EuGH, Urt. 22.6.2021 - C-439/19
Keine öffentliche Zugänglichkeit eines Strafpunkteregisters
Autor: RAin Maria-Urania Dovas, LL.M., CSW Rechtsanwälte, München
Aus: IT-Rechtsberater, Heft 10/2021
Aus: IT-Rechtsberater, Heft 10/2021
Bei Informationen über verhängte Strafpunkte wegen Verkehrsverstößen handelt es sich um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO. Die DSGVO steht einer nationalen Regelung entgegen, die eine Behörde verpflichtet, Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, für die Öffentlichkeit zugänglich zu machen.
DSGVO Art. 5, Art. 6 Abs. 1 lit. e, 10, 86, 87
Im Rahmen des Ausgangsverfahrens bestätigte das lettische Parlament, dass jede Person nach dem lettischen Straßenverkehrsgesetz Informationen über die gegen eine andere Person verhängten Strafpunkte erhalten kann, indem sie entweder unmittelbar bei der Behörde anfragt, die die Daten über die für Verkehrsverstößen verhängten Strafpunkte verarbeitet (CSDD), oder die Dienstleistungen von gewerblichen Weiterverwendern in Anspruch nimmt. Voraussetzung für die Erteilung der Information ist, dass die nationale Identifikationsnummer des Fahrzeugführers angegeben wird, über den Auskunft begehrt wird. Als Begründung wurde angeführt, dass die fragliche Bestimmung durch das Ziel der Verbesserung der Straßenverkehrssicherheit gerechtfertigt und damit rechtmäßig sei.
Das lettische Verfassungsgericht hat dem EuGH vier Fragen vorgelegt, um die lettische Verfassung im Einklang mit dem Unionsrecht auszulegen und anzuwenden.
Personenbezogene Daten über Straftaten: Bei den Informationen über verhängte Strafpunkte wegen Verkehrsverstößen handle es sich um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO. Insb. werde im Zusammenhang mit der Offenlegung dieser Daten verlangt, dass der Antragsteller den betreffenden Fahrzeugführer unter Angabe seiner nationalen Identifikationsnummer identifiziere. Die Datenübermittlung durch die CSDD an Dritte stelle eine Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO dar.
Keine Ausnahme vom Anwendungsbereich der DSGVO: Die in Rede stehenden personenbezogenen Daten seien nicht vom Anwendungsbereich der DSGVO ausgenommen. Es handle sich nicht um Daten, deren Verarbeitung die nationale Sicherheit oder Tätigkeiten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik der Union betreffe. Dort gehe es insb. um Datenverarbeitungen, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezweckten. Tätigkeiten, die die Straßenverkehrssicherheit beträfen, verfolgten jedoch kein solches Ziel. Es handle sich auch nicht um eine Verarbeitung durch die CSDD zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, weil nicht ersichtlich sei, dass die CSDD als zuständige Behörde i.S.d. RL 2016/680 angesehen werden könne.
Schutzbereich des Art. 10 DSGVO: Art. 10 DS GVO solle einen verstärkten Schutz gegen Verarbeitungen gewährleisten, die aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die garantierten Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten darstellen könnten. Zwar sei die Wendung „verwaltungsrechtliche Sanktionen“ nicht in den Gesetzestext der DSGVO aufgenommen worden, so dass sich der Begriff „Straftaten“ ausschließlich auf Straftaten i.S.d. Strafrechts beziehe und der verstärkte Schutz dieser Bestimmung allein dem strafrechtlichen Bereich vorbehalten sein solle. Nicht entscheidend sei aber der Umstand, dass Verkehrsverstöße in Lettland als Ordnungswidrigkeiten eingestuft würden, denn die in Art. 10 DSGVO verwendeten Begriffe verwiesen nicht auf die nationalen Rechtsordnungen. Da die DSGVO ein homogenes und hohes Schutzniveau in allen Mitgliedstaaten für natürliche Personen bei der Verarbeitung personenbezogener Daten bieten solle, komme es für den verstärkten Schutz nicht darauf an, ob Verkehrsverstöße in manchen Mitgliedstaaten als Straftaten eingestuft würden und in anderen nicht. Auch die Rechtsprechung des EGMR bestätige, dass Verkehrsverstöße im allgemeinen als Verstöße strafrechtlicher Natur anzusehen seien. Die Übermittlung der im Register über Strafpunkte enthaltenen personenbezogenen Daten durch die CSDD an die Öffentlichkeit sei geeignet, zu einer Missbilligung durch die Gesellschaft und zur Stigmatisierung der betreffenden Person zu führen.
Unzulässigkeit der Datenübermittlung: Die Verarbeitung der personenbezogenen Daten über Strafpunkte dürfe nur unter behördliche Aufsicht vorgenommen werden und es müssten, wenn dies nicht mehr der Fall sei, geeignete Garantien für die Rechte und Freiheiten der Betroffenen vorgesehen sein. Vorliegend müsse eine Abwägung der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten gegen andere Grundrechte erfolgen. Dabei sei insb. zu prüfen, ob die Übermittlung angesichts der Schwere des durch sie bewirkten Eingriffs in die Grundrechte auf Achtung des Privatlebens auf Schutz personenbezogener Daten im Hinblick auf die Verwirklichung der verfolgten Ziele gerechtfertigt und insb. verhältnismäßig sei. Vorliegend solle die der CSDD obliegende Aufgabe im öffentlichen Interesse liegen, die Straßenverkehrssicherheit zu verbessern, indem insb. die Identifizierung der Fahrzeugführer, die systematisch gegen die Verkehrsregeln verstießen, ermöglicht und das Verhalten der Straßenverkehrsteilnehmer dahingehend beeinflusst werde, dass sie zu einem den Verkehrsregeln entsprechenden Verhalten veranlasst würden. Das im allgemeinen Interesse liegende verfolgte Ziel könne jedoch in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden, die weniger stark eingreifen würden und sich auf das absolut notwendige beschränken müssten. Es gebe eine Vielzahl von Handlungsmöglichkeiten und vorbeugenden Maßnahmen, ohne dass es dafür erforderlich wäre, den Erlass solcher – auch individueller – Maßnahmen der Öffentlichkeit mitzuteilen. Die Übermittlung der Daten an die Öffentlichkeit stelle deshalb einen schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar.
Keine Einschränkung durch das Recht auf Informationsfreiheit: Zwar stelle der Zugang der Öffentlichkeit zu amtlichen Dokumenten ein öffentliches Interesse dar, dieser Zugang sei jedoch mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten in Einklang zu bringen. Angesichts der Sensibilität der Daten und der Schwere des Eingriffs müssten diese Rechte dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vorgehen.
Unzulässige Datenübermittlung an Wirtschaftsteilnehmer: Auch die Übermittlung an Wirtschaftsteilnehmer zur Weiterverwendung sei aus den ausgeführten Gründen unzulässig, da die Daten dem besonderen Schutz des Art. 10 DSGVO unterlägen.
Keine Aufrechterhaltung der Rechtswirkungen bis zur Verkündung des Urteils: Der Grundsatz des Vorrangs des Unionsrechts bedeute, dass Vorschriften des nationalen Rechts, auch wenn sie Verfassungsrang hätten, die einheitliche Geltung und die Wirksamkeit des Unionsrechts nicht beeinträchtigen dürften. Zeitliche Wirkungen einer Vorabentscheidung des EuGH dürften weder vom Zeitpunkt der Verkündung des Urteils abhängen, mit dem das vorlegende Gericht endgültig über das Ausgangsverfahren entscheide, noch von der Beurteilung der Notwendigkeit, die Rechtswirkungen der fraglichen nationalen Regelung aufrechtzuerhalten, durch dieses Gericht. Im vorliegenden Fall sei das Bestehen einer Gefahr schwerwiegender Störungen aufgrund der vorgenommenen Auslegung durch den EuGH nicht dargetan, weshalb seine Wirkung nicht zeitlich zu begrenzen sei. Damit bleibe es dem vorlegenden Gericht verwehrt, die Rechtswirkungen der fraglichen Regelungen bis zum Zeitpunkt der Verkündung des Urteils aufrechtzuerhalten.
