Skip to content

EuGH-Generalanwalt: Nationale Datenschutzbehörde kann bei DSGVO-Verstoß im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden auch wenn sie nicht federführend zuständig ist

EuGH-Generalanwalt
Schlussanträge vom 13.01.2021
C-645/19
Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden können auch wenn sie nicht federführend zuständig sind.

Die Pressemitteilung des EuGH:

Generalanwalt Bobek: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten

Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren inihren jeweiligen Mitgliedstaaten einzuleiten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, bei in Belgien ansässigen Internetnutzern, wenn sie hierein nicht eingewilligt haben, das Platzieren von bestimmten Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, zu unterlassen sowie die
übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner beantragte die genannte Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) 1 anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte der Hof van beroep te Brussel vom Gerichtshof wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Michal Bobek erstens die Auffassung, dass sich aus dem Wortlaut der DSGVO ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.

In Bezug darauf, dass die DSGVO jeder Datenschutzbehörde die Befugnis verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, führt der Generalanwalt aus, dass diese Befugnis ausdrücklich beschränkt sei, soweit es um grenzüberschreitende Datenverarbeitung gehe, gerade um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Zweitens erinnert der Generalanwalt daran, dass der Grund, weswegen mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden sei, wodurch der federführenden Datenschutzbehörde eine bedeutende Rolle zugewiesen worden sei und zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen worden seien, gerade darin bestanden habe, bestimmten Unzulänglichkeiten abzuhelfen, die sich aus den früheren Rechtsvorschriften ergeben hätten.

Wirtschaftsteilnehmer hätten nämlich die verschiedenennationalen Regelwerke einhalten müssen, mit denen diese Rechtsvorschriften umgesetzt wordenseien, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten müssen. Dies habe sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und für sie und ihre Kunden hätten sich daraus unvermeidlicherweise Unsicherheiten und Konflikte ergeben.

Drittens betont der Generalanwalt, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden könne und im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergäben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten müsse, deren Beiträge auf diesem Gebiet äußerst wichtig seien.

Viertens hebt der Generalanwalt hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei insbesondere möglich, wenn die nationalen Datenschutzbehörden i) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, ii) sie Untersuchungen
zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, iii) bei Dringlichkeit Maßnahmen ergriffen oder iv) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Demnach ist der Generalanwalt der Auffassung, dass die Datenschutzbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist, sofern die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Den Volltext der Schlussanträge finden Sie hier:




DSK: Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.

Die Pressemitteilung des DSK:

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“


Siehe auch zum Thema: Brexit-Deal zwischen EU und Großbritannien liegt als Entwurf vor


Datenschutzkonferenz: Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 unter Berücksichtigung des DSGVO veröffentlicht.


BVerfG: Erfolgloser Eilantrag gegen Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021

BVerfG
Beschluss vom 06.02.2019
1 BvQ 4/19

Das Bundesverfassungsgericht einen Eilantrag gegen die Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021 abgelehnt.

Die Pressemitteilung des Bundesverfassungsgerichts:

Erfolgloser Eilantrag gegen die testweise Datenübermittlung für den Zensus 2021

Mit heute veröffentlichtem Beschluss hat die 2. Kammer des Ersten Senats des Bundesverfassungsgerichts einen Antrag auf Erlass einer einstweiligen Anordnung abgelehnt, der darauf gerichtet war, § 9a ZensVorbG 2021 und die danach seit dem 14. Januar 2019 vorgenommene Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021 außer Kraft zu setzen. Nach dieser Vorschrift werden seit dem 14. Januar 2019 testweise bestimmte personenbezogene Daten aus allen Melderegistern an das Statistische Bundesamt übermittelt, damit dieses in Vorbereitung des Zensus 2021 die Übermittlungswege und die Qualität der für den Zensus 2021 zu übermittelnden Daten aus den Melderegistern prüfen und die Programme für die Durchführung des Zensus weiterentwickeln kann. Die Kammer entschied, dass eine gegebenenfalls noch zu erhebende Verfassungsbeschwerde zwar nicht offensichtlich unzulässig oder unbegründet wäre. Im Rahmen einer für den Erlass einer einstweiligen Anordnung gebotenen Folgenabwägung überwiegen die Nachteile, die durch die testweise Übermittlung der Daten eintreten, jedoch nicht mit der für die Außerkraftsetzung eines Gesetzes erforderlichen Deutlichkeit gegenüber dem Gewicht, das der Gesetzgeber einer guten Vorbereitung der Durchführung des Zensus 2021 beilegen durfte.

