URTEIL DES GERICHTSHOFS (Sechste Kammer)
7. März 2024(*)
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 2, 4, 6, 10 und 86 – Daten, die sich im Besitz eines Gerichts befinden, über strafrechtliche Verurteilungen einer natürlichen Person – Mündliche Übermittlung solcher Daten an ein Unternehmen wegen eines von diesem organisierten Wettbewerbs – Begriff ,Verarbeitung personenbezogener Daten‘ – Nationale Vorschriften über den Zugang zu diesen Daten – Ausgleich zwischen dem Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und dem Schutz personenbezogener Daten“
In der Rechtssache C‑740/22
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Itä-Suomen hovioikeus (Berufungsgericht Ostfinnland, Finnland) mit Entscheidung vom 30. November 2022, beim Gerichtshof eingegangen am 2. Dezember 2022, in dem Verfahren
Endemol Shine Finland Oy
erlässt
DER GERICHTSHOF (Sechste Kammer)
unter Mitwirkung des Kammerpräsidenten T. von Danwitz (Berichterstatter) sowie des Richters P. G. Xuereb und der Richterin I. Ziemele,
Generalanwältin: T. Ćapeta,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
– der finnischen Regierung, vertreten durch A. Laine und M. Pere als Bevollmächtigte,
– der portugiesischen Regierung, vertreten durch P. Barros da Costa, J. Ramos und C. Vieira Guerra als Bevollmächtigte,
– der Europäischen Kommission, vertreten durch A. Bouchagiar, H. Kranenborg und I. Söderlund als Bevollmächtigte,
aufgrund des nach Anhörung der Generalanwältin ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 2 und Art. 86 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
2 Es ergeht im Rahmen eines Verfahrens betreffend die Weigerung eines nationalen Gerichts, der Endemol Shine Finland Oy Daten über strafrechtliche Verurteilungen mitzuteilen, die einen Dritten betreffen.
Rechtlicher Rahmen
Unionsrecht
3 In den Erwägungsgründen 4, 10, 11, 15, 19 und 154 der DSGVO heißt es:
„(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta [der Grundrechte der Europäischen Union, im Folgenden: Charta] anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, … Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren …
…
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. In Verbindung mit den allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 1)] gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden,sensible Daten‘). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
…
(15) Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
…
(19) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates [vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89),] unterliegen. Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie (EU) 2016/680 mit Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten für diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung fällt, als sie in den Anwendungsbereich des Unionsrechts fällt.
In Bezug auf die Verarbeitung personenbezogener Daten durch diese Behörden für Zwecke, die in den Anwendungsbereich dieser Verordnung fallen, sollten die Mitgliedstaaten spezifischere Bestimmungen beibehalten oder einführen können, um die Anwendung der Vorschriften dieser Verordnung anzupassen. In den betreffenden Bestimmungen können die Auflagen für die Verarbeitung personenbezogener Daten durch diese zuständigen Behörden für jene anderen Zwecke präziser festgelegt werden, wobei der verfassungsmäßigen, organisatorischen und administrativen Struktur des betreffenden Mitgliedstaats Rechnung zu tragen ist. Soweit diese Verordnung für die Verarbeitung personenbezogener Daten durch private Stellen gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter bestimmten Voraussetzungen mittels Rechtsvorschriften beschränken können, wenn diese Beschränkung in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz bestimmter wichtiger Interessen darstellt, wozu auch die öffentliche Sicherheit und die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung zählen, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Dies ist beispielsweise im Rahmen der Bekämpfung der Geldwäsche oder der Arbeit kriminaltechnischer Labors von Bedeutung.
…
(154) Diese Verordnung ermöglicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten kann als öffentliches Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden, sollten von dieser Behörde oder Stelle öffentlich offengelegt werden können, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist. Diese Rechtsvorschriften sollten den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten in Einklang bringen und können daher die notwendige Übereinstimmung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung regeln. Die Bezugnahme auf Behörden und öffentliche Stellen sollte in diesem Kontext sämtliche Behörden oder sonstigen Stellen beinhalten, die vom Recht des jeweiligen Mitgliedstaats über den Zugang der Öffentlichkeit zu Dokumenten erfasst werden. Die Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates [vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. 2003, L 345, S. 90)] lässt das Schutzniveau für natürliche Personen in Bezug auf die Verarbeitung personenbezogener Daten gemäß den Bestimmungen des Unionsrechts und des Rechts der Mitgliedstaaten unberührt und beeinträchtigt diesen in keiner Weise, und sie bewirkt insbesondere keine Änderung der in dieser Verordnung dargelegten Rechte und Pflichten. Insbesondere sollte die genannte Richtlinie nicht für Dokumente gelten, die nach den Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder nur eingeschränkt zugänglich sind, oder für Teile von Dokumenten, die nach diesen Regelungen zugänglich sind, wenn sie personenbezogene Daten enthalten, bei denen Rechtsvorschriften vorsehen, dass ihre Weiterverwendung nicht mit dem Recht über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist.“
4 Art. 2 DSGVO („Sachlicher Anwendungsbereich“) bestimmt:
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001 [des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1)]. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG [des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (,Richtlinie über den elektronischen Geschäftsverkehr‘) (ABl. 2000, L 178, S. 1)] und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.“
5 Art. 4 („Begriffsbestimmungen“) DSGVO sieht in den Nrn. 1, 2, 6 und 7 vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ,personenbezogene Daten‘ alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden,betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. ,Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
6. ,Dateisystem‘ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. ,Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.
6 In Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO heißt es:
„(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘),
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden … (,Zweckbindung‘);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
d) sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (,Richtigkeit‘);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist … (,Speicherbegrenzung‘);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (,Integrität und Vertraulichkeit‘);
…“
7 Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 bis 3 DSGVO sieht vor:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen,
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“
8 Art. 10 („Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“) DSGVO bestimmt:
„Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.“
9 In Art. 23 („Beschränkungen“) DSGVO heißt es:
„(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
…
f) der Schutz der Unabhängigkeit der Justiz und der Schutz von Gerichtsverfahren;
…“
10 Art. 85 („Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit“) Abs. 1 DSGVO sieht vor:
„Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.“
11 Art. 86 („Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten“) DSGVO bestimmt:
„Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.“
Finnisches Recht
Datenschutzgesetz (1050/2018)
12 Das Tietosuojalaki (1050/2018) (Datenschutzgesetz [1050/2018]) bestimmt in seinem § 1:
„Das vorliegende Gesetz präzisiert und ergänzt die [DSGVO] und ihre innerstaatliche Anwendung.“
13 § 28 dieses Gesetzes lautet:
„Auf das Recht, Daten aus dem Personenregister einer Behörde zu erhalten, und auf eine sonstige Offenlegung personenbezogener Daten aus dem Personenregister einer Behörde werden die Vorschriften über die Öffentlichkeit der Tätigkeit von Behörden angewandt.“
Gesetz über die Öffentlichkeit der Tätigkeit von Behörden (621/1999)
14 § 13 des Laki viranomaisten toiminnan julkisuudesta (621/1999) (Gesetz über die Öffentlichkeit der Tätigkeit von Behörden [621/1999]) sieht vor:
„Ein Antrag auf Erteilung von Informationen über den Inhalt einer Akte ist hinreichend dahin gehend zu konkretisieren, dass die Behörde klären kann, welcher Akte der Antrag gilt. Die Behörde unterstützt denjenigen, der eine Information beantragt, mit Hilfe des Eingangsbuchs und anderer Verzeichnisse bei der Identifizierung der Akte, aus welcher er die Information beantragt. Wer eine Information beantragt, braucht weder seine Identität offenzulegen noch seinen Antrag zu begründen, es sei denn, dies ist für die Ausübung eines der Behörde eingeräumten Ermessens oder zwecks Klärung der Frage, ob der Antragsteller Anspruch auf Information über den Inhalt der Akte hat, notwendig.
Sofern gesondert nicht etwas anderes bestimmt ist, muss der Antragsteller bei der Beantragung von Informationen aus einer geheimhaltungsbedürftigen Akte, dem Personenregister einer Behörde oder einer anderen Akte, aus der Informationen nur unter bestimmten Voraussetzungen erteilt werden dürfen, den Verwendungszweck der Information angeben, die sonstigen Umstände mitteilen, die zur Klärung der Voraussetzung für eine Überlassung der Informationen erforderlich sind, sowie erforderlichenfalls Angaben dazu erteilen, wie der Schutz der Informationen gewährleistet werden soll.“
15 § 16 dieses Gesetzes bestimmt:
„Informationen über den Inhalt einer Akte, die im Besitz einer Behörde ist, werden mündlich erteilt oder dadurch, dass die Akte bei der Behörde zur Einsicht, Abschrift oder Anhörung überlassen wird, beziehungsweise dadurch, dass eine Kopie oder ein Ausdruck davon erteilt wird. Informationen über den öffentlichen Inhalt einer Akte sind in der gewünschten Weise zu erteilen, wenn dies nicht wegen der großen Anzahl der Akten oder der Schwierigkeit des Kopierens oder aus sonstigem damit vergleichbaren Grund für die Amtstätigkeit unzumutbare Beeinträchtigungen mit sich bringt.
…
Aus dem Personenregister einer Behörde dürfen personenbezogene Informationen, sofern im Gesetz etwas anderes nicht gesondert bestimmt ist, in Form einer Kopie oder eines Ausdrucks bzw. in elektronischer Form erteilt werden, wenn der Empfänger nach den Vorschriften zum Schutz personenbezogener Daten berechtigt ist, derartige personenbezogene Informationen zu speichern und zu verwenden. Personenbezogene Daten dürfen zu Zwecken des direkten Marketings oder von Meinungs- oder Marktumfragen nur dann mitgeteilt werden, wenn dies gesondert vorgesehen ist oder die betroffene Person ihre Zustimmung erteilt hat.
…“
Gesetz über die Öffentlichkeit von Gerichtsverfahren vor ordentlichen Gerichten (370/2007)
16 In § 1 des Laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) (Gesetz über die Öffentlichkeit von Gerichtsverfahren vor ordentlichen Gerichten [370/2007]) heißt es:
„Das Gerichtsverfahren und die Gerichtsakten sind öffentlich, sofern in diesem oder einem anderen Gesetz nichts anderes bestimmt ist.“
Gesetz über die Verarbeitung personenbezogener Daten in Strafsachen und im Zusammenhang mit der Aufrechterhaltung der nationalen Sicherheit (1054/2018)
17 § 1 des Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) (Gesetz über die Verarbeitung personenbezogener Daten in Strafsachen und im Zusammenhang mit der Aufrechterhaltung der nationalen Sicherheit [1054/2018]) sieht in seinem Abs. 1 vor, dass dieses Gesetz bei der Verarbeitung personenbezogener Daten durch zuständige Behörden angewandt wird, wenn es sich u. a. um ein Strafverfahren vor einem Gericht handelt. Gemäß seinem Abs. 4 findet dieses Gesetz nur auf eine solche Verarbeitung personenbezogener Daten im Sinne von Abs. 1 Anwendung, die ganz oder teilweise automatisiert erfolgt oder bei der die zu verarbeitenden Daten ein Register bzw. den Teil eines Registers bilden oder zu bilden bestimmt sind.
18 In § 2 Abs. 2 dieses Gesetzes heißt es:
„Auf das Recht, Daten aus dem Personenregister einer Behörde zu erhalten, und auf eine sonstige Offenlegung personenbezogener Daten aus dem Personenregister einer Behörde werden die Vorschriften über die Öffentlichkeit der Tätigkeit von Behörden angewandt.“
Ausgangsrechtsstreit und Vorlagefragen
19 Endemol Shine Finland, die Klägerin des Ausgangsverfahrens, beantragte beim Etelä-Savon käräjäoikeus (Gericht erster Instanz Süd-Savo, Finnland) mündlich Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person, die an einem von diesem Unternehmen organisierten Wettbewerb teilnahm, um die strafrechtliche Vorgeschichte dieser Person festzustellen.
20 Das Etelä-Savon käräjäoikeus (Gericht erster Instanz Süd-Savo) wies diesen Antrag der Klägerin des Ausgangsverfahrens zurück, auch wenn es der Ansicht war, dass er Entscheidungen oder öffentliche Informationen im Sinne des Gesetzes über die Öffentlichkeit von Gerichtsverfahren vor ordentlichen Gerichten betreffe. Bei dem von der Klägerin des Ausgangsverfahrens angegebenen Grund handele es sich nicht um einen in § 7 des Datenschutzgesetzes genannten Grund für eine Verarbeitung in Bezug auf strafrechtliche Verurteilungen oder Straftaten. Ein Suchlauf in den Informationssystemen dieses Gerichts hätte ebenfalls eine Verarbeitung personenbezogener Daten dargestellt, weshalb die beantragten Informationen auch mündlich nicht hätten mitgeteilt werden können.
21 Die Klägerin des Ausgangsverfahrens legte gegen dieses Urteil beim Itä-Suomen hovioikeus (Berufungsgericht Ostfinnland, Finnland), dem vorlegenden Gericht, Berufung ein und machte geltend, dass die mündliche Mitteilung der angefragten Informationen keine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO darstelle.
22 Das vorlegende Gericht stellt sich die Frage, ob Art. 2 Abs. 1 und Art. 4 Nr. 2 der DSGVO dahin auszulegen sind, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne der Verordnung darstellt. Hierzu stellt das vorlegende Gericht fest, dass die Verarbeitung personenbezogener Daten durch finnische Behörden durch das Datenschutzgesetz geregelt werde. Gleichwohl seien die mit der Verarbeitung solcher Daten üblicherweise einhergehenden Beschränkungen wegen des öffentlichen Charakters behördlicher Daten nicht anwendbar, aber auch wegen § 28 dieses Gesetzes und § 2 Abs. 2 des Gesetzes über die Verarbeitung personenbezogener Daten in Strafsachen und im Zusammenhang mit der Aufrechterhaltung der nationalen Sicherheit (1054/2018).
23 Um den Schutz personenbezogener Daten mit dem Recht der Öffentlichkeit auf Zugang zu Informationen in Einklang zu bringen, werde in § 16 des Gesetzes über die Öffentlichkeit der Tätigkeit von Behörden (621/1999) die Erteilung personenbezogener Daten aus dem Personenregister einer Behörde in Form einer Kopie oder eines Ausdrucks bzw. in elektronischer Form beschränkt. Da dieser Paragraf aber auf eine mündliche Übermittlung personenbezogener Daten aus dem Personenregister einer Behörde keine Anwendung finde, müsse geklärt werden, wie dies miteinander in Einklang gebracht werden könne und wie wichtige, mit dem Schutz personenbezogener Daten einhergehende Aspekte zu berücksichtigen seien, wenn solche Daten, die sich im Personenregister einer Behörde befänden, mündlich übermittelt würden.
24 Vor diesem Hintergrund hat das Itä-Suomen hovioikeus (Berufungsgericht Ostfinnland) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Stellt eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten im Sinne von Art. 2 Abs. 1 und Art. 4 Nr. 2 DSGVO dar?
2. Kann der Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten in der von Art. 86 DSGVO genannten Weise dadurch in Einklang gebracht werden, dass aus dem Personenregister eines Gerichts unbeschränkt Informationen über strafrechtliche Verurteilungen oder Straftaten einer natürlichen Person erhältlich sind, wenn beantragt wird, dem Antragsteller die Informationen mündlich zu übermitteln?
3. Ist für die Antwort auf Frage 2 von Bedeutung, ob es sich bei dem Antragsteller um ein Unternehmen oder um eine Privatperson handelt?
Zu den Vorlagefragen
Zur ersten Frage
25 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 2 Abs. 1 und Art. 4 Nr. 2 DSGVO dahin auszulegen sind, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 dieser Verordnung darstellt und, wenn ja, ob diese Verarbeitung in den sachlichen Anwendungsbereich dieser Verordnung fällt, wie er in ihrem Art. 2 Abs. 1 definiert wird.
26 Zunächst ist zum einen darauf hinzuweisen, dass nach ständiger Rechtsprechung bei der Auslegung dieser Vorschriften des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehören, verfolgt werden (Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn. 29).
27 Zum anderen ist hervorzuheben, dass im Ausgangsrechtsstreit nicht bestritten wird, dass die Informationen, deren Erteilung die Klägerin des Ausgangsverfahrens begehrt, personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen.
28 Art. 4 Nr. 2 DSGVO definiert den Begriff „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“.
29 Insbesondere aus dem Ausdruck „jeder Vorgang“ ergibt sich, dass der Unionsgesetzgeber den Begriff „Verarbeitung“ weit fassen wollte, was dadurch bestätigt wird, dass die Aufzählung der Vorgänge in der genannten Bestimmung nicht abschließend ist, was durch die Wendung „wie“ zum Ausdruck kommt (vgl. in diesem Sinne Urteile vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 35, und vom 22. Juni 2023, Pankki S, C‑579/21, EU:C:2023:501, Rn. 46).
30 Diese Aufzählung erfasst u. a. die Offenlegung durch Übermittlung, die Verbreitung und „[jede] andere Form der Bereitstellung“, wobei diese Vorgänge automatisiert oder nicht automatisiert erfolgen können. Art. 4 Nr. 2 DSGVO stellt insoweit keine Bedingungen für die Form der „nicht automatisierten“ Verarbeitung auf. Der Begriff „Verarbeitung“ deckt daher die mündliche Übermittlung ab.
31 Diese Auslegung des Begriffs „Verarbeitung“ wird durch das Ziel der DSGVO bestätigt, die, wie sich aus ihrem Art. 1 sowie ihren Erwägungsgründen 1 und 10 ergibt, insbesondere bezweckt, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 64). Die Möglichkeit, die Anwendung dieser Verordnung dadurch zu umgehen, dass personenbezogene Daten mündlich statt schriftlich übermittelt werden, liefe diesem Ziel nämlich offensichtlich zuwider.
32 Daher erfasst der Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO zwangsläufig die mündliche Übermittlung personenbezogener Daten.
33 Allerdings stellt sich noch die Frage, ob eine solche Verarbeitung in den sachlichen Anwendungsbereich der DSGVO fällt. Art. 2 dieser Verordnung, in dem dieser Anwendungsbereich definiert wird, bestimmt in Abs. 1, dass diese Richtlinie für die „ganz oder teilweise automatisierte“ Verarbeitung personenbezogener Daten sowie für die „nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen“, gilt.
34 Dieser letztgenannten Bestimmung sowie dem 15. Erwägungsgrund der DSGVO ist zu entnehmen, dass diese Verordnung genauso für die automatisierte wie für die manuelle Verarbeitung personenbezogener Daten gilt, damit der Schutz, den diese Verordnung den von der Datenverarbeitung betroffenen Personen verleiht, nicht von den verwendeten Techniken abhängt und nicht ernsthaft Gefahr läuft, umgangen zu werden. Allerdings geht daraus ebenfalls hervor, dass diese Verordnung für manuelle Verarbeitungen personenbezogener Daten nur dann gilt, wenn die verarbeiteten Daten „in einer Datei gespeichert sind oder gespeichert werden sollen“ (vgl. entsprechend Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 53).
35 Da die mündliche Übermittlung als solche eine nicht automatisierte Verarbeitung darstellt, ist somit erforderlich, dass die Daten, die Gegenstand dieser Verarbeitung sind, in einem „Dateisystem“ „gespeichert“ sind oder „gespeichert werden sollen“, damit diese Verarbeitung in den sachlichen Anwendungsbereich der DSGVO fällt.
36 Was den Begriff „Dateisystem“ betrifft, bestimmt Art. 4 Nr. 6 DSGVO, dass er „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“, erfasst.
37 Hierzu hat der Gerichtshof bereits entschieden, dass entsprechend dem oben in Rn. 34 genannten Ziel der Begriff „Datei“ in dieser Bestimmung weit definiert wird, insbesondere dadurch, dass „jede“ strukturierte Sammlung personenbezogener Daten einbezogen wird. Darüber hinaus ist mit dem Erfordernis, dass die Sammlung personenbezogener Daten „nach bestimmten Kriterien strukturiert“ sein muss, nur gemeint, dass die Daten über eine bestimmte Person leicht wiederauffindbar sind. Abgesehen von diesem Erfordernis regelt Art. 4 Nr. 6 DSGVO weder die Modalitäten, nach denen eine Datei strukturiert werden muss, noch die Form, die sie aufweisen muss. Insbesondere geht weder aus dieser noch aus irgendeiner anderen Bestimmung dieser Verordnung hervor, dass die in Rede stehenden personenbezogenen Daten in spezifischen Kartotheken oder Verzeichnissen oder einem anderen Recherchesystem enthalten sein müssten, damit das Vorliegen eines Dateisystems im Sinne dieser Richtlinie bejaht werden kann (vgl. entsprechend Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 56 bis 58).
38 Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass die von der Klägerin des Ausgangsverfahren angefragten Daten in einem „Personenregister eines Gerichts“ enthalten sind. Es scheint somit, dass diese Daten in einem Dateisystem im Sinne von Art. 4 Nr. 6 DSGVO enthalten sind, was das vorlegende Gericht allerdings prüfen muss, ohne dass relevant ist, ob diese Daten in elektronischen Datenbanken oder noch in physischen Akten oder Registern enthalten sind.
39 Daher ist auf die erste Frage zu antworten, dass Art. 2 Abs. 1 und Art. 4 Nr. 2 DSGVO dahin auszulegen sind, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 Verordnung darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Zur zweiten und zur dritten Frage
40 Mit seiner zweiten und seiner dritten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob die Bestimmungen der DSGVO, insbesondere ihr Art. 86, dahin auszulegen sind, dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss, und ob die Antwort auf diese Frage anders ausfällt, je nachdem, ob diese Person ein Unternehmen oder eine Privatperson ist.
41 Diese Frage geht auf die im Ausgangsverfahren in Rede stehenden nationalen Vorschriften zurück, da diese nicht die Einhaltung der nationalen datenschutzrechtlichen Vorschriften verlangen, wenn solche Daten mündlich mitgeteilt werden.
42 In diesem Zusammenhang ist zum einen darauf hinzuweisen, dass eine Verordnung gemäß Art. 288 Abs. 2 AEUV in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt. Daher haben Bestimmungen von Verordnungen aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Urteile vom 16. Juni 2022, Port de Bruxelles und Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, Rn. 47, und vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 77).
43 Ein nationales Gericht ist daher gehalten, die Anforderungen der DSGVO insgesamt anzuwenden, auch wenn es im anwendbaren nationalen Recht keine spezifische Bestimmung gibt, die es erlaubt, die Interessen der Person, um deren personenbezogene Daten es geht, zu berücksichtigen (vgl. in diesem Sinne Urteil vom 2. März 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, Rn. 44 und 59).
44 Aus dem Vorstehenden ergibt sich, dass Daten über strafrechtliche Verurteilungen einer natürlichen Person nur dann mündlich mitgeteilt werden dürfen, wenn die von der DSGVO aufgestellten Voraussetzungen erfüllt sind, sofern diese Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
45 In diesem Zusammenhang ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs jede Verarbeitung personenbezogener Daten mit den in Art. 5 DSGVO festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang stehen muss und insbesondere in Anbetracht des in Art. 5 Abs. 1 Buchst. a vorgesehenen Grundsatzes der Rechtmäßigkeit der Verarbeitung eine der in Art. 6 dieser Verordnung aufgeführten Bedingungen für die Rechtmäßigkeit der Verarbeitung zu erfüllen hat (vgl. in diesem Sinne Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 96, sowie vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C‑634/21, EU:C:2023:957, Rn. 67).
46 Insbesondere kann die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, d. h. die mündliche Mitteilung von Daten über strafrechtliche Verurteilungen an die Öffentlichkeit, unter Art. 6 Abs. 1 Buchst. e der DSGVO fallen, wonach die Verarbeitung rechtmäßig ist, wenn und soweit sie „für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“ (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 99).
47 Was darüber hinaus speziell Daten über strafrechtliche Verurteilungen und Straftaten betrifft, unterwirft Art. 10 ihre Verarbeitung zusätzlichen Beschränkungen. Gemäß dieser Bestimmung darf die Verarbeitung dieser Daten „nur unter behördlicher Aufsicht vorgenommen werden“, es sei denn, sie ist „nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig“ (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 100).
48 Der Gerichtshof hat bereits entschieden, dass weder Art. 6 Abs. 1 Buchst. e DSGVO noch Art. 10 dieser Verordnung es allgemein und absolut verbietet, dass eine Behörde durch eine nationale Regelung ermächtigt oder sogar gezwungen wird, personenbezogene Daten an Personen zu übermitteln, die dies beantragen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 103).
49 So steht die DSGVO der Übermittlung personenbezogener Daten an die Öffentlichkeit nicht entgegen, wenn diese Übermittlung im Sinne von Art. 6 Abs. 1 Buchst. e der DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies gilt auch dann, wenn die fraglichen Daten unter Art. 10 DSGVO fallen, sofern die Regelung, die diese Übermittlung gestattet, geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 104).
50 Im vorliegenden Fall geht aus der Vorlageentscheidung sowie den schriftlichen Erklärungen der finnischen Regierung hervor, dass die nationalen Rechtsvorschriften über die Öffentlichkeit der Tätigkeit von Behörden und von Gerichtsverfahren vor ordentlichen Gerichten auf die Erfüllung der im öffentlichen Interesse liegenden Aufgabe abzielen, der Öffentlichkeit Zugang zu amtlichen Dokumenten zu gewähren.
51 Das vorlegende Gericht möchte daher genauer gesagt klären, ob die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten im Hinblick auf den Grundsatz der Verhältnismäßigkeit als rechtmäßig angesehen werden kann, insbesondere im Hinblick auf die Abwägung, die zwischen dem in Art. 86 DSGVO genannten Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und den in den Art. 7 und 8 der Charta verankerten Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vorzunehmen ist.
52 Zu diesem letztgenannten Punkt ist darauf hinzuweisen, dass, wie aus dem vierten Erwägungsgrund der DSGVO hervorgeht, die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten keine uneingeschränkte Geltung beanspruchen, sondern im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden müssen. Somit können Einschränkungen vorgesehen werden, sofern sie gemäß Art. 52 Abs. 1 der Charta gesetzlich vorgesehen sind und den Wesensgehalt der Grundrechte sowie den Grundsatz der Verhältnismäßigkeit wahren. Nach diesem Grundsatz dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Sie müssen sich auf das absolut Notwendige beschränken, und die den Eingriff enthaltende Regelung muss klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 105).
53 Um festzustellen, ob eine Übermittlung personenbezogener Daten über strafrechtliche Verurteilungen an die Öffentlichkeit im Sinne von Art. 6 Abs. 1 Buchst. e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, und ob die Regelung, die eine solche Übermittlung gestattet, geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen im Sinne von Art. 10 dieser Verordnung vorsieht, ist insbesondere zu prüfen, ob diese Übermittlung angesichts der Schwere des durch sie bewirkten Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten im Hinblick auf die Verwirklichung der verfolgten Ziele gerechtfertigt und insbesondere verhältnismäßig ist (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 106).
54 In Bezug auf die Schwere des Eingriffs in diese Rechte hat der Gerichtshof bereits entschieden, dass die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln wegen der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen kann. Da nämlich solche Daten Verhaltensweisen betreffen, die zur Missbilligung durch die Gesellschaft führen, kann die Gewährung eines Zugangs zu solchen Daten die betroffene Person stigmatisieren und damit einen schweren Eingriff in ihr Privat- oder Berufsleben darstellen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 74, 75 und 112).
55 Wie aus dem 154. Erwägungsgrund der DSGVO hervorgeht, stellt zwar der Zugang der Öffentlichkeit zu amtlichen Dokumenten, auf den sich das vorlegende Gericht bezieht, ein öffentliches Interesse dar, das die Übermittlung von in solchen Dokumenten enthaltenen personenbezogenen Daten rechtfertigen kann, doch muss der entsprechende Zugang nichtsdestoweniger mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten in Einklang gebracht werden, wie es im Übrigen in Art. 86 DSGVO ausdrücklich verlangt wird. Angesichts insbesondere der Sensibilität der Daten über strafrechtliche Verurteilungen und der Schwere des Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, der mit der Offenlegung dieser Daten vorgenommen wird, ist indessen davon auszugehen, dass diese Rechte dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vorgehen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 120).
56 Aus demselben Grund kann das in Art. 85 DSGVO verankerte Recht auf Informationsfreiheit nicht dahin ausgelegt werden, dass es die Übermittlung personenbezogener Daten über strafrechtliche Verurteilungen an jede Person rechtfertigt, die sie beantragt (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 121).
57 Es ist insoweit nicht von Belang, ob die Person, die Zugang zu Daten über strafrechtliche Verurteilungen beantragt, ein Unternehmen oder eine Privatperson ist oder ob diese Daten schriftlich oder mündlich mitgeteilt werden.
58 Nach alledem ist auf die zweite und die dritte Frage zu antworten, dass die Bestimmungen der DSGVO, insbesondere ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10, dahin auszulegen sind, dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist.
Kosten
59 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Sechste Kammer) für Recht erkannt:
1. Art. 2 Abs. 1 und Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 der Verordnung darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
2. Die Bestimmungen der Verordnung 2016/679, insbesondere ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10,
sind dahin auszulegen, dass
dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist.
Unterschriften