DSGVO Art. 5, Art. 6 Abs. 1 lit. e, 10, 86, 87
Das Problem
Ein Fahrzeugführer, gegen den wegen eines oder mehrerer Verkehrsverstöße Strafpunkte verhängt wurden, die in das lettische nationale Register für Fahrzeuge und Fahrzeugführer eingetragen wurden, richtet sich mit seiner Verfassungsbeschwerde gegen die öffentliche Zugänglichmachung und die Übermittlung der Informationen über diese Strafpunkte an mehrere Wirtschaftsteilnehmer zur Weiterverwendung. Gegenstand der Verfassungsbeschwerde war die Überprüfung der Vereinbarkeit des lettischen Straßenverkehrsgesetzes mit dem in der lettischen Verfassung verankerten Grundrecht auf Achtung des Privatlebens.Im Rahmen des Ausgangsverfahrens bestätigte das lettische Parlament, dass jede Person nach dem lettischen Straßenverkehrsgesetz Informationen über die gegen eine andere Person verhängten Strafpunkte erhalten kann, indem sie entweder unmittelbar bei der Behörde anfragt, die die Daten über die für Verkehrsverstößen verhängten Strafpunkte verarbeitet (CSDD), oder die Dienstleistungen von gewerblichen Weiterverwendern in Anspruch nimmt. Voraussetzung für die Erteilung der Information ist, dass die nationale Identifikationsnummer des Fahrzeugführers angegeben wird, über den Auskunft begehrt wird. Als Begründung wurde angeführt, dass die fragliche Bestimmung durch das Ziel der Verbesserung der Straßenverkehrssicherheit gerechtfertigt und damit rechtmäßig sei.
Das lettische Verfassungsgericht hat dem EuGH vier Fragen vorgelegt, um die lettische Verfassung im Einklang mit dem Unionsrecht auszulegen und anzuwenden.
Die Entscheidung des Gerichts
Die DSGVO stehe einer nationalen Regelung entgegen, die eine Behörde verpflichte, der Öffentlichkeit Daten über Strafpunkte für Verkehrsteilnehmer zugänglich zu machen.Personenbezogene Daten über Straftaten: Bei den Informationen über verhängte Strafpunkte wegen Verkehrsverstößen handle es sich um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO. Insb. werde im Zusammenhang mit der Offenlegung dieser Daten verlangt, dass der Antragsteller den betreffenden Fahrzeugführer unter Angabe seiner nationalen Identifikationsnummer identifiziere. Die Datenübermittlung durch die CSDD an Dritte stelle eine Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO dar.
Keine Ausnahme vom Anwendungsbereich der DSGVO: Die in Rede stehenden personenbezogenen Daten seien nicht vom Anwendungsbereich der DSGVO ausgenommen. Es handle sich nicht um Daten, deren Verarbeitung die nationale Sicherheit oder Tätigkeiten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik der Union betreffe. Dort gehe es insb. um Datenverarbeitungen, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezweckten. Tätigkeiten, die die Straßenverkehrssicherheit beträfen, verfolgten jedoch kein solches Ziel. Es handle sich auch nicht um eine Verarbeitung durch die CSDD zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, weil nicht ersichtlich sei, dass die CSDD als zuständige Behörde i.S.d. RL 2016/680 angesehen werden könne.
Schutzbereich des Art. 10 DSGVO: Art. 10 DS GVO solle einen verstärkten Schutz gegen Verarbeitungen gewährleisten, die aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die garantierten Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten darstellen könnten. Zwar sei die Wendung „verwaltungsrechtliche Sanktionen“ nicht in den Gesetzestext der DSGVO aufgenommen worden, so dass sich der Begriff „Straftaten“ ausschließlich auf Straftaten i.S.d. Strafrechts beziehe und der verstärkte Schutz dieser Bestimmung allein dem strafrechtlichen Bereich vorbehalten sein solle. Nicht entscheidend sei aber der Umstand, dass Verkehrsverstöße in Lettland als Ordnungswidrigkeiten eingestuft würden, denn die in Art. 10 DSGVO verwendeten Begriffe verwiesen nicht auf die nationalen Rechtsordnungen. Da die DSGVO ein homogenes und hohes Schutzniveau in allen Mitgliedstaaten für natürliche Personen bei der Verarbeitung personenbezogener Daten bieten solle, komme es für den verstärkten Schutz nicht darauf an, ob Verkehrsverstöße in manchen Mitgliedstaaten als Straftaten eingestuft würden und in anderen nicht. Auch die Rechtsprechung des EGMR bestätige, dass Verkehrsverstöße im allgemeinen als Verstöße strafrechtlicher Natur anzusehen seien. Die Übermittlung der im Register über Strafpunkte enthaltenen personenbezogenen Daten durch die CSDD an die Öffentlichkeit sei geeignet, zu einer Missbilligung durch die Gesellschaft und zur Stigmatisierung der betreffenden Person zu führen.
Unzulässigkeit der Datenübermittlung: Die Verarbeitung der personenbezogenen Daten über Strafpunkte dürfe nur unter behördliche Aufsicht vorgenommen werden und es müssten, wenn dies nicht mehr der Fall sei, geeignete Garantien für die Rechte und Freiheiten der Betroffenen vorgesehen sein. Vorliegend müsse eine Abwägung der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten gegen andere Grundrechte erfolgen. Dabei sei insb. zu prüfen, ob die Übermittlung angesichts der Schwere des durch sie bewirkten Eingriffs in die Grundrechte auf Achtung des Privatlebens auf Schutz personenbezogener Daten im Hinblick auf die Verwirklichung der verfolgten Ziele gerechtfertigt und insb. verhältnismäßig sei. Vorliegend solle die der CSDD obliegende Aufgabe im öffentlichen Interesse liegen, die Straßenverkehrssicherheit zu verbessern, indem insb. die Identifizierung der Fahrzeugführer, die systematisch gegen die Verkehrsregeln verstießen, ermöglicht und das Verhalten der Straßenverkehrsteilnehmer dahingehend beeinflusst werde, dass sie zu einem den Verkehrsregeln entsprechenden Verhalten veranlasst würden. Das im allgemeinen Interesse liegende verfolgte Ziel könne jedoch in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden, die weniger stark eingreifen würden und sich auf das absolut notwendige beschränken müssten. Es gebe eine Vielzahl von Handlungsmöglichkeiten und vorbeugenden Maßnahmen, ohne dass es dafür erforderlich wäre, den Erlass solcher – auch individueller – Maßnahmen der Öffentlichkeit mitzuteilen. Die Übermittlung der Daten an die Öffentlichkeit stelle deshalb einen schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar.
Keine Einschränkung durch das Recht auf Informationsfreiheit: Zwar stelle der Zugang der Öffentlichkeit zu amtlichen Dokumenten ein öffentliches Interesse dar, dieser Zugang sei jedoch mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten in Einklang zu bringen. Angesichts der Sensibilität der Daten und der Schwere des Eingriffs müssten diese Rechte dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vorgehen.
Unzulässige Datenübermittlung an Wirtschaftsteilnehmer: Auch die Übermittlung an Wirtschaftsteilnehmer zur Weiterverwendung sei aus den ausgeführten Gründen unzulässig, da die Daten dem besonderen Schutz des Art. 10 DSGVO unterlägen.
Keine Aufrechterhaltung der Rechtswirkungen bis zur Verkündung des Urteils: Der Grundsatz des Vorrangs des Unionsrechts bedeute, dass Vorschriften des nationalen Rechts, auch wenn sie Verfassungsrang hätten, die einheitliche Geltung und die Wirksamkeit des Unionsrechts nicht beeinträchtigen dürften. Zeitliche Wirkungen einer Vorabentscheidung des EuGH dürften weder vom Zeitpunkt der Verkündung des Urteils abhängen, mit dem das vorlegende Gericht endgültig über das Ausgangsverfahren entscheide, noch von der Beurteilung der Notwendigkeit, die Rechtswirkungen der fraglichen nationalen Regelung aufrechtzuerhalten, durch dieses Gericht. Im vorliegenden Fall sei das Bestehen einer Gefahr schwerwiegender Störungen aufgrund der vorgenommenen Auslegung durch den EuGH nicht dargetan, weshalb seine Wirkung nicht zeitlich zu begrenzen sei. Damit bleibe es dem vorlegenden Gericht verwehrt, die Rechtswirkungen der fraglichen Regelungen bis zum Zeitpunkt der Verkündung des Urteils aufrechtzuerhalten.