wortlaut, Systematik, gedanklicher Ansatz und Zweck der Richtlinie allesamt klar darauf hin, dass deren Art. 7 Buchst. f nicht als Quelle oder Grundlage einer Pflicht zur Weitergabe personenbezogener Daten zu verstehen ist.
44. Von einer höheren Warte aus ist in systematischer Hinsicht hilfsweise hinzuzufügen, dass in anderen Bereichen des Unionsrechts, in denen sich sekundäre Rechtsakte der Union unmittelbar oder mittelbar mit personenbezogenen Daten befassen, eine ähnliche Struktur keineswegs unüblich ist.
45. Beispielsweise enthält auch die Richtlinie 2002/58/EG über den Schutz der Privatsphäre in der elektronischen Kommunikation(8), die die Richtlinie 95/46 im Bereich der elektronischen Kommunikation ergänzt, keine Weitergabepflicht. Der Gerichtshof hat im Urteil Promusicae klargestellt, dass die erstgenannte Richtlinie die Mitgliedstaaten weder hindere noch zwinge, eine Pflicht zur Weitergabe personenbezogener Daten im Rahmen eines zivilrechtlichen Verfahrens vorzusehen(9). Die Entscheidung hierüber liegt also beim Mitgliedstaat und ist keine zwangsläufige Folge des Unionsrechts.
46. Auf dieser Linie hat der Gerichtshof entschieden, dass auch andere Richtlinien(10), die personenbezogene Daten betreffen, jedoch hauptsächlich die Gewährleistung eines effektiven Schutzes des Urheberrechts in der Informationsgesellschaft(11) bezwecken, den Mitgliedstaaten nicht gebieten, im Hinblick auf einen effektiven Schutz des Urheberrechts eine Pflicht zur Mitteilung personenbezogener Daten im Rahmen eines zivilrechtlichen Verfahrens vorzusehen(12).
B. Möglichkeit der Weitergabe
47. Nach Angaben des vorlegenden Gerichts hat Rīgas satiksme tatsächlich einige personenbezogene Daten erhalten, nämlich den Vor- und Nachnamen der betroffenen Person. Im Übrigen wurde sein Ersuchen abgelehnt. Dies ist vermutlich aufgrund nationalen Rechts geschehen.
48. Daher ist mit Blick auf die tatsächlich weitergegebenen personenbezogenen Daten die Frage von Bedeutung, ob diese Weitergabe mit Art. 7 der Richtlinie vereinbar war.
49. Hier ist jedoch deutlich hervorzuheben, dass der folgende Teil der vorliegenden Schlussanträge sich auf die Möglichkeit der Weitergabe personenbezogener Daten in einer Situation wie der des Ausgangsverfahrens bezieht, und zwar unter der Bedingung, dass das nationale Recht die Grundlage für eine solche Weitergabe vorsieht. Mit anderen Worten kann gefragt werden: Welche Grenzen setzt das Unionsrecht der Weitergabe personenbezogener Daten in einer solchen Situation? Wäre, sofern das nationale Recht die Weitergabe personenbezogener Daten in einer ähnlichen Situation vorsähe, eine solche Weitergabe mit Art. 7 Buchst. f der Richtlinie vereinbar?
50. Meines Erachtens ist es in einer Situation wie der des Ausgangsverfahrens uneingeschränkt mit Art. 7 Buchst. f vereinbar, personenbezogene Daten in dem Maß und Umfang bereitzustellen, der es einem Geschädigten ermöglicht, eine Zivilklage zu erheben.
51. In diesem Abschnitt untersuche ich daher zunächst, was bei einem vergleichbaren Sachverhalt nach der Richtlinie die geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist. Danach schlage ich zweitens die Voraussetzungen für die Anwendung von Art. 7 Buchst. f der Richtlinie vor. Als Drittes nehme ich eine Würdigung des vorliegenden Falles anhand dieser Voraussetzungen vor.
1. Geeignete Rechtsgrundlage in Art. 7 der Richtlinie
52. Eine sowohl in den schriftlichen Erklärungen als auch in den mündlichen Ausführungen erörterte Vorfrage ist die, welcher Unterabsatz von Art. 7 der Richtlinie auf einen Sachverhalt wie den des Ausgangsverfahrens anwendbar ist.
53. Die meisten Parteien und Streithelfer stützten sich auf den vom vorlegenden Gericht herangezogenen Art. 7 Buchst. f. Die österreichische Regierung hat in ihren schriftlichen Erklärungen jedoch geltend gemacht, Art. 7 Buchst. f der Richtlinie sei auch für die Zwecke der Erhebung einer Zivilklage nicht die richtige Rechtsgrundlage. Dem sei so, weil diese Bestimmung eine zu abstrakt und unbestimmt gefasste Grundlage für die Datenverarbeitung bilde. Sie könne daher keinen derartigen Eingriff in das Recht auf Datenschutz rechtfertigen.
54. Die Kommission hat sich in ihren schriftlichen Erklärungen auf Art. 7 Buchst. f konzentriert. Bei ihren mündlichen Ausführungen hat sie allerdings zusätzlich darauf hingewiesen, dass eine Datenverarbeitung wie die im Ausgangsverfahren in Rede stehende auch unter Art. 7 Buchst. c oder Art. 7 Buchst. e der Richtlinie fallen könne.
55. Art. 7 der Richtlinie sieht verschiedene Rechtsgrundlagen für eine rechtmäßige Datenverarbeitung vor, wobei sechs Szenarien unterschieden werden. Damit solche Daten verarbeitet werden dürfen, müssen sie unter mindestens eine der in Art. 7 genannten Kategorien fallen. Allerdings ist klar, dass sich diese Bestimmungen nach Anwendungsbereich und Zweck unterscheiden.
56. Verallgemeinernd gesagt enthält Art. 7 drei Arten von Ausnahmen, nach denen die Verarbeitung personenbezogener Daten rechtmäßig ist: Erstens, wenn die betroffene Person ihre Einwilligung erteilt hat (Art. 7 Buchst. a), zweitens, wenn das Vorliegen eines berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten in gewissem Umfang vermutet wird (Art. 7 Buchst. b bis e), und drittens, wenn die konkurrierenden berechtigten Interessen nicht nur nachgewiesen werden, sondern auch schwerer wiegen müssen als die Interessen oder Rechte und Freiheiten der betroffenen Person (Art. 7 Buchst. f).
57. Somit ist der Anwendungsbereich von Art. 7 Buchst. f zugegebenermaßen größer als der von Art. 7 Buchst. c oder Art. 7 Buchst. e. Art. 7 Buchst. f knüpft nicht an konkrete rechtliche oder tatsächliche Umstände an, sondern ist begrifflich ziemlich allgemein gefasst. Gleichwohl unterliegt seine Anwendung strengeren Voraussetzungen, da sie das tatsächliche Vorliegen eines berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten voraussetzt, das schwerer wiegt, als das Interesse der betroffenen Person, was bei Art. 7 Buchst. c oder Art. 7 Buchst. e nicht erforderlich ist.
58. Jenseits akademischer Betrachtungen sind hier jedoch zwei Punkte hervorhebenswert. Erstens schließen sich die Ausnahmen des Art. 7 nicht gegenseitig aus. Somit können auf einen Sachverhalt zwei oder möglicherweise sogar alle drei Ausnahmen anwendbar sein(13). Zweitens dürfte der praktische Unterschied in der Anwendung trotz des leicht abweichenden Wortlauts, vorausgesetzt, es liegt ein klar benanntes und glaubhaftes berechtigtes Interesse vor, eher gering sein.
59. Vor dem Hintergrund dieser Vorbehalte, deren Beurteilung jedoch dem nationalen Gericht – das ja umfassende Kenntnis des dem Fall zugrunde liegenden und in seiner Frage dargestellten Sachverhalts und nationalen Rechts hat und das auf Art. 7 Buchst. f der Richtlinie als hier einschlägige Ausnahme abstellt – überlassen bleibt, sollte der Gerichtshof seine Prüfung fortsetzen.
2. Bedingungen und Anwendungsbereich des Art. 7 Buchst. f der Richtlinie
60. Art. 7 Buchst. f enthält zwei kumulative Bedingungen. Beide müssen erfüllt sein, damit die Verarbeitung personenbezogener Daten rechtmäßig ist: Erstens muss die Verarbeitung zur Verwirklichung des berechtigten Interesses erforderlich sein, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten, dem bzw. denen Daten weitergegeben werden, wahrgenommen wird. Zweitens muss dieses Interesse schwerer wiegen als die Grundrechte und Grundfreiheiten der betroffenen Person(14).
61. Die zweite Bedingung zielt auf die Abwägung der beteiligten Interessen ab. Zu didaktischen Zwecken kann die erste Bedingung in zwei Unterbedingungen unterteilt werden: das berechtigte Interesse als solches auf der einen und die Erforderlichkeit der Verarbeitung, d. h. eine Art Verhältnismäßigkeit, auf der anderen Seite.
62. Für die Zwecke von Art. 7 Buchst. f müssen also drei Merkmale erfüllt sein: a) das Vorliegen eines berechtigten, die Verarbeitung rechtfertigenden Interesses; b) der Vorrang dieses Interesses gegenüber den Rechten und Interessen der betroffenen Person (Interessenabwägung) und c) die Erforderlichkeit der Verarbeitung zur Verwirklichung des berechtigten Interesses.
a) Berechtigtes Interesse
63. Eine Verarbeitung nach Art. 7 Buchst. f der Richtlinie ist zunächst bedingt durch das Vorliegen eines berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten.
64. Die Richtlinie legt nicht fest, was unter einem berechtigten Interesse zu verstehen ist(15). Daher ist es Sache des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, festzustellen, ob es ein berechtigtes Interesse gibt, das einen Eingriff in die Privatsphäre rechtfertigen könnte, wobei diese Feststellung unter der Aufsicht der nationalen Gerichte geschieht.
65. Der Gerichtshof hat bereits entschieden, dass Transparenz(16) oder der Schutz des Eigentums, der Gesundheit und des Lebens seiner Familie(17) berechtigte Interessen sind. Der Begriff des berechtigten Interesses ist hinreichend dehnbar, um auch Belange anderer Art abdecken zu können. Ich habe keine Zweifel daran, dass das Interesse eines Dritten an der Erlangung personenbezogener Daten einer Person, die sein Eigentum verletzt hat, um diese Person auf Schadensersatz verklagen zu können, als ein berechtigtes Interesse eingestuft werden kann.
b) Interessenabwägung
66. Die zweite Bedingung betrifft die Abwägung zweier widerstreitender Interessen, nämlich die Interessen und Rechte der betroffenen Person(18) und die Interessen des für die Verarbeitung Verantwortlichen oder Dritter. Das Abwägungserfordernis folgt ersichtlich aus Art. 7 Buchst. f und der Entstehungsgeschichte der Richtlinie. Nach ihrem Art. 7 Buchst. f sind die berechtigten Interessen der betroffenen Person gegen die berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten abzuwägen. Die Entstehungsgeschichte belegt, dass die Interessenabwägung in leicht abgewandelter Form bereits im ursprünglichen Kommissionsvorschlag(19) sowie nach erster Lesung des Europäischen Parlaments auch im geänderten Vorschlag(20) vorgesehen war.
67. Der Gerichtshof hat entschieden, dass die Anwendung von Art. 7 Buchst. f eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erfordere. Dabei sei die Bedeutung der sich aus den Art. 7 und 8 der Charta ergebenden Rechte der betroffenen Person zu berücksichtigen(21). Bei dieser Abwägung sei von den konkreten Umständen des Einzelfalls auszugehen(22).
68. Die Abwägung ist der Schlüssel zur korrekten Anwendung von Art. 7 Buchst. f. Genau dieser Vorgang unterscheidet Art. 7 Buchst. f grundlegend von den übrigen Bestimmungen des Art. 7. Er hängt stets von den konkreten Umständen des Einzelfalls ab. Aus diesen Gründen hat der Gerichtshof betont, dass die Mitgliedstaaten das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen nicht für bestimmte Kategorien personenbezogener Daten abschließend vorschreiben können, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt(23).
69. Um die Abwägung sinnvoll durchzuführen, müssen insbesondere die Art und Sensibilität der erbetenen Daten, der Grad ihrer öffentlichen Zugänglichkeit(24) und die Schwere des begangenen Gesetzesverstoßes angemessene Berücksichtigung finden. Einer der im Rahmen der Abwägung möglicherweise zu gewichtenden Umstände, der im vorliegenden Fall von Bedeutung ist, ist das Alter der betroffenen Person.
c) Erforderlichkeit
70. Zur Erforderlichkeit und damit gewissermaßen zur elementaren Verhältnismäßigkeit hat der Gerichtshof ganz allgemein entschieden, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen(25). Daher dürfen Art und Menge der Daten, die verarbeitet werden dürfen, nicht über das hinausgehen, was zur Verwirklichung der in Rede stehenden berechtigten Interessen erforderlich ist.
71. Die Verhältnismäßigkeitsprüfung ist eine Würdigung des Verhältnisses zwischen Zwecken und gewählten Mitteln. Die gewählten Mittel dürfen nicht über das Erforderliche hinausgehen. Dieser Gedanke gilt jedoch auch umgekehrt: Die Mittel müssen geeignet sein, den angegebenen Zweck zu erreichen.
72. Praktisch gesehen hat der für die Verarbeitung Verantwortliche, der die Erforderlichkeit zu beurteilen hat, zwei Möglichkeiten. Entweder sieht er davon ab, überhaupt Daten weiterzugeben, oder er muss dann, wenn er sich für eine Verarbeitung der betreffenden Daten entscheidet, alle Daten weitergeben, die zur Verwirklichung der betreffenden berechtigten Interessen erforderlich sind(26).
73. Erstens schreiben Art. 6 Abs. 1 Buchst. c und der 28. Erwägungsgrund der Richtlinie vor, dass personenbezogene Daten den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen(27). Aus diesen Bestimmungen folgt also, dass die weitergegebenen Daten für die Verwirklichung der berechtigten Interessen zweckentsprechend und erheblich sein müssen.
74. Zweitens gebietet der gesunde Menschenverstand bezogen auf die Daten, die tatsächlich verarbeitet werden sollen, eine vernünftige Heran- und Vorgehensweise. Um Auskunft ersuchenden Personen sollten daher durchaus verwertbare und relevante Daten, die für die Verwirklichung ihres eigenen berechtigten Interesses erforderlich und ausreichend sind, bereitgestellt werden, ohne dass an eine andere Stelle, die eventuell ebenfalls im Besitz der betreffenden Informationen ist, ein Ersuchen weitergeleitet werden muss.
75. Metaphorisch ausgedrückt darf die Anwendung des Kriteriums der Erforderlichkeit die Verwirklichung eines berechtigten Interesses nicht zu einer kafkaesken Schatzsuche werden lassen, die stark an eine Folge von Fort Boyard erinnert, in der die Teilnehmer von einem Raum zum nächsten geschickt werden, um jeweils einzelne Hinweise aufzunehmen, die ihnen dabei helfen sollen herauszufinden, wo sie weiter vorankommen.
76. Schließlich ist nochmals darauf hinzuweisen, dass die Frage danach, in welchem Umfang genau Daten weitergegeben werden dürfen, vom einzelstaatlichen Recht zu beantworten ist. Zugegebenermaßen könnte auch das einzelstaatliche Recht eine solche nur teilweise Weitergabe von Informationen vorsehen, die für sich genommen unzureichend wäre. Das ist tatsächlich möglich. Die Tatsache, dass die nationalen Rechtsvorschriften möglicherweise praktisch wenig hilfreich sind, macht sie nicht automatisch mit Unionsrecht unvereinbar, sofern sie sich im Rahmen der den Mitgliedstaaten zustehenden Rechtssetzungskompetenz halten. Hier soll allerdings nur zum Ausdruck gebracht werden, dass Art. 7 Buchst. f der Richtlinie einer vollständigen Weitergabe aller erforderlichen Informationen, die für die effektive Verwirklichung des berechtigten Interesses einer Person benötigt werden, nicht entgegensteht, solange die sonstigen Bedingungen erfüllt sind.
3. Anwendung auf den vorliegenden Fall
77. Nachdem ich den Prüfungsrahmen in seiner Gänze abgesteckt habe, wende ich mich nun mit dem Vorbehalt, dass es – angesichts seiner genauen Kenntnis des Sachverhalts und des nationalen Rechts – letztlich natürlich Sache des nationalen Gerichts ist, eine Entscheidung zu treffen, dem vorliegenden Fall zu.
78. Rīgas satiksme hatte die Polizei darum ersucht, die Anschrift und die persönliche Kennziffer des Taxifahrgasts mitzuteilen, um Zivilklage mit dem Ziel der Erlangung von Schadensersatz für den entstandenen Schaden erheben zu können.
79. Zunächst einmal stellt die Geltendmachung eines rechtlichen Anspruchs wie im Ausgangsverfahren ein berechtigtes Interesse im Sinne des Art. 7 Buchst. f dar, wie die tschechische, die spanische und die portugiesische Regierung zutreffend vorgetragen haben.
80. Dies wird auch durch Art. 8 Abs. 2 Buchst. e der Richtlinie bestätigt, der die Möglichkeit der Verarbeitung bestimmter sensibler Daten vorsieht, wenn „die Verarbeitung … zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich [ist]“. Wenn die Geltendmachung eines rechtlichen Anspruchs die Verarbeitung sensibler Daten nach Art. 8 rechtfertigen kann, ist für mich nicht ersichtlich, warum dieses Anliegen nicht erst recht als ein berechtigtes Interesse angesehen werden können sollte, das die Verarbeitung nicht sensibler Daten nach Art. 7 Buchst. f rechtfertigt. Diese Auslegung ergibt sich auch aus einem an der Pragmatik orientierten Verständnis der Richtlinie im Licht der anderen (oben erwähnten) sekundären Rechtsakte, die einen Ausgleich zwischen der Privatsphäre und einem wirksamen Rechtsschutz anstreben(28).
81. Zweitens sehe ich mit Blick auf die Interessensabwägung ganz allgemein keinen Grund, warum die Interessen oder die Grundrechte der betroffenen Person das konkrete berechtigte Interesse des Geschädigten an der Erhebung einer Zivilklage überwiegen sollten. In diesem Zusammenhang darf ergänzt werden, dass Rīgas satiksme lediglich darum ersucht, ihr die Einleitung eines rechtlichen Verfahrens vor einem Zivilgericht zu ermöglichen. Die Datenweitergabe selbst würde die Rechtslage der betroffenen Person also keineswegs unmittelbar verändern.
82. Allerdings ist an dieser Stelle der Abwägung, wie zu Recht von der portugiesischen Regierung vorgetragen wird, insbesondere das Alter der betroffenen Person zu berücksichtigen.
83. Das vorlegende Gericht fragt auch tatsächlich danach, inwieweit die Tatsache erheblich ist, dass der Taxifahrgast zum Unfallzeitpunkt minderjährig war. Meines Erachtens ist sie nach den konkreten Umständen dieses Falles nicht erheblich.
84. Ganz allgemein ist die Minderjährigkeit der betroffenen Person ein Umstand, der bei der Interessensabwägung berücksichtigt werden sollte. Allerdings sollten die besonderen im Zusammenhang mit Minderjährigen anzustellenden Überlegungen und der verstärkte Schutz von Minderjährigen in erkennbarem Zusammenhang mit der Art der in Rede stehenden Datenverarbeitung stehen. Sofern nicht genau dargelegt und nachgewiesen wird, wie die Weitergabe von Daten in diesem konkreten Fall zum Beispiel die körperliche oder geistige Entwicklung eines Kindes gefährden könnte, kann ich nicht erkennen, warum der Umstand, dass der Schaden von einem Minderjährigen verursacht wurde, dazu führen sollte, tatsächlich von einer zivilrechtlichen Haftung verschont zu bleiben.
85. Ein letzter Punkt: Sollte die Interessensabwägung zu dem Ergebnis führen, dass die Interessen der betroffenen Person die Interessen der um Weitergabe personenbezogener Daten ersuchenden Person nicht überwiegen, stellt sich eine abschließende Frage: Ist die Datenweitergabe erforderlich und, wenn ja, in welchem Umfang?
86. Wiederum ist es Sache des vorlegenden Gerichts, im nationalen Recht die Rechtsgrundlage ausfindig zu machen, auf die eine solche Weitergabe gestützt werden kann. Ist eine solche Grundlage ermittelt, steht das in Art. 7 Buchst. f der Richtlinie niedergelegte Kriterium der „Erforderlichkeit“ der vollständigen Weitergabe aller Informationen, die nach lettischem Recht für die Erhebung einer Zivilklage benötigt werden, meines Erachtens nicht entgegen.
87. Die lettische Regierung hat vorgetragen, der Schutz des Grundrechts auf Privatsphäre erfordere es nach ständiger Rechtsprechung, Einschränkungen des Schutzes personenbezogener Daten auf das absolut Notwendige zu begrenzen. Obwohl sie anerkannt hat, dass zur Erlangung weiterer Daten alternative Methoden zur Verfügung standen, hat sie eingeräumt, dass die Weitergabe des Vor- und Nachnamens eventuell nicht ausreichen würde, um einen rechtlichen Anspruch geltend machen zu können, weshalb sie die Würdigung dem nationalen Gericht überließ.
88. Es ist darauf hinzuweisen, dass Art. 8 Abs. 7 der Richtlinie den Mitgliedstaaten bei der Entscheidung, ob persönliche Kennziffern weitergegeben werden, Ermessen einräumt. Mitgliedstaaten sollen daher nicht zur Verarbeitung von persönlichen Kennziffern verpflichtet sein, es sei denn, dies ist für die Erhebung einer Zivilklage absolut notwendig.
89. Unabhängig von der konkreten Art der Daten kommt es auf den Besitz aller erheblichen Daten an, die für die Geltendmachung eines rechtlichen Anspruchs unerlässlich sind. Wenn also nach nationalem Recht die Wohnanschrift ausreicht, sollten keine weiteren Informationen weitergegeben werden.
90. Es ist Sache des nationalen Gerichts, den Umfang der personenbezogenen Daten zu bestimmen, die Rīgas satiksme benötigt, um tatsächlich eine Klage(29) nach lettischem Recht erheben zu können. Ich möchte lediglich betonen, dass, wie bereits in den Nrn. 74 und 75 der vorliegenden Schlussanträge ausgeführt worden ist, das Bestehen von Alternativen bei der Erlangung der erforderlichen personenbezogenen Daten für die Anwendung des Art. 7 Buchst. f nicht erheblich ist. Rīgas satiksme sollte in die Lage versetzt werden, alle erforderlichen Informationen von dem einen für die Verarbeitung Verantwortlichen zu erhalten, an den sie ihr Ersuchen gerichtet hatte.
C. Nachwort zum Datenschutz
91. Vorliegend handelt es sich um einen etwas sonderbaren Fall. Das vorlegende Gericht fragt im Kern, ob eine Ausnahme, die die Verarbeitung personenbezogener Daten gestattet, als eine den für die Verarbeitung Verantwortlichen treffende Pflicht ausgelegt werden kann, die Identität einer Person preiszugeben, die einen Autounfall verursacht hat. Man hat hier den Eindruck, dass der eigentliche Grund, diese Frage zu stellen, darin besteht, dass der Zugang zu diesen Informationen auf der nationalen Ebene im Namen des Datenschutzes erschwert, wenn nicht sogar vollständig versperrt ist.
92. Wenn man die Abfolge der hier maßgeblichen Ereignisse betrachtet, könnte ein uninformierter Betrachter unbefangen die folgende Frage stellen: Sollte ein individuelles Ersuchen um Offenlegung der Identität einer Person, die das Eigentum des Ersuchenden verletzt hat und die dieser auf Schadensersatz verklagen möchte, tatsächlich ein Fall sein, in dem die Polizeibeamten die Pflicht trifft, eine mehrstufige Interessenabwägung und Verhältnismäßigkeitsprüfung vorzunehmen, gefolgt von einem sich hinziehenden Rechtsstreit und einer Stellungnahme der nationalen Datenschutzbehörde?
93. Der vorliegende Fall ist erneut eine Begebenheit(30), bei der die Datenschutzvorschriften unter ziemlich überraschenden Umständen relevant werden und Anwendung finden. Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften. Ich ergreife diese Gelegenheit zu einigen Schlussbemerkungen hierzu.
94. Es besteht kein Zweifel daran, dass dem Schutz personenbezogener Daten im digitalen Zeitalter eine elementare Bedeutung zukommt. Der Gerichtshof hat an der Entwicklung der Rechtsprechung in diesem Bereich führend mitgewirkt(31), und dies zu Recht.
95. Jedoch spiegeln die zitierten Fälle wahrhaftig das Hauptanliegen des Schutzes personenbezogener Daten wider, für die der Datenschutz ursprünglich eingeführt worden ist und weswegen er energisch verteidigt werden muss: Die groß angelegte Verarbeitung personenbezogener Daten mit mechanisierten, digitalen Mitteln, und zwar in allen ihren Erscheinungsformen, wie etwa das Erheben, Verwalten, und Verwenden großer Datensätze, der Weitergabe von Datensätzen zu anderen als legitimen Zwecken, das Zusammenstellen und Abgreifen von Metadaten und so weiter.
96. Wie auf jedem anderen Rechtsgebiet müssen die bestimmte Tätigkeiten regelnden Vorschriften ausreichend flexibel sein, um alle möglichen Eventualitäten zu erfassen. Dies birgt jedoch die Gefahr einer übermäßig weiten Auslegung und Anwendung dieser Vorschriften. Sie könnten schließlich auch in Situationen zur Anwendung kommen, in denen der Bezug zum ursprünglichen Zweck schwach ausgeprägt und fraglich ist. Letztendlich könnten die überaus großzügige Anwendung und ein gewisser „Anwendungsabsolutismus“ auch den Ursprungsgedanken in Misskredit bringen, der als solcher sehr wichtig und berechtigt war.
97. Verallgemeinernd gesagt hat der Gerichtshof im Urteil Promusicae auf der Notwendigkeit bestanden, die sich mit personenbezogenen Daten befassenden Richtlinien so auszulegen, dass ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Unionsrechtsordnung geschützten Grundrechten sichergestellt ist(32).
98. Dem könnte ein gewisser Vernunftmaßstab zugesellt werden, der im Rahmen des Abwägungsvorgangs herangezogen werden sollte. Dies würde heißen, den ursprünglichen und primären (also den keineswegs einzigen, aber doch den primären) Zweck der Rechtsvorschriften im Blick zu behalten: größer angelegte Maßnahmen, die mit mechanisierten und automatisierten Mitteln ausgeführt werden, sowie die Verwendung und Übertragung von hieraus gewonnenen Daten. Im Gegensatz hierzu ist in Situationen, in denen jemand um eine einzelne Information betreffend eine bestimmte Person ersucht, zu der eine konkretisierte Beziehung besteht, meines Erachtens ein viel behutsameres Vorgehen angezeigt, wenn sich aus der normalen Rechtsanwendung ein klarer und absolut legitimer Zweck ergibt.
99. Im Ergebnis ist der gesunde Menschenverstand keine Rechtsquelle. Gewiss aber sollte ihm bei der Auslegung des Rechts eine Leitfunktion zukommen. Es wäre ein höchst bedauerliches Ergebnis, sollte sich der Schutz personenbezogener Daten zu einer mit solchen Daten herbeigeführten Behinderung verwandeln.
V. Ergebnis
100. Aufgrund der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die Vorlagefrage der Augstākā tiesa, Administratīvo lietu departaments (Oberster Gerichtshof, Senat für Verwaltungsstreitsachen, Lettland), wie folgt zu beantworten:
Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist nicht dahin auszulegen, dass durch ihn eine Pflicht des für die Verarbeitung Verantwortlichen zur Weitergabe der personenbezogenen Daten begründet wird, um die ein Dritter ersucht, um eine Zivilklage erheben zu können.
Art. 7 Buchst. f der Richtlinie steht einer solchen Weitergabe jedoch nicht entgegen, wenn das nationale Recht die Weitergabe personenbezogener Daten in Situationen wie der des Ausgangsverfahrens vorsieht. Der Umstand, dass die betroffene Person zum Zeitpunkt des Unfalls minderjährig war, ist in diesem Zusammenhang unerheblich.