EuGH, Urt. 1.8.2022 - C-184/20
Unzulässige Veröffentlichung von Daten im Internet zur Korruptionsbekämpfung
Autor: RA, FA IT-Recht Dr. Aegidius Vogt, Herberger Vogt von Schoeler, München – www.hvs-rechtsanwaelte.de
Aus: IT-Rechtsberater, Heft 01/2023
Aus: IT-Rechtsberater, Heft 01/2023
Das Unionsrecht steht nationalen Vorschriften entgegen, die zur Korruptionsbekämpfung die unbeschränkte Onlineveröffentlichung namensbezogener Daten nahestehender Personen, die einen Interessenkonflikt begründen können, vorsehen. Eine Veröffentlichung solcher zunächst nur namensbezogener Daten stellt auch eine Verarbeitung sensibler Daten dar, da sie geeignet sind, die sexuelle Orientierung der betroffenen Personen indirekt zu offenbaren.
AEUV Art. 267; GRC Art. 7, Art. 8, Art. 52 Abs. 1; DSGVO Art. 6 Abs. 1 Satz 1 lit. c, e, Abs. 3, Art. 9 Abs. 1
Rechtsgrundlage: Als Rechtsgrundlagen kämen Art. 6 Abs. 1 Satz 1 lit. c DSGVO (rechtliche Verpflichtung) sowie Art. 6 Abs. 1 Satz 1 lit. e DSGVO (öffentliches Interesse) in Betracht. Beide Rechtsgrundlagen müssten zudem den weiteren Anforderungen genügen, die sich aus Art. 52 Abs. 1 GRC und Art. 6 Abs. 3 DSGVO ergäben. Das Gesetz müsse also insb. ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
Legitimer Zweck: Das Gesetz ziele darauf ab, die Redlichkeit und Unparteilichkeit öffentlicher Entscheidungsträger zu stärken, Interessenkonflikten vorzubeugen und Korruption im öffentlichen Sektor zu bekämpfen. Diese Ziele lägen unbestreitbar im öffentlichen Interesse und seien folglich legitim. Nicht zuletzt stelle die Bekämpfung der Korruption ein Ziel dar, dem sich die Mitgliedstaaten sowohl auf internationaler Ebene als auch auf Unionsebene verschrieben hätten.
Geeignetheit: Die Online-Veröffentlichung sei auch geeignet, Interessenkonflikten und Korruption vorzubeugen und damit das Vertrauen der Bürger in das öffentliche Handeln zu stärken, da so jederzeit mit einer Aufdeckung von Missständen gerechnet werden müsse.
Erforderlichkeit: Jedenfalls betreffend namensbezogene Daten über Ehegatten, Lebensgefährten, Partner oder sonstige nahestehende Personen scheine es aber an der Erforderlichkeit zu fehlen, da das Ziel des Gesetzes in zumutbarer Weise ebenso wirksam mit milderen Mitteln erreicht werden könne, wobei hier auch der in Art. 5 Abs. 1 lit. c DSGVO verankerte Grundsatz der Datenminimierung zu berücksichtigen sei. So reiche es für die Zwecke der Onlineveröffentlichung aus, wenn im Kontext der weiteren Angaben nur die allgemeine Beschreibung als bspw. Ehegatte verwendet werde. Auch die systematische Angabe aller Transaktionen mit einem Wert von über 3.000 € sei nicht unbedingt erforderlich.
Verhältnismäßigkeit: Obschon die Korruptionsbekämpfung in der Union von großer Bedeutung sei, stehe die Schwere des durch besagte Veröffentlichung bewirkten Eingriffs in die Grundrechte aus Art. 7 GRC (Achtung des Privatlebens) und aus Art. 8 GRC (Schutz personenbezogener Daten) in keinem angemessenen Verhältnis dazu. Dabei sei zu berücksichtigen, dass gegenüber nahestehenden Personen die Umsetzung der Gesetzesziele nicht in gleicher Weise geboten seien wie bei Bediensteten. Auch variiere das Allgemeininteresse je nach hierarchischer Stellung, übertragener Kompetenzen und der Befugnisse des Bediensteten. Zudem könne jedermann die fraglichen Daten einsehen und sich damit ohne jeden Bezug zum Gesetzeszweck über die persönlichen und finanziellen Verhältnisse der Betroffenen informieren.
Sensible Daten: Die erhobenen Angaben seien zwar per se keine sensiblen Daten i.S.v. Art. 9 Abs. 1 DSGVO. Allerdings könnten aus den namensbezogenen Daten von Ehegatten, Lebensgefährten oder Partnern des Bediensteten bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung der Betroffenen abgeleitet werden. Die gebotene weite Auslegung der Norm führe dazu, dass auch die Veröffentlichung personenbezogener Daten, die geeignet seien, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, eine Verarbeitung besonderer Kategorien personenbezogener Daten darstelle. Hierfür streite nicht zuletzt das ausweislich Art. 1 Abs. 2 DSGVO i.V.m. Erwgrd. 4 und 10 hohe Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.
AEUV Art. 267; GRC Art. 7, Art. 8, Art. 52 Abs. 1; DSGVO Art. 6 Abs. 1 Satz 1 lit. c, e, Abs. 3, Art. 9 Abs. 1
Das Problem
Ein litauisches Gesetz zur Vorbeugung von Interessenkonflikten und Korruption im öffentlichen Sektor sieht vor, dass Bedienstete bestimmte persönliche Angaben über sich und nahestehenden Personen (insb. Ehegatten, Lebensgefährten, Partner) an die Aufsichtsbehörde melden müssen. Hierzu zählen insb. namensbezogene Daten, aber etwa auch Angaben zu abgeschlossenen Transaktionen mit einem Wert von über 3.000 € oder zu Geschenken mit einem Wert über 150 €. Diese Informationen werden dann auch auf der Website der Aufsichtsbehörde veröffentlicht. Ein Behördenleiter sieht darin Grundrechte und Grundfreiheiten verletzt.Die Entscheidung des Gerichts
Der EuGH sieht in dem Gesetz einen teilweisen Verstoß gegen das Unionsrecht, soweit die Angabe namensbezogener Daten nahestehender Personen und die Abfrage von Transaktionen mit einem Wert von über 3.000 € betroffen ist.Rechtsgrundlage: Als Rechtsgrundlagen kämen Art. 6 Abs. 1 Satz 1 lit. c DSGVO (rechtliche Verpflichtung) sowie Art. 6 Abs. 1 Satz 1 lit. e DSGVO (öffentliches Interesse) in Betracht. Beide Rechtsgrundlagen müssten zudem den weiteren Anforderungen genügen, die sich aus Art. 52 Abs. 1 GRC und Art. 6 Abs. 3 DSGVO ergäben. Das Gesetz müsse also insb. ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
Legitimer Zweck: Das Gesetz ziele darauf ab, die Redlichkeit und Unparteilichkeit öffentlicher Entscheidungsträger zu stärken, Interessenkonflikten vorzubeugen und Korruption im öffentlichen Sektor zu bekämpfen. Diese Ziele lägen unbestreitbar im öffentlichen Interesse und seien folglich legitim. Nicht zuletzt stelle die Bekämpfung der Korruption ein Ziel dar, dem sich die Mitgliedstaaten sowohl auf internationaler Ebene als auch auf Unionsebene verschrieben hätten.
Geeignetheit: Die Online-Veröffentlichung sei auch geeignet, Interessenkonflikten und Korruption vorzubeugen und damit das Vertrauen der Bürger in das öffentliche Handeln zu stärken, da so jederzeit mit einer Aufdeckung von Missständen gerechnet werden müsse.
Erforderlichkeit: Jedenfalls betreffend namensbezogene Daten über Ehegatten, Lebensgefährten, Partner oder sonstige nahestehende Personen scheine es aber an der Erforderlichkeit zu fehlen, da das Ziel des Gesetzes in zumutbarer Weise ebenso wirksam mit milderen Mitteln erreicht werden könne, wobei hier auch der in Art. 5 Abs. 1 lit. c DSGVO verankerte Grundsatz der Datenminimierung zu berücksichtigen sei. So reiche es für die Zwecke der Onlineveröffentlichung aus, wenn im Kontext der weiteren Angaben nur die allgemeine Beschreibung als bspw. Ehegatte verwendet werde. Auch die systematische Angabe aller Transaktionen mit einem Wert von über 3.000 € sei nicht unbedingt erforderlich.
Verhältnismäßigkeit: Obschon die Korruptionsbekämpfung in der Union von großer Bedeutung sei, stehe die Schwere des durch besagte Veröffentlichung bewirkten Eingriffs in die Grundrechte aus Art. 7 GRC (Achtung des Privatlebens) und aus Art. 8 GRC (Schutz personenbezogener Daten) in keinem angemessenen Verhältnis dazu. Dabei sei zu berücksichtigen, dass gegenüber nahestehenden Personen die Umsetzung der Gesetzesziele nicht in gleicher Weise geboten seien wie bei Bediensteten. Auch variiere das Allgemeininteresse je nach hierarchischer Stellung, übertragener Kompetenzen und der Befugnisse des Bediensteten. Zudem könne jedermann die fraglichen Daten einsehen und sich damit ohne jeden Bezug zum Gesetzeszweck über die persönlichen und finanziellen Verhältnisse der Betroffenen informieren.
Sensible Daten: Die erhobenen Angaben seien zwar per se keine sensiblen Daten i.S.v. Art. 9 Abs. 1 DSGVO. Allerdings könnten aus den namensbezogenen Daten von Ehegatten, Lebensgefährten oder Partnern des Bediensteten bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung der Betroffenen abgeleitet werden. Die gebotene weite Auslegung der Norm führe dazu, dass auch die Veröffentlichung personenbezogener Daten, die geeignet seien, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, eine Verarbeitung besonderer Kategorien personenbezogener Daten darstelle. Hierfür streite nicht zuletzt das ausweislich Art. 1 Abs. 2 DSGVO i.V.m. Erwgrd. 4 und 10 hohe Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.