Sachverhalt:

Die Bundesrepublik Deutschland ist verpflichtet, der Europäischen Kommission für das Bezugsjahr 2021 statistische Daten für eine geplante Volkszählung zu übermitteln. Zum Zweck der Prüfung der Übermittlungswege und der Qualität der hierfür zu übermittelnden Daten aus den Melderegistern sowie zum Test und zur Weiterentwicklung der Programme für die Durchführung des Zensus 2021 sieht § 9a des Zensusvorbereitungsgesetzes 2021 - beginnend am 14. Januar 2019 - eine zentrale Erfassung, Speicherung und Verarbeitung der nicht anonymisierten Meldedaten aller zum 13. Januar 2019 gemeldeter Personen durch das Statistische Bundesamt vor. Die übermittelten Daten sind nicht anonymisiert und umfassen neben Name und Wohnanschrift, Geschlecht, Staatsangehörigkeit und Familienstand u.a. auch die Zugehörigkeit zu öffentlich-rechtlichen Religionsgesellschaften. Eine Speicherung ist für einen Zeitraum von bis zu zwei Jahren nach dem Stichtag vorgesehen; eine Verarbeitung der Daten zu anderen Zwecken als der Prüfung der Übermittlungswege, der Prüfung der Datenqualität und dem Test und der Weiterentwicklung der Programme für die Durchführung des Zensus 2021 ist ausgeschlossen.

Die Antragsteller machen eine Verletzung ihres Rechts auf informationelle Selbstbestimmung geltend. Die Übermittlung der nicht anonymisierten Daten lasse Rückschlüsse auf den Kernbereich der privaten Lebensführung zu. Dies stehe außer Verhältnis zum Nutzen einer Erprobung und Optimierung der bereits weitgehend erprobten Übermittlungswege und Programme, zumal der Zweck der Übermittlung auch durch eine Übermittlung anonymisierter Daten - gegebenenfalls ergänzt um nicht anonymisierte Stichproben in geringem Umfang - in vergleichbarer Weise erreicht werden könne.

Wesentliche Erwägungen der Kammer:

Der Antrag auf Erlass einer einstweiligen Anordnung ist auf Grundlage einer Folgenabwägung abzulehnen.

Das Bundesverfassungsgericht kann einen Zustand durch eine einstweilige Anordnung vorläufig regeln, wenn dies zur Abwehr schwerer Nachteile, zur Verhinderung drohender Gewalt oder aus einem anderen wichtigen Grund zum gemeinen Wohl dringend geboten ist.

Der Ausgang einer gegebenenfalls noch zu erhebenden Verfassungsbeschwerde ist offen. Sie ist weder offensichtlich unzulässig noch unbegründet, da in der Kürze der Zeit beispielsweise nicht abschließend geklärt werden konnte, ob für den Testdurchlauf nicht auch geringere Datenmengen oder eine begrenztere Übermittlung oder Speicherung ausreichend gewesen wäre.

Das Bundesverfassungsgericht hat daher auf Grundlage einer Folgenabwägung zu entscheiden. Dabei hat es die Folgen, die eintreten würden, wenn eine einstweilige Anordnung erginge, die Verfassungsbeschwerde jedoch erfolglos wäre, gegenüber den Nachteilen abzuwägen, die entstünden, wenn die begehrte einstweilige Anordnung abgelehnt würde, die Verfassungsbeschwerde letztlich aber Erfolg hätte. Wird - wie vorliegend - die Aussetzung des Vollzugs eines Gesetzes begehrt, ist wegen des Eingriffs in die Gestaltungsfreiheit des Gesetzgebers ein besonders strenger Maßstab an die Folgenabwägung anzulegen.

Ergeht die einstweilige Anordnung nicht, hätte eine potentielle Verfassungsbeschwerde aber Erfolg, würden alle Daten der Beschwerdeführer für die Testzwecke zusammengeführt, obwohl dies nicht erforderlich und damit unverhältnismäßig wäre. Angesichts der eng begrenzten Verwendungszwecke und der strengen Vorgaben der Geheimhaltung überwiegt der Nachteil einer möglicherweise unverhältnismäßigen Speicherung nicht mit der erforderlichen Deutlichkeit gegenüber dem Interesse daran, durch einen Testlauf eine reibungslose Durchführung des Zensus 2021 zu ermöglichen. Die Behörden dürfen die Daten nur zur Vorbereitung des Zensus nutzen. An den Inhalt der Daten selbst dürfen sie hierfür nicht anknüpfen und an ihm haben sie auch keinerlei Interesse. Demgegenüber ist nach dem bei vorläufiger Betrachtung nicht unplausibel erscheinenden Vortrag des Bundesministeriums des Innern, für Bau und Heimat der Probedurchlauf mit nicht anonymisierten Daten aller Meldebehörden erforderlich, um die Qualität der Merkmale und der Programme effektiv überprüfen zu können.


