Der Europäische Gerichtshof (EuGH) beschäftigte sich mit der Frage, ob eine mündliche Auskunft eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 der DSGVO darstellt, die in den sachlichen Anwendungsbereich der DSGVO fällt. Für die Richter war entscheidend, ob diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Urteil vom 7. März 2024, in der Rechtsache C-740/22).
Hintergrund des Urteils
Im vorliegenden Fall wandte sich die Klägerin Endemol Shine Finnland an das finnische Gericht erster Instanz, um mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug einer natürlichen Person zu erhalten, die an einem von diesem Unternehmen veranstalteten Wettbewerb teilgenommen hatte. Ziel war es, die strafrechtliche Vorgeschichte der Person zu prüfen.
Das Gericht erster Instanz Süd-Savo wies den Antrag der Klägerin ab, obwohl es ihn als Entscheidung oder öffentliche Information im Sinne des Gesetzes über die Öffentlichkeit von Gerichtsverfahren betrachtete. Der von der Klägerin angegebene Zweck entsprach jedoch nicht den Anforderungen des Datenschutzgesetzes für die Verarbeitung strafrechtlicher Daten. Daher konnten die beantragten Informationen vom Gericht auch nicht mündlich mitgeteilt werden.
Die Klägerin legte Berufung ein und trug vor, dass die mündliche Übermittlung der angeforderten Informationen nicht als Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO anzusehen sei.
Hieraufhin wendete sich das Berufungsgericht im Zuge des Vorabentscheidungsverfahren mit der Frage an den EuGH, ob eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellt.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Der EuGH hob in seinem Urteil hervor, dass bei der Auslegung der DSGVO neben dem Wortlaut auch der Kontext und die mit der jeweiligen Regelung verfolgten Ziele zu berücksichtigen sind. Zudem bestätigte der EuGH, dass die Informationen, um deren Erteilung die Klägerin bat, gemäß Art. 4 Nr. 1 DSGVO personenbezogenen Daten sind.
Der EuGH vertritt die Auffassung, dass der Begriff „Verarbeitung“ weit zu verstehen ist, da er nach der Definition in Art. 4 Nr. 2 DSGVO „jeden Vorgang“ umfasst. Zudem ist die Aufzählung der Vorgänge in Art. 4 Nr. 2 DSGVO aufgrund des verwendeten Ausdrucks „wie“ nicht abschließend.
Nach Ansicht des Gerichts erfasst diese Aufzählung unter anderem die Offenlegung durch Übermittlung und „(jede) andere Form der Bereitstellung“, wobei diese Vorgänge sowohl automatisiert als auch nicht automatisiert erfolgen können. Art. 4 Nr. 2 DSGVO stellt in diesem Zusammenhang keine spezifischen Anforderungen an die Form der „nicht automatisierten Verarbeitung“, daher sind grundsätzlich auch mündliche Übermittlungen erfasst.
Der EuGH erklärt zudem, dass diese Auslegung des Begriffs „Verarbeitung“ im Einklang mit dem Ziel der DSGVO steht, ein hohes Niveau des Schutzes der Grundrechte natürlicher Personen – insbesondere ihres Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten. Eine Umgehung dieses Ziels durch mündliche statt schriftlicher Übermittlung personenbezogener Daten wäre eindeutig widersprüchlich. Somit umfasst der Begriff der „Verarbeitung“ auch zwangsläufig die mündliche Übermittlung personenbezogener Daten.
Der EuGH stellt zudem fest, dass aus Art. 4 DSGVO sowie Erwägungsgrund 15 DSGVO hervorgeht, dass die Verordnung sowohl für automatisierte als auch für manuelle Datenverarbeitung gilt, um sicherzustellen, dass der Schutz der Betroffenen nicht von der verwendeten Technik abhängt und nicht umgegangen werden kann. Gleichzeitig wird klargestellt, dass die Verordnung für manuelle Datenverarbeitung nur dann gilt, wenn die Daten „in einer Datei gespeichert sind oder gespeichert werden sollen“.
Der Gerichtshof hatte bereits früher klargestellt, dass der Begriff der „Datei“ nach dem oben genannten Ziel weit definiert ist, da „jede“ strukturierte Sammlung personenbezogener Daten darunter fällt (siehe Urteil vom 10. Juli 2018, in der Rechtssache C‑25/17).
Das Erfordernis, dass die Daten „nach bestimmten Kriterien strukturiert“ sein müssen, bezieht sich darauf, dass die Daten einer bestimmten Person einfach wiedergefunden werden können. Art. 4 Nr. 6 DSGVO gibt jedoch keine konkreten Vorgaben, wie eine Datei strukturiert sein muss oder welche Form sie haben sollte. Insbesondere wird nicht verlangt, dass personenbezogenen Daten in speziellen Bibliotheken, Verzeichnissen oder anderen Recherchesystemen gespeichert werden müssen, damit diese als „Dateisystem“ im Sinne der DSGVO gelten.
Der EuGH erläutert, dass im vorliegenden Fall die angeforderten Daten in einem „Personenregister eines Gerichts“ gespeichert sind. Die Richter führen aus, dass diese Daten ein Dateisystem im Sinne des Art. 4 Nr. 6 DSGVO darstellen, wobei dies jedoch vom vorlegenden Gericht überprüft werden muss, unabhängig davon, ob sie in elektronischen Datenbanken oder physischen Akten geführt werden.
Datenschutzrechtliche Beurteilung
Der EuGH stellte in seinem Urteil klar, dass der Begriff der „Verarbeitung“ weit auszulegen ist und auch die mündliche Übermittlung umfasst. Sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen, ist der sachliche Anwendungsbereich der DSGVO auch für mündliche Übermittlungen eröffnet.
Ausnahmen von der Notwendigkeit der Speicherung der Daten können in den nationalen Rechtsordnungen geregelt werden. Als Beispiel ist § 26 Abs. 7 des deutschen Bundesdatenschutzgesetztes (BDSG) anzuführen, der bestimmt, dass die Regelungen des § 26 BDSG auch dann Anwendung finden, wenn Beschäftigtendaten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit werden alle Arten der Verarbeitung von Beschäftigtendaten erfasst, einschließlich der mündlichen Übermittlung personenbezogener Daten, z.B. im Rahmen von Telefongesprächen.
Fazit
Die weite Auslegung zur Eröffnung des datenschutzrechtlichen Anwendungsbereichs ist mit den Zielen der DSGVO vereinbar. Bei Grundrechtsschutz geht es um mögliche Verletzungen des Persönlichkeitsrechts des Einzelnen, welches freilich auch bei mündlichen Verarbeitungen erfolgen kann.
Da ausschließlich mündlich übermittelte Daten aber keinen späteren Missbrauch in Form bspw. einer unbefugten Offenlegung zur Folge haben können, ist die Einschränkung über den sachlichen Anwendungsbereich ebenfalls folgerichtig. Anders, wenn die Missbrauchsgefahr durch eine Aufzeichnung mündlicher Daten wieder ermöglicht wird.
Bei der Prüfung der Rechtmäßigkeit der mündlichen Übermittlung personenbezogener Daten ist demnach immer ein gedanklicher Zweischritt durchzuführen. Nämlich, ob es sich erstens überhaupt um eine relevante Datenverarbeitung handelt und zweitens diese mittels strukturierter Datenablage erfolgt. In den meisten Fällen wird man den sachlichen Anwendungsbereich der Verordnung nicht an der Feststellung einer Datenverarbeitung, sondern anhand der fehlenden Speicherung in einem Dateisystem scheitern lassen.
