Datenschutz als europäisches Grundrecht [1 ed.] 9783428519682, 9783428119684

Citation preview

Veröffentlichungen des Walther-Schücking-Instituts für Internationales Recht an der Universität Kiel Band 158

Datenschutz als europäisches Grundrecht Von

Birte Siemen

asdfghjk Duncker & Humblot · Berlin

BIRTE SIEMEN

Datenschutz als europäisches Grundrecht

Veröffentlichungen des Walther-Schücking-Instituts für Internationales Recht an der Universität Kiel Herausgegeben von J o s t D e l b r ü c k, R a i n e r H o f m a n n und A n d r e a s Z i m m e r m a n n Walther-Schücking-Institut für Internationales Recht

158

Völkerrechtlicher Beirat des Instituts: Rudolf Bernhardt Heidelberg

Eibe H. Riedel Universität Mannheim

Christine Chinkin London School of Economics

Allan Rosas Court of Justice of the European Communities, Luxemburg

James Crawford University of Cambridge

Bruno Simma International Court of Justice, The Hague

Lori F. Damrosch Columbia University, New York Vera Gowlland-Debbas Graduate Institute of International Studies, Geneva Fred L. Morrison University of Minnesota, Minneapolis

Daniel Thürer Universität Zürich Christian Tomuschat Humboldt-Universität, Berlin Rüdiger Wolfrum Max-Planck-Institut für ausländisches öffentliches Recht und Völkerrecht, Heidelberg

Datenschutz als europäisches Grundrecht Von

Birte Siemen

asdfghjk Duncker & Humblot · Berlin

Die Rechtswissenschaftliche Fakultät der Christian-Albrechts-Universität zu Kiel hat diese Arbeit im Jahre 2004 als Dissertation angenommen.

Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.

Alle Rechte vorbehalten # 2006 Duncker & Humblot GmbH, Berlin Fremddatenübernahme: L101 Mediengestaltung, Berlin Druck: Color-Druck Dorfi GmbH, Berlin Printed in Germany ISSN 1435-0491 ISBN 3-428-11968-1 Gedruckt auf alterungsbeständigem (säurefreiem) Papier ∞ entsprechend ISO 9706 *

Internet: http://www.duncker-humblot.de

Meinen Eltern

Vorwort Die vorliegende Arbeit wurde von der Juristischen Fakultät der ChristianAlbrechts-Universität zu Kiel im Wintersemester 2004/2005 als Dissertation angenommen. Für die Drucklegung konnten aktuelle Rechtsprechung und Literatur bis zum Frühjahr 2005 berücksichtigt werden. Mein besonderer Dank gilt meinem Doktorvater Prof. Dr. Dr. Rainer Hofmann für die beispielhafte Betreuung. Er hat mir alle Freiheiten gelassen und es auf einzigartige Weise verstanden, mich immer wieder zu motivieren. Ebenfalls sehr herzlich danken möchte ich meinem „Chef“ Prof. Dr. Andreas Zimmermann für schnelle Erstellung des Zweitgutachtens. Auch hat er immer darauf geachtet, dass neben der Arbeit am Lehrstuhl genug Freiraum für das Anfertigen dieser Arbeit blieb. Danken möchte ich außerdem allen Mitarbeitern des Walther-Schücking Instituts. Sie waren für die freundschaftliche und familiäre Atmosphäre verantwortlich, die die zwei Jahre am Institut unvergesslich machen. Der Zusammenhalt zwischen den Kollegen und der Spaß, den wir miteinander hatten, hat mir sehr viel bedeutet und mir in schwierigen Momenten immer geholfen. Der größte Dank gilt meiner Familie. Ohne ihre Unterstützung wäre es mir nicht möglich gewesen, diese Arbeit zu erstellen. Hauke hat mit unendlicher Geduld Korrektur gelesen, und auch für seine kritischen Anmerkungen bin ich ihm unendlich dankbar. Henrike war mir in der entscheidenden Phase einer große Hilfe. Für die Gewährung des Druckkostenzuschusses danke ich dem Bundesministerium des Inneren. Hamburg, im Sommer 2005

Birte Siemen

Inhaltsverzeichnis Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19

Teil 1 Europäische Grundrechte und die Notwendigkeit des Datenschutzes A. Europäische Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Grundrechte der EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Grundrechte in der Europäischen Gemeinschaft . . . . . . . . . . . . . . . . . . . . . . 1. Grundrechte als allgemeine Rechtsgrundsätze des Gemeinschaftsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Erkenntnisquellen der Gemeinschaftsgrundrechte . . . . . . . . . . . . . . . . . . a) Gemeinsame Verfassungsüberlieferung der Mitgliedstaaten . . . . . . b) Völkerrechtliche Verträge über den Schutz der Menschenrechte – die Bedeutung der Europäischen Menschenrechtskonvention . . . . c) Die Charta der Grundrechte für die Europäische Union . . . . . . . . . 3. Bindung durch die Gemeinschaftsgrundrechte . . . . . . . . . . . . . . . . . . . . . III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Die Bedeutung des Rechts auf Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Bedürfnis nach einem Grundrecht auf Datenschutz durch technologische Entwicklung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Internationale und supranationale Vereinbarungen zum Datenschutz . . . . 1. Das Fehlen datenschutzrechtlicher Vorschriften in internationalen Verträgen zum Schutz der Menschenrechte . . . . . . . . . . . . . . . . . . . . . . . 2. Instrumente der UN und der OECD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Übereinkommen und Empfehlungen des Europarates . . . . . . . . . . . . . . 4. Supranationale Instrumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Begriff und Grundprinzipien des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . 1. Begriff der Daten und des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . 2. Grundprinzipien des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24 25 25 27 27 29 29 30 32 33 35 35 35 38 39 40 40 43 45 47 47 49 50

10

Inhaltsverzeichnis

Teil 2 Datenschutz in der Europäischen Menschenrechtskonvention A. Datenschutz durch Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Struktur des Art. 8 EMRK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Das Recht auf Privatleben und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . a) Begriff des Privatlebens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Der Begriff des Privatlebens in der Literatur . . . . . . . . . . . . . . . (1) Kriterium der betroffenen Sphäre (Sphärentheorie) . . . . . . (2) Generelles Recht auf freie Entfaltung der Persönlichkeit. (3) Auswirkungen der unterschiedlichen Konzepte . . . . . . . . . (4) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Das Recht auf Privatleben in der Rechtsprechung der Straßburger Organe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Kriterium der Öffentlichkeit, X. gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Schutz der Entwicklung der eigenen Persönlichkeit, X. gegen Island. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Grenzen durch Rechte Dritter, Brüggemann und Scheuten gegen Bundesrepublik Deutschland . . . . . . . . . . . (4) Berufliche Tätigkeiten: Niemietz gegen Bundesrepublik Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (5) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Das Recht auf Privatleben im Umbruch? Neuere Entwicklungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Beispiele für in der Rechtsprechung anerkannte Aspekte des Privatlebens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Versuche der Kategorisierung . . . . . . . . . . . . . . . . . . . . . . . . . (3) Recht auf Selbstbestimmung aus Art. 8 EMRK? Pretty gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . . . . . . . . (4) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Anwendungsbereich des Rechts auf Privatleben im Zusammenhang mit Datenerhebung und Datenspeicherung . . . . . . . . . . . . . . . . aa) Das traditionelle Verständnis der Rechtsprechung . . . . . . . . . . . (1) X. gegen das Vereinigte Königreich . . . . . . . . . . . . . . . . . . . (2) Klass gegen die Bundesrepublik Deutschland. . . . . . . . . . . (3) Mc Veigh gegen Vereinigtes Königreich . . . . . . . . . . . . . . . (4) X. gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . . . . . (5) Malone gegen Vereinigtes Königreich. . . . . . . . . . . . . . . . . .

51 52 52 52 53 55 57 57 58 58 60 60 62 63 63 65 67 70 71 74 74 75 76 77 79 79 79 80 81 83 85 86

Inhaltsverzeichnis

11

(6) Leander gegen Schweden . . . . . . . . . . . . . . . . . . . . . . . . . . . . (7) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Die Rechtsprechung nach Leander . . . . . . . . . . . . . . . . . . . . . . . . (1) Lundvall gegen Schweden. . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Reyntjens gegen Belgien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Hilton gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . (4) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Entwicklungstendenzen zu einem Recht auf Datenschutz . . . (1) Medizinische Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Telekommunikationsdaten. . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Entscheidungen der Kommission zur Erhebung, Verarbeitung und Speicherung von Daten . . . . . . . . . . . . . . (a) Lupker gegen die Niederlande . . . . . . . . . . . . . . . . . . . . (b) Friedl gegen Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . (c) Campion gegen Frankreich . . . . . . . . . . . . . . . . . . . . . . . (d) Tsavachidis gegen Griechenland . . . . . . . . . . . . . . . . . . (e) Herbecq gegen Belgien . . . . . . . . . . . . . . . . . . . . . . . . . . (f) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Erhebung, Verarbeitung und Speicherung von Daten in der Rechtsprechung des Gerichtshofes. . . . . . . . . . . . . . . . . (a) Amann gegen die Schweiz . . . . . . . . . . . . . . . . . . . . . . . (b) Rotaru gegen Rumänien. . . . . . . . . . . . . . . . . . . . . . . . . . (c) P. G. und J. H. gegen das Vereinigte Königreich . . . . (d) Peck gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . (e) Perry gegen Vereinigtes Königreich . . . . . . . . . . . . . . . (5) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Weites Verständnis des Bezugs zum Privatleben – Der Vergleich mit der Datenschutzkonvention . . . . . . (b) Bezug zum Privatleben durch die Art und Weise der Verarbeitung – Systematische Speicherung . . . . . . . . . (c) Die Erwartungshaltung des Betroffenen. . . . . . . . . . . . (d) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Datenschutz als eigenständiges Element des Rechts auf Privatleben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Recht auf Informationelle Selbstbestimmung in Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Eingriffe in Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Eingriffshandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Das Gewinnen von Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Speichern und Verwenden von Informationen . . . . . . . . . . . . . . . . . . c) Verweigerung der Auskunft, Recht auf Einsichtnahme . . . . . . . . . . 2. Vorliegen einer Eingriffshandlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

88 90 91 91 93 94 94 97 97 100 103 103 104 106 107 108 109 110 110 112 113 117 118 120 121 123 126 128 129 130 132 133 133 135 135 137 137

12

Inhaltsverzeichnis III. Einschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die Einschränkung nach datenschutzrechtlichen Grundsätzen . . . . . . . 2. Die Einschränkung nach Art. 8 Abs. 2 EMRK. . . . . . . . . . . . . . . . . . . . . a) Gesetzlich vorgesehen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Gesetzliche Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Anforderungen an die Qualität des Gesetzes . . . . . . . . . . . . . . . cc) Die Zugänglichkeit des Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Die Vorhersehbarkeit des Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . (1) Eingeschränkte Vorhersehbarkeit durch Ermessen . . . . . . . (2) Sonderfall geheime Überwachungsmaßnahmen . . . . . . . . . (3) Mindestanforderungen für Vorschriften zum Erheben und Speichern von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Legitimes Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Verhältnismäßigkeit des Eingriffs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Necessary in a democratic society. . . . . . . . . . . . . . . . . . . . . . . . . bb) Margin of Appreciation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Beispiele aus der Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . (1) Unproblematische Fälle: Maßnahmen zur Verhütung von Straftaten und der nationalen Sicherheit. . . . . . . . . . . . (2) Maßnahmen zur Bekämpfung des Terrorismus. . . . . . . . . . (3) Geheime Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Umgang mit besonders sensiblen Daten . . . . . . . . . . . . . . . . (5) Verwendung von Geheimdienstarchiven nach dem Zusammenbruch des Ostblocks. . . . . . . . . . . . . . . . . . . . . . . . (a) Stasi-Unterlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Umgang mit Archiven totalitärer Regime außerhalb Deutschlands – der Fall Rotaru . . . . . . . . . . . . . . . . . . . . (c) Zusammenfassende Beurteilung . . . . . . . . . . . . . . . . . . . (6) Schutzmaßnahmen des Staates (Safeguards) . . . . . . . . . . . . dd) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Positive Verpflichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Positive Pflichten zur Beteiligung der Betroffenen . . . . . . . . . . . . . . . . . a) Das datenschutzrechtliche Prinzip der Beteiligung des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Beteiligungsrechte in Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Das Recht auf Zugang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Leander gegen Schweden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Gaskin gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . (3) Martin gegen die Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Martin gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . (5) M. G. gegen Vereinigtes Königreich . . . . . . . . . . . . . . . . . . .

138 139 140 140 140 144 145 145 146 147 149 149 151 153 153 154 156 157 159 161 165 167 168 170 172 173 176 176 177 179 179 180 181 181 182 185 188 189

Inhaltsverzeichnis

13

(6) Das Recht auf Zugang zu persönlichen Daten als Verfahrensgarantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Berichtigungs- und Löschungsanspruch . . . . . . . . . . . . . . . . . . . cc) Andere positive Verpflichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . c) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Einschränkungsmöglichkeiten „Fair balance test“. . . . . . . . . . . . . . . . . . V. Drittwirkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

191 192 195 196 197 201 204

B. Datenschutz außerhalb von Art. 8 EMRK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Datenschutzrechtliche Aspekte in Art. 5 EMRK . . . . . . . . . . . . . . . . . . . . . . II. Datenschutzrechtliche Aspekte in Art. 6 EMRK . . . . . . . . . . . . . . . . . . . . . . III. Datenschutzrechtliche Aspekte in Art. 13 EMRK . . . . . . . . . . . . . . . . . . . . . IV. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

204 204 206 208 210

C. Ergebnis für den Datenschutz in der EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Teil 3 Datenschutz in der Europäischen Gemeinschaft A. Der Datenschutz in der Gemeinschaft vor Erlass der Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Der Anwendungsbereich des Rechts auf Privatleben im Hinblick auf den Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die Rechtssache Stauder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Die Rechtssache Watson und Bellmann . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Die Rechtssache National Panasonic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Die Rechtssache Adams. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Die Rechtssache Hoechst. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Die Rechtssache Kommission gegen Deutschland (Arzneimittelimporte) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Rechtssache X. gegen Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Eingriffe in das Recht auf Achtung des Privatlebens . . . . . . . . . . . . . . . . . . III. Einschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Rechtsakte und Vorschriften der Gemeinschaft im Bereich des Datenschutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Datenschutzrichtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Vorgeschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Inhalt der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Der Anwendungsbereich der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . b) Die grundlegenden Prinzipien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Die Verwendung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

212

213 214 214 216 218 220 221 222 223 225 226 227 230 231 232 232 233 234 237 237

14

Inhaltsverzeichnis bb) Die Rechte des Betroffenen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Kontrollmechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Beurteilung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Datenschutz bei Rechtsakten der Europäischen Gemeinschaft . . . . . . . . . . 1. Der Datenschutz im Primärrecht, Art. 286 EGV . . . . . . . . . . . . . . . . . . . 2. Die Datenschutzverordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Das Verhältnis der verschiedenen datenschutzrechtlichen Regelungen der Gemeinschaft untereinander. . . . . . . . . . . . . . . . . . . . . . . 4. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

C. Ein Grundrecht auf Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Rechtssache TR. und P. Fisher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Die Rechtssache Österreichischer Rundfunk . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Ausgangslage und Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Das Vorbringen der Beteiligten und Erwägungen der vorlegenden Gerichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Die Schlussanträge von Generalanwalt Tizzano . . . . . . . . . . . . . . . . . . . . 4. Die Auffassung des Gerichts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Die Anwendbarkeit der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Die Vereinbarkeit der nationalen Vorschrift mit der Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Die Anwendbarkeit der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Das Grundrecht auf Datenschutz – Das Zusammenspiel mit Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Das Urteil Lindquist. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Ausgangslage und Vorlagefragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Stellungnahme des Gerichts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

239 240 241 243 243 245 248 250 251 252 255 255 256 257 258 258 259 262 262 264 267 267 268 268 270

D. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Ein durch die Datenschutzrichtlinie geprägtes Gemeinschaftsgrundrecht. II. Das Recht auf Datenschutz – ein hybrides Grundrecht. . . . . . . . . . . . . . . . . III. Auswirkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Der Einfluss der EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Die Eingriffsmöglichkeiten und die Einschränkbarkeit . . . . . . . . . . . . . . . . . VI. Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

272 272 274 276 277 278 279

E. Der Datenschutz in der Grundrechtecharta der Europäischen Union . . . I. Die Bedeutung und Reichweite von Art. 8 GRC . . . . . . . . . . . . . . . . . . . . . . 1. Allgemeiner Schutzbereich, Art. 8 Abs. 1 GRC. . . . . . . . . . . . . . . . . . . . 2. Schranken des Art. 8 Abs. 2 GRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Schranken des Art. 52 GRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

280 280 281 283 284

Inhaltsverzeichnis a) Rechte, die den durch die EMRK garantierten Rechten entsprechen, Art. 52 Abs. 3 GRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Rechte, die in den Gemeinschaftsverträgen oder im Vertrag über die Europäische Union begründet sind, Art. 52 Abs. 2 GRC. . . . . c) Die allgemeine Schrankenvorschrift des Art. 52 Abs. 1 GRC. . . . d) Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der Anwendungsbereich der Charta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die Funktion des Art. 51 Abs. 1 GRC. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Der Konflikt mit der Rechtsprechung des EuGH zum Datenschutz . . III. Ergebnis und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

284 286 286 287 288 288 290 292

F. Der Datenschutz im Verfassungsentwurf, Art. I-50. . . . . . . . . . . . . . . . . . . . . 293 G. Gesamtergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

Teil 4 Das besondere Problem der Übermittlung von Daten in ein Drittland

297

A. Der Export von Daten nach den Vorschriften der Richtlinie . . . . . . . . . . . 297 I. Angemessenes Schutzniveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 II. Ausnahmeregelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 B. Die Übermittlung von Flugdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Gesetzeslage in den Vereinigten Staaten . . . . . . . . . . . . . . . . . . . . . . . . . II. Datenschutzrechtliche Bedenken der Europäischen Gemeinschaft . . . . . . 1. Die Stellungnahmen der Artikel 29-Datenschutzgruppe . . . . . . . . . . . . 2. Ablehnung der Rechtsakte durch das Europäische Parlament . . . . . . . 3. Überprüfung durch den Gerichtshof . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Materielle Rechtmäßigkeit – Angemessenheit des Schutzniveaus. . . . 2. Die Vorgehensweise der Gemeinschaft – Funktion der Abkommen. . 3. Die Rechtmäßigkeit des Abkommens – Verstoß gegen Gemeinschaftsrecht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

305 305 307 307 313 317 318 318 321 323 327

Teil 5 Schlussbetrachtung

329

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

Abkürzungsverzeichnis a. A. a. a. O. Abl. Abs. AEL AEMR a. F. AfP AJIL Anm. AöR Art. Bd. BDSG BGBl. BVerfG BVerfGE BYIL bzgl. bzw. CMLR CSLR ders. Dok. DÖV DR DuD DVBl EBLR EG EGMR EGV EHRLR EJIL EKMR ELJ

anderer Ansicht am angegebenen Ort Amtsblatt Absatz Collected Courses of the Academy of European Law Allgemeine Erklärung der Menschenrechte alter Fassung Archiv für Presserecht American Journal of International Law Anmerkung Archiv des öffentlichen Rechts Artikel Band Bundesdatenschutzgesetz Bundesgesetzblatt Bundesverfassungsgericht Entscheidungen des Bundesverfassungsgerichts British Yearbook of International Law bezüglich beziehungsweise Common Market Law Review Computer Law & Security Report derselbe Dokument Die öffentliche Verwaltung Decisions and Reports Datenschutz und Datensicherheit Deutsche Verwaltungsblätter European Business Law Review Europäische Gemeinschaften Europäischer Gerichtshof für Menschenrechte Vertrag zur Gründung der Europäischen Gemeinschaften European Human Rights Law Review European Journal of International Law Europäische Kommission für Menschenrechte European Law Journal

Abkürzungsverzeichnis ELRev EMRK EU EuG EuGH EuGRZ EuR EuZW EWS f., ff. Fn. FS GG GRC Hg. h. M. HRLJ IJHR IPBürg IPWirt i. V. m. JA JCMS JZ KOM MJ m. w. N. n. F. NILR NJCM Bulletin NJW NQHR NVwZ OJ ÖZÖRV PLPR RabelsZ RDMC

European Law Review Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten Europäische Union Gericht erster Instanz der Europäischen Gemeinschaften Gerichtshof der Europäischen Gemeinschaften Europäische Grundrechte Zeitschrift Europarecht Europäische Zeitschrift für Wirtschaftsrecht Europäische Zeitschrift für Wirtschafts- und Steuerrecht folgende(r) Fußnote Festschrift Grundgesetz für die Bundesrepublik Deutschland Charta der Grundrechte der Europäischen Union Herausgeber herrschende Meinung Human Rights Law Journal International Journal of Human Rights Internationaler Pakt über bürgerliche und politische Rechte Internationaler Pakt über wirtschaftliche, soziale und kulturelle Rechte in Verbindung mit Juristische Arbeitsblätter Journal of Common Market Studies Juristenzeitung Kommissionsdokument Maastricht Journal of European and Comparative law mit weiteren Nachweisen neue Fassung Netherlands International Law Review Nederlands Juristen Comité voor de Mensenrechten Bulletin (Nederlands Tijdschrift voor de Mensenrechten) Neue Juristische Wochenschrift Netherlands Quarterly of Human Rights Neue Zeitschrift für Verwaltungsrecht Official Journal Österreichische Zeitschrift für Öffentliches Recht und Völkerrecht Privacy Law & Policy Reporter Rabels Zeitschrift für ausländisches und internationales Privatrecht Revue du Marché Commun et de l’Union Européenne

17

18 RDV REDP Rep. RL Rn. Rs. Rspr. RTD eur RTDH RUDH S. Slg. st. u. a. USA vgl. VO Vol. VVDStRL Yale LJ YEL ZaöRV ZEuS ZfRV ZRP

Abkürzungsverzeichnis Recht der Datenverarbeitung Revue européenne de droit public Reports of Judgements and Decisions Richtlinie Randnummer Rechtssache Rechtsprechung Revue trimestrielle de droit européen Revue trimestrielle des droits de l’Homme Revue universelle des droits de l’homme Seite Sammlung ständige unter anderem United States of America vergleiche Verordnung Volume Veröffentlichungen der Vereinigung deutscher Staatsrechtslehrer Yale Law Journal Yearbook of European Law Zeitschrift für ausländische öffentliches Recht und Völkerrecht Zeitschrift für Europarechtliche Studien Zeitschrift für Rechtsvergleichung, nationales Privatrecht und Europarecht Zeitschrift für Rechtspolitik

Einleitung „The intensity and complexity of life, attendant upon advancing civilization, have rendered necessary some retreat from the world, and man, under the refining influence of culture, has become more sensitive to publicity, so that solitude and privacy have become more essential to the individual; but modern enterprises have, through invasions upon his privacy, subjected him to mental pain and distress, far greater than could be inflicted by mere bodily injury.“1 Persönlichen Daten werden nicht mehr allein nur in den Nationalstaaten erhoben und genutzt. Durch moderne Kommunikationsmittel kann weltweit auf Daten zugegriffen werden, so dass ein grenzenloser freier Informationsaustausch möglich ist. Da Informationen ein bedeutsames Wirtschaftsgut und ein wichtiger Wettbewerbsfaktor sind,2 ist dies aus ökonomischer Sicht zu begrüßen. Gleichwohl wirkt sich der Informationsfluss nachteilig auf die Position des Einzelnen aus. Durch die automatische Datenverarbeitung können Daten unbegrenzt und sehr schnell abgerufen werden. Außerdem lassen sich aus ihnen umfangreiche Persönlichkeitsprofile herstellen, über deren Existenz der Einzelne nicht informiert ist und die er nicht auf seine Richtigkeit kontrollieren kann. Damit haben sich „in einer bisher unbekannten Weise die Möglichkeiten einer Einsicht- und Einflußnahme erweitert, welche auf das Verhalten des Einzelnen schon durch den psychischen Druck öffentlicher Anteilnahme einzuwirken vermögen“3. Dies wirft die Frage auf, ob und inwiefern dieser unbeschränkte Datenfluss zum Schutz des Individuums eingeschränkt werden muss. Dabei wird deutlich, dass der Datenverkehr bestimmt wird durch den Interessenskonflikt zwischen Informationsfreiheit einerseits und Regulierung zum Schutz der Rechte des Einzelnen andererseits. 1

Warren/Brandeis, Harvard Law Reviev 1890, S. 196. Tinnefeld/Ehmann, Einführung in das Datenschutzrecht, S. 3, vgl. zur wirtschaftlichen Bedeutung auch Knaub, La protection des données, in: Cassese/ Clapham/Weiler (Hg.), Human Rights and the European Community, S. 367. 3 BVerfGE 65 1, (42), Volkszählung; ähnlich auch: de Hert: „The fundamental right to be human is touched and threatened if all your actions are being scrutinized, because of the simple fact that we behave differently when we are observed.“, European Data Protection as a Potential Framework for Electronic Visual Surveillance, in: Nijboer/Riejntes (Hg.) Proceedings of the First World Conference on New Trends in Criminal Investigation and Evidence, S. 560. 2

20

Einleitung

Während früher zum Schutz des Einzelnen allein das Recht auf Privatleben ausreichte, stößt dieses inzwischen an seine Grenzen. Traditionell wird vom Privatleben nur der sensible und intime Bereich der Persönlichkeitssphäre erfasst. Heutzutage sind es aber vor allem jene Maßnahmen, durch die Informationen in der Öffentlichkeit gesammelt, gespeichert und verarbeitet werden, die zunehmend kritisch betrachtet werden. Neue technologische Entwicklungen ermöglichen die Verarbeitung von Daten in einem Maße, das aus grundrechtlicher Sicht durchaus bedenklich ist. Gleichwohl kann dieser Bereich nicht ohne weiteres dem Privatleben zugerechnet werden.4 Dies ist nur ein Beispiel, warum in vielen Rechtsordnungen Instrumente entwickelt worden sind, um die Rechte des Einzelnen zu schützen. In der Folge kam es zur Entstehung des Datenschutzrechts. Nach allgemeinem Verständnis erschöpft sich das Datenschutzrecht jedoch nicht im Grundrechtsschutz, sondern regelt auch die Verarbeitung personenbezogener Daten zwischen Privaten.5 Dieser Bereich soll hier jedoch nur insoweit behandelt werden als er für den Grundrechtsschutz relevant ist. Gegenstand der Arbeit ist in erster Linie der Datenschutz als Grundrechtsschutz. Dieser ist in den meisten Rechtsordnungen auf nationaler Ebene schon seit längerem vorhanden. Bereits Anfang der siebziger Jahre wurden die ersten Datenschutzgesetze verabschiedet. Den Anfang machte das Bundesland Hessen im Jahr 1970,6 kurze Zeit später erließ Schweden7 ein entsprechendes Gesetz. Zwar übernahm Europa damit eine Vorreiterrolle, innerhalb der Europäischen Gemeinschaft zeigte sich allerdings schnell, dass die nationalen Gesetze den Herausforderungen, die die fortschreitende Integration für den Datenschutz bedeutete, nicht gewachsen waren. Die Entwicklung des Binnenmarktes und der damit verbundene Abbau der zwischenstaatlichen Grenzen verstärkte das Bedürfnis nach einem möglichst ungehinderten Datenfluss zwischen den Mitgliedstaaten der Gemeinschaft. Mit dem zunehmenden innergemeinschaftlichen Datenverkehr stellte sich die Frage nach dem Grundrechtsschutz folglich auch auf dieser Ebene. Traditionell werden Grundrechte durch die Verfassungen der Mitgliedstaaten und internationale Instrumente geschützt.8 Bereits aus der frühen Rechtsprechung des Europäischen Gerichthofes (EuGH) ergibt sich jedoch, dass Rechtsakte der Gemeinschaft nicht am Maßstab nationaler Grundrechte überprüft werden können.9 Auch die Europäische Menschenrechtskonven4

Vgl. Austin, Privacy and the Question of Technology, Law and Philosophy 22 (2003), S. 120. 5 Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 60. 6 Hessisches Datenschutzgesetz vom 7.10.1970, GVBl. 1970 I, S. 625. 7 Datalagen von 1973, Svensk Författningssamling (SFS) 1973:289. 8 Brühann, in: Grabitz/Hilf, Bd. III, Vorbem. A 30, Rn. 1.

Einleitung

21

tion (EMRK)10, der einzige verbindliche Menschenrechtskatalog, der über ein eigenes Kontrollsystem verfügt,11 kann nicht ohne weiteres zur Überprüfung von Gemeinschaftsrechtsakten herangezogen werden.12 Eine Bindung der Gemeinschaft an die EMRK ergibt sich daher nur mittelbar, indem Verstöße gegen die Konvention den Mitgliedstaaten zugerechnet werden.13 Selbst wenn man eine – wie auch immer geartete – Bindung der Gemeinschaft an die EMRK annimmt, gibt dies noch keinen Aufschluss über den Datenschutz, da ein solches Recht nicht ausdrücklich durch die Konvention verbürgt wird. Es müsste erst ermittelt werden, inwieweit der Datenschutz unter eines der bestehenden Konventionsrechte subsumiert werden kann. Es stellt sich daher die Frage nach einer unmittelbaren Grundrechtsbindung der Gemeinschaft im Bereich des Datenschutzes. Da die Grundrechtecharta noch nicht in Kraft getreten ist, ergibt sich die Antwort bisher allein aus der Rechtsprechung des EuGH. Hier zeigt sich erneut die Bedeutung der EMRK für den Grundrechtsschutz in Europa. Da der Gerichtshof die Gemeinschaftsgrundrechte aus den Verfassungsüberlieferungen der Mitgliedstaaten und der EMRK herleitet, beeinflusst die Konvention die Auslegung der Grundrechte über ihren eigentlichen Geltungsbereich hinaus. Obwohl der Europäische Gerichtshof bisher kein selbständiges Grundrecht auf informationelle Selbstbestimmung bzw. Datenschutz anerkannt hat, wird vielfach 9

EuGH, Rs. 11/70, Internationale Handelsgesellschaft, Slg. 1970, 1125, Rn. 3, seitdem ständige Rechtsprechung. 10 Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950, BGBL. 1952 II S. 685, 953 zuletzt geändert durch Prot. Nr. 11 v. 11.5.1994 BGBL. 1995 II S. 579. 11 Zu der durch den effektiven Durchsetzungsmechanismus begründeten überragenden Bedeutung der EMRK, Herdegen, Europarecht, Rn. 19; vgl. auch Grabenwarter, Europäische Menschenrechtskonvention, § 9 Rn. 1. 12 Da die EU/EG nicht Vertragspartei der EMRK ist, kann sie nicht an sie gebunden sein. Auch der immer wieder diskutierte Beitritt ist erst nach einer Änderung des Art. 59 Abs. 1 S. 1 EMRK möglich, da dieser die Mitgliedschaft der EMRK von der Mitgliedschaft im Europarat abhängig macht und diese Staaten vorbehalten ist (Art. 4 der Satzung des Europarates). Zudem fehlt der Gemeinschaft vor Inkrafttreten des Verfassungsentwurfs die Kompetenz zum Beitritt, vgl. EuGH, Gutachten 2/94, Slg. 1996, I-1759. Siehe dazu im Einzelnen: Bernhardt, Probleme eines Beitritts der Europäischen Gemeinschaft zur Europäischen Menschenrechtskonvention, in: Due (Hg.), FS Everling, S. 103; Winkler, Der Beitritt der Europäischen Gemeinschaften zur Europäischen Menschenrechtskonvention, S. 46 ff. m. w. N. 13 EGMR, Urteil vom 18. Februar 1999, Waite und Kennedy, (App. 26083/94), Rep. 1999-I, § 67; EGMR, Urteil vom 18. Dezember 1999, Beer und Regan, (App. 28934/95), § 57; EGMR, Urteil vom 18. Februar 1999, Matthews ./. Vereinigtes Königreich, (App. 24833/94), Rep. 1999-I, § 32; siehe auch Bernhardt, Probleme eines Beitritts der Europäischen Gemeinschaft zur Europäischen Menschenrechtskonvention, in: Due (Hg.), FS Everling, S. 105; Tulkens, RUDH 2000, S. 1; siehe dazu auch unter Teil 3, B.IV.

22

Einleitung

angenommen, dass ein solches Recht inzwischen existiert.14 Dabei ist jedoch nur wenig untersucht, welche Entwicklung dieses Recht genommen hat. Offen ist vor allem, welche Funktion die speziellen datenschutzrechtlichen Instrumente in diesem Zusammenhang haben. Sowohl auf Ebene der Gemeinschaft als auch im Europarat existieren mit der Datenschutzrichtlinie15 bzw. der Datenschutzkonvention16 detaillierte sekundärrechtliche Vorschriften, die Anhaltspunkte für den anzulegenden datenschutzrechtlichen Maßstab bieten. Es gilt daher zu ermitteln, welche der in diesen Instrumenten enthaltenen Regelungen als allgemeine Datenschutzgrundsätze bezeichnet werden können und inwieweit sich diese Prinzipien auf grundrechtlicher Ebene wiederfinden. Es greift jedoch zu kurz, wenn man sich auf die Untersuchung eines Gemeinschaftsgrundrechts auf Datenschutz beschränkt. Bedenklich stimmt diesbezüglich vor allem, dass die Wirksamkeit der Gemeinschaftsgrundrechte stark von der Rechtsprechung des EuGH abhängig ist, der individuelle Rechtsschutz im System der Gemeinschaft jedoch nur eingeschränkt möglich ist.17 Dass die Individualbeschwerde im Bereich des Datenschutzes aber unter Umständen ein entscheidendes Mittel zur Sicherung der Grundrechte darstellt, zeigt sich im Zusammenhang mit den Maßnahmen, die in der Reaktion auf die terroristischen Anschläge vom 11. September und von Madrid getroffen wurden.18 Eine Einschränkung des Datenschutzes erscheint den Staaten als besonders geeignetes und notwendiges Mittel, um terroristischen Anschlägen vorzubeugen und den Terrorismus zu bekämpfen.19 So setzten sich die Kommission und der Rat der Europäischen Union etwa im Zusammen14

Siehe z. B. Schorkopf, in: Ehlers, (Hg.) Europäische Grundrechte und Grundfreiheiten, § 14 I 1, Rn. 14; Bergkamp/D’Hont, EDI Law Review 2000, S. 78. 15 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Abl. 1995 L 281/31 (Datenschutzrichtlinie 95/46/EG). 16 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, Council of Europe Treaty Series (ETS) No. 108 vom 28. Januar 1981 (Datenschutzkonvention). 17 So besteht eine direkte Klagemöglichkeit für Individuen ausschließlich unter den Voraussetzungen des Art. 230 Abs. 4 EGV, die sehr restriktiv ausgelegt werden, vgl. die umfassende Darstellung bei Burgi, in: Rengeling, Handbuch des Rechtsschutzes, § 7 Rn. 51 ff. 18 Siehe etwa den Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, vom 17.03.2004, KOM (2004) 190 endgültig. 19 Dazu ausführlich: de Schutter, RUDH 2001, S. 187.

Einleitung

23

hang mit der Übermittlung von Fluggastdaten in die Vereinigten Staaten über vorgebrachte datenschutzrechtliche Bedenken hinweg und handelten ein aus grundrechtlicher Sicht durchaus als bedenklich einzustufendes Abkommen aus. Da sowohl die Kommission als auch – durch den Rat – die Mitgliedstaaten an dem Abschluss dieses Abkommens beteiligt sind, könnte eine Grundrechtsverletzung vor dem EuGH nur durch das Parlament oder einzelne Unionsbürger gerügt werden. Sollte dem Einzelnen dieser Weg allerdings mangels Klagebefugnis versperrt sein, stünde eine Grundrechtsverletzung zu befürchten, gegen die vor den Gerichten der Gemeinschaft kein Rechtschutz möglich ist. In einem solchen – allerdings zugegebenermaßen sehr extremen Szenario – bestünde die einzige Möglichkeit einer grundrechtlichen Überprüfung in einer Klage vor dem Europäischen Gerichtshof für Menschenrechte (EGMR) in Straßburg. Insofern zeigt sich, dass die EMRK eine wichtige Rolle spielt und es stellt sich nicht nur die Frage nach einem Gemeinschaftsgrundrecht auf Datenschutz, sondern nach einem europäischen, also das Europarecht im weiteren Sinne20 umfassenden Grundrecht auf Datenschutz. Gegenstand dieser Arbeit soll daher die Frage sein, ob man tatsächlich inzwischen von einem europäischen Grundrecht auf Datenschutz sprechen kann und wie dies ausgeprägt ist. Deshalb soll in einem ersten Teil zunächst ein kurzer Überblick über die Entwicklung der Grundrechte des Europarechts im weiteren Sinne und die Bedeutung des Rechts auf Datenschutz gegeben werden (Teil 1). Hier sind vor allem einige Begrifflichkeiten und die Grundprinzipien des Datenschutzes zu erklären. Anschließend wird die Rolle des Datenschutzes in der Europäischen Menschenrechtskonvention analysiert. Dazu ist eine umfassende Auseinandersetzung mit der Rechtsprechung der Europäischen Kommission für Menschenrechte (EKMR) und des EGMR erforderlich (Teil 2). Es folgt eine Bestandsaufnahme der Rechtsprechung des EuGH, die in Bezug auf die grundrechtliche Gewährleistung des Datenschutzes von Bedeutung ist. So ist es möglich, den derzeitigen Stand der Entwicklung zu beschreiben. Im Hinblick auf die Ausarbeitung eines Entwurfes einer europäischen Verfassung, der erstmalig einen geschriebenen Grundrechtskatalog für die Gemeinschaft vorsieht, kann nicht darauf verzichtet werden, die Rolle des Datenschutzes in der Grundrechtecharta zu untersuchen. Damit ist gleichzeitig ein Ausblick auf zu erwartende Entwicklungen verbunden (Teil 3). Kurz soll auch auf einige aktuelle datenschutzrechtliche Fragen in der Gemeinschaft eingegangen werden (Teil 4), bevor schließlich die Ergebnisse der einzelnen Abschnitte kurz zusammengefasst und bewertet werden (Teil 5).

20

Vgl. Epiney/Freiermuth, Datenschutz in der Schweiz und in Europa, S. 26.

Teil 1

Europäische Grundrechte und die Notwendigkeit des Datenschutzes Die am 7. Dezember 2000 feierlich proklamierte Europäische Charta der Grundrechte1 enthält ein im System des Grund- und Menschenrechtsschutzes auf internationaler und überregionaler Ebene bisher unbekanntes Recht: Ein Recht auf Schutz personenbezogener Daten. Dort heißt es: (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Mit Inkrafttreten2 dieser Vorschrift wird der Datenschutz erstmals in den Rang eines eigenständigen Grundrechts gehoben. Zudem handelt es sich bei Art. 8 der Grundrechtecharta um ein sehr modernes Grundrecht. Zwar kann es wegen seiner fehlenden rechtlichen Verbindlichkeit heute noch keine unmittelbare Wirkung entfalten. Doch den durch die Grundrechtecharta garantierten Rechten kann insofern rechtliche Relevanz zukommen, als dass sie als Ausdruck der gemeinsamen Verfassungsüberlieferung der Mitgliedstaaten verstanden werden können.3 Ferner zeigt die Vorschrift, welcher grundrechtliche Standard im Bereich des Datenschutzes in der Gemeinschaft zukünftig als erstrebenswert erachtet 1

Charta der Grundrechte der Europäischen Union, Abl. 2000/C 364/1. Dies setzt voraus, dass der von den Mitgliedstaaten auf der Regierungskonferenz in Brüssel am 18. Juni 2004 angenommene Verfassungsentwurf von allen Mitgliedstaaten ratifiziert wird, vgl. RK 2003/2004, Vorläufige konsolidierte Fassung des Vertrages über eine Verfassung für Europa vom 25. Juni 2004, CIG 86/04, abrufbar unter: http://ue.eu.int/igcpdf/de/04/cg00/cg00086.de04.pdf (April 2005). 3 Griller, Der Anwendungsbereich der Grundrechtecharta, in: Duschanek/Griller (Hg.), Grundrechte für Europa – Die Europäische Union nach Nizza, S. 133; Lenaerts/De Smijter, CMLR 2001, S. 298. 2

A. Europäische Grundrechte

25

wird. Es stellt sich daher die Frage, ob die in Art. 8 der Charta verbürgten Rechte so oder zumindest ähnlich auch heute in Europa schon Anwendung finden. Mit anderen Worten: Kann man auch heute schon ein europäisches Grundrecht auf Datenschutz annehmen?

A. Europäische Grundrechte Spricht man von „europäischen Grundrechten“ oder „Grundrechten auf europäischer Ebene“,4 ist zwischen den Grundrechten der Europäischen Gemeinschaften und denjenigen, die durch die Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten garantiert werden, zu differenzieren.

I. Grundrechte der EMRK Die Europäische Menschenrechtskonvention ist ein von Mitgliedern des Europarates geschlossener völkerrechtlicher Vertrag, der am 3. September 1953 in Kraft trat und dem heute 45 Mitgliedstaaten angehören.5 Wie noch näher auszuführen sein wird, kommt der EMRK als Rechtserkenntnisquelle eine große Bedeutung bei der Konkretisierung der Gemeinschaftsgrundrechte zu. Vor allem ist die EMRK aber als eigenständiges Instrument des Menschenrechtsschutzes auf europäischer Ebene zu beachten. Die EMRK und ihre Zusatzprotokolle enthalten in erster Linie Bürger- und politische Rechte, die innerstaatlich unmittelbar anwendbar sind.6 Der unter der EMRK geschaffene Europäische Gerichtshof für Menschenrechte hat die Kompetenz, für die Mitgliedstaaten der EMRK verbindliche Urteile zu sprechen. So hat der EGMR zur Bedeutung der EMRK hervorgehoben: „unlike international treaties of the classic kind, the Convention comprises more than mere reciprocal engagements between contracting states. It creates, over and above a network of mutual and bilateral undertakings, objective obligations, which in the words of the preamble, benefit from a ‚collective enforcement‘.“7

In den fast 50 Jahren seit ihrem Inkrafttreten haben die Straßburger Organe die EMRK zu einem einflussreichen Instrument des Grundrecht4 Zur Terminologie: Wolf, Vom Grundrechtsschutz „in Europa“ zu allgemeinverbindlich geltenden europäischen Grundrechten in: Bröhmer (Hg.), Der Grundrechtsschutz in Europa, S. 11. 5 Quelle: Vertragsbüro auf: http://conventions.coe.int (April 2005). 6 Vgl. Schweitzer, Staatsrecht III, Rn. 438; Polakiewicz, HRLJ 1991, S. 65 ff.; ders. HRLJ 17 (1996), S. 405 ff. 7 EGMR, Urteil vom 18. Januar 1978, Ireland ./. United Kingdom, (App. 5310/ 71), Serie A 25, § 239.

26

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

schutzes entwickelt. In der Folge mussten die Mitgliedstaaten ihre Gesetze und Verfahrensweisen anpassen, damit diese den Erfordernissen der Konvention aus der Sicht der Organe entspricht. Die Tatsache, dass der EuGH die EMRK als Interpretationshilfe bei der Ausgestaltung der Gemeinschaftsgrundrechte benutzt, dabei jedoch nicht an die Entscheidungen des EGMR gebunden ist, führt unvermeidbar zu einer abweichenden oder widersprüchlichen Auslegung der Grundrechte zwischen den beiden Gerichtshöfen.8 Dies kann für die Mitgliedstaaten der Gemeinschaft unter Umständen zu unauflösbaren Konflikten führen, da sie zugleich auch Mitgliedstaaten des Europarates sind und daher, soweit keine Vorbehalte greifen, an die EMRK gebunden sind. Nach der Rechtsprechung des EGMR bleiben die Vertragsstaaten der EMRK auch nach der Übertragung von Hoheitsrechten auf zwischenstaatliche Einrichtungen, wie z. B. die EG, für die Gewährleistung der in der EMRK verbürgten Grundrechte verantwortlich.9 Daher können die Mitgliedstaaten, sobald der Grundrechtsschutz der Gemeinschaft hinter dem der EMRK zurück bleibt, in einen Loyalitätskonflikt geraten. Einerseits sind sie verpflichtet, bindendes Gemeinschaftsrecht anzuwenden, andererseits verstoßen sie damit gegen die EMRK. Auch die Vermutung, dass der EuGH in den Fällen Hoechst und Orkem der Auslegung des EGMR gefolgt wäre, wenn damals bereits eine Rechtsprechung des EGMR zu den einschlägigen Artikeln vorgelegen hätte,10 hat sich als nicht richtig erwiesen. So hat er im Fall Roquette Frères seine Hoechst8

So legte der EGMR im Urteil vom 16. Dezember 1992, Niemietz gegen Deutschland, (App. 13710/88), Serie A, 251-B, Art. 8 EMRK dahingehend aus, das dessen Schutzbereich auch berufliche Tätigkeiten und Geschäftsräume mit umfasst, was der EuGH in den verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2924 verneint hatte. Widersprüche zeigen sich zudem auch zwischen den Art. 6 EMRK betreffenden Urteilen EGMR, Urteil vom 25. Februar 1993, Funke ./. Frankreich (App. 10828/84), Serie A, 256-A und EuGH, Rs. 374/87, Orkem, Slg. 1989, 3283; vgl. auch: Toth, CMLR 1997, S. 499, der eine divergierende Rechtsprechung der Gerichtshöfe schon deshalb für wahrscheinlich hält, weil sich beide vornehmlich auf eine teleologische Auslegungsmethode stützten, dabei jedoch unterschiedliche Ziele verfolgten. 9 EGMR, Urteil vom 18. Februar 1999, Waite und Kennedy, (App. 26083/94), Rep. 1999-I, § 67; EGMR, Urteil vom 18. Dezember 1999, Beer und Regan, (App. 28934/95), § 57; EGMR, Urteil vom 18. Februar 1999, Matthews ./. Vereinigtes Königreich, (App. 24833/94), Rep. 1999-I, § 32. 10 Darauf deuten Aussagen des ehem. Präsidenten des EuGH Rodriguez Iglesias hin, der unter anderem zu der Rs. Hoechst feststellte, dass „hierzu keine Rechtsprechung des EGMR vorliegt“, Rodriguez Iglesias, NJW 1999 S. 8; für eine Zusammenfassung der Divergenzen in der Rechtsprechung der beiden Gerichte Alber/Widmaier, EuGRZ 2000, S. 504.

A. Europäische Grundrechte

27

Rechtsprechung weitgehend bestätigt,11 was deutlich macht, dass Kontroversen zwischen den Gerichten nicht grundsätzlich ausgeschlossen sind.12 Der EGMR kann auf einen geschriebenen Menschenrechtskatalog zurückgreifen und muss diesen auch anwenden. Dennoch kann der Gerichtshof neuen Herausforderungen begegnen, da er die Konvention als „living instrument which must be interpreted in the light of present-day conditions“ versteht.13 Stellt sich heraus, dass seine bisherige Rechtsprechung den veränderten gesellschaftlichen oder wirtschaftlichen Gegebenheiten oder ethischen Auffassungen nicht mehr gerecht wird, ermöglicht ihm diese Art der Auslegung, mit einer Fortentwicklung der Konventionsrechte zu reagieren. Dies hat dazu geführt, dass die Straßburger Organe notwendige Weiterentwicklungen von Grundrechten auf schon bestehende Grundrechte gründen müssen.

II. Grundrechte in der Europäischen Gemeinschaft Die Gemeinschaftsverträge enthalten keinen eigenen Grundrechtskatalog. Zudem macht der auch im Bereich der Grundrechte grundsätzlich anerkannte Vorrang des Gemeinschaftsrechts, durch den die materielle Einheit und Wirksamkeit des Gemeinschaftsrechts in den Mitgliedstaaten gewährleistet werden soll,14 den Rückgriff auf nationale Grundrechte unmöglich. Um Rechtsakte der Gemeinschaft dennoch grundrechtlich überprüfen zu können, war die Entwicklung eines eigenständigen Grundrechtsschutzes auf Gemeinschaftsebene erforderlich. 1. Grundrechte als allgemeine Rechtsgrundsätze des Gemeinschaftsrechts So kam es, dass der Gerichtshof die Gemeinschaftsgrundrechte begründete, indem er erstmalig im Jahr 1969 die Auffassung vertrat, dass die Wahrung der Grundrechte zu den allgemeinen Rechtsgrundsätzen gehört.15 Die allgemeinen Rechtsgrundsätze wiederum sind Bestandteil der Gemein11

EuGH, Rs. C-94/00, Roquettes Frères, Slg. 2002, I-9011, Rn. 35 ff. Dies wird durch den Fall Senator Lines deutlich. Die Reederei hatte sich nach erfolglosem Verfahren vor dem EGH und EuGH wegen eines von der Kommission festgesetzten Bußgeldes and den EGMR gewandt und eine Verletzung von Art. 6 und Art. 13 EMRK gerügt (siehe dazu EuGRZ 2000, S. 334). Die Klage wurde allerdings als unzulässig abgewiesen, EGMR (GK), Entscheidung vom 10. März 2004, Senator Lines, (App. 56672/00). 13 EGMR, Urteil vom 25. April 1978, Tyrer ./. Vereinigtes Königreich, (App. 5856/72), Serie A, 26, § 31. 14 EuGH, Rs. 44/79, Hauer, Slg. 1979, 3727, Rn. 14. 12

28

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

schaftsrechtsordnung, deren Wahrung dem Gerichtshof nach Art. 220 EGV obliegt.16 Bei der Gewährleistung dieser Rechte hat der EuGH von den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten auszugehen17 und dabei die von den Verfassungen dieser Staaten anerkannten und geschützten Grundrechte zu beachten.18 Als Interpretationshilfe können dabei die internationalen Verträge über den Schutz der Menschenrechte dienen, an deren Abschluss die Mitgliedstaaten beteiligt waren oder denen sie beigetreten sind.19 Die ungeschriebenen Gemeinschaftsgrundrechte sind zum integralen Bestandteil des Gemeinschaftsrechts im Rang des Primärrechts geworden.20 Später ist diese vom EuGH