Den Volltext der Entscheidung finden sie hier:

OVG Münster: Gastro-Kontrollbarometer bzw. Hygiene-Ampel für Gastronomietriebe mangels ausreichender Rechtsgrundlage für Datenübermittlung unzulässig

OVG Münster
Urteile vom 12.12.2016
13 A 846/15
13 A 2059/15


Das OVG Münster hat entschieden, dass das in Bielefeld und Duisburg betrieben Pilotprojekt Gastro-Kontrollbarometer bzw. Hygiene-Ampel, bei dem die hygienischen Zustände in Gastronomiebetrieben mit einem Punktesystem bewertet und veröffentlicht werden, unzulässig ist. Das Verbraucherinformationsgesetz bietet keine ausreichende Rechtsgrundlage für die Datenübermittlung.

Die Pressemitteilung des OVG Münster:

Pilotprojekt "Gastro-Kontrollbarometer" in Duisburg und Bielefeld rechtswidrig

Das Oberverwaltungsgericht hat heute entschieden, dass die Verbraucherzentrale NRW nach dem Verbraucherinformationsgesetz keinen Anspruch darauf hat, dass die Lebensmittelüberwachungsbehörden die im Rahmen der Ri­sikobeurteilung von Gastronomiebetrieben ermittelten Punktwerte herausgeben.

Die beklagten Städte Duisburg und Bielefeld führen zur Ermittlung der Kontrollhäu­figkeit von Gastronomiebetrieben sogenannte risikoorientierte Kontrollen durch. Da­bei verwenden sie ein Beurteilungssystem, wonach in verschiedenen Kategorien durch einen Kontrolleur oder eine Kontrolleurin Punkte vergeben werden. Je größer die Punktzahl ist, desto höher ist die Risikoeinstufung des Betriebs und desto häufi­ger erfolgen behördliche Kontrollen. Zu den zu beurteilenden Kategorien gehören etwa die Einhaltung lebensmittelrechtlicher Bestimmungen, Mitarbeiterschulung, Ei­genkontrolluntersuchungen, bauliche Beschaffenheit oder Personalhygiene. Geför­dert durch das nordrhein-westfälische Verbraucherschutzministerium, beantragte die zu den Verfahren jeweils beigeladene Verbraucherzentrale bei den Städten Duisburg und Bielefeld die laufende Herausgabe des Gesamtpunktwertes für sämtliche Gastronomiebetriebe in Duisburg und Bielefeld. Sie ordnet die Punktwerte sodann drei Ergebnisstufen in den Farben grün, gelb und rot zu und zeigt auf ihrer Internet­seite sowie in einer App die Bewertung auf einem horizontalen Balkendiagramm in den Ampelfarben an. Gegen die Herausgabe der Punktwerte an die Verbraucher­zentrale hatten mehrere Gastronomiebetreiber aus Duisburg und Bielefeld geklagt.

Der 13. Senat des Oberverwaltungsgerichts hat mit insgesamt neun Urteilen die erstinstanzlichen Entscheidungen der Verwaltungsgerichte Düsseldorf und Minden im Ergebnis bestätigt. Die Weitergabe der von der Verbraucherzentrale nachgefrag­ten Informationen - insbesondere Name und Anschrift des Gastronomiebetriebs so­wie der im Rahmen der Risikobeurteilung ermittelte Punkt­wert - finde im Verbrau­cherinformationsgesetz keine rechtliche Grundlage. Das Er­gebnis der behördlichen Risikobeurteilung in Form eines Punktwerts sei keine Infor­mation, zu der nach die­sem Gesetz Zugang zu gewähren wäre. Der Wert gebe keine Auskunft über konkret festgestellte Abweichungen von lebensmittelrechtlichen Vor­schriften. Es handele sich auch nicht um eine Auswertung einer behördlichen Über­wachungsmaßnahme. Der Punktwert lasse keine Rückschlüsse auf konkrete Ergeb­nisse der Betriebskontrolle zu; eine Weitergabe des Werts entspreche aus diesem Grund auch nicht dem Zweck des Verbraucherinformationsgesetzes, Transparenz zu schaffen.

Der Senat hat die Revision nicht zugelassen. Dagegen ist eine Nichtzulassungsbe­schwerde möglich, über die das Bundesverwaltungsgericht entscheidet.

Aktenzeichen: 13 A 846/15 u.a. (I. Instanz: VG Düsseldorf 26 K 5722/13 u.a.)
13 A 2059/15 (I. Instanz: VG Minden 9 K 2547/13)



EuGH: Werden personenbezogene Daten zwischen zwei Verwaltungsbehörden übermittelt müssen die Betroffenen zuvor davon unterrichtet werden

EuGH
Urteil vom 01.10.2015
C-201/14


Der EuGH hat entschieden, dass wenn personenbezogene Daten zwischen zwei Verwaltungsbehörden zum Zwecke der Verarbeitung übermittelt werden, die Betroffenen zuvor davon unterrichtet werden müssen.

Die Pressemitteilung des EuGH:

"Werden personenbezogene Daten zwecks Verarbeitung zwischen zwei Verwaltungsbehörden eines Mitgliedstaats übermittelt, müssen die betroffenen Personen zuvor davon unterrichtet werden

Die Datenschutzrichtlinie regelt die Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Die Kläger des Ausgangsverfahrens, Frau Smaranda Bara und mehrere andere rumänische Staatsangehörige, sind selbständig tätig. Die rumänische Steuerverwaltung übermittelte die von ihnen erklärten Einkünfte der Nationalen Kasse der Krankenversicherungen, die daraufhin die Zahlung rückständiger Krankenversicherungsbeiträge verlangte.

Die Kläger rügen bei der Curtea de Apel Cluj (Berufungsgericht Cluj, Rumänien), dass diese Übermittlung gegen die Richtlinie verstoße. Ihre Daten seien zu anderen Zwecken als denen, zu denen sie ursprünglich der Steuerverwaltung mitgeteilt worden seien, und ohne ihre vorherige Unterrichtung verwendet worden.

Das rumänische Recht gestattet es öffentlichen Einrichtungen, den Krankenkassen personenbezogene Daten zu übermitteln, damit diese die Versicherteneigenschaft der betroffenen Personen feststellen können. Diese Daten betreffen die Personalien (Vor- und Zuname sowie Anschrift), schließen aber keine Informationen über die erzielten Einkünfte ein.

In diesem Kontext möchte die Curtea de Apel Cluj vom Gerichtshof wissen, ob es gegen das Unionsrecht verstößt, wenn eine Verwaltungsbehörde eines Mitgliedstaats personenbezogene Daten zu ihrer anschließenden Verarbeitung an eine andere Verwaltungsbehörde übermittelt, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden. In seinem heutigen Urteil stellt der Gerichtshof fest, dass das Erfordernis, personenbezogene Daten nach Treu und Glauben zu verarbeiten, eine Verwaltungsbehörde verpflichtet, die betroffenen Personen davon zu unterrichten, dass ihre Daten einer anderen Verwaltungsbehörde übermittelt werden, um von dieser in ihrer Eigenschaft als deren Empfänger verarbeitet zu werden. Die Richtlinie verlangt ausdrücklich, dass eventuelle Beschränkungen der Informationspflicht durch Rechtsvorschriften vorgenommen werden.

Das rumänische Gesetz, das vorsieht, dass den Krankenkassen die personenbezogenen Daten kostenfrei übermittelt werden, stellt keine vorherige Unterrichtung dar, die es ermöglichen würde, den für die Verarbeitung Verantwortlichen von seiner Pflicht zu entbinden, die Personen zu unterrichten, bei denen er die Daten erhebt. Dieses Gesetz legt nämlich weder die übermittlungsfähigen Informationen noch die Übermittlungsmodalitäten fest; diese sind lediglich in einem bilateralen Protokoll enthalten, das zwischen der Steuerverwaltung und der Krankenkasse geschlossen wurde.

Hinsichtlich der anschließenden Verarbeitung der übermittelten Daten sieht die Richtlinie vor, dass der für die Verarbeitung Verantwortliche den betroffenen Personen seine eigene Identität, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen mitteilt, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten. Zu diesen weiteren Informationen gehören die Datenkategorien, die verarbeitet werden, sowie das Bestehen von Auskunfts- und Berichtigungsrechten.

Der Gerichtshof weist darauf hin, dass die Verarbeitung der von der Steuerverwaltung übermittelten Daten durch die Krankenkasse voraussetzte, dass die betroffenen Personen über die Zweckbestimmungen der Verarbeitung sowie über die verarbeiteten Datenkategorien unterrichtet werden. Im vorliegenden Fall ist keine solche Unterrichtung durch die Krankenkasse erfolgt.

Der Gerichtshof gelangt daher zu dem Ergebnis, dass das Unionsrecht einer ohne vorherige Unterrichtung der betroffenen Personen erfolgenden Übermittlung personenbezogener Daten zwischen zwei Verwaltungsbehörden eines Mitgliedstaats zwecks Verarbeitung entgegensteht.


Den Volltext der Entscheidung finden Sie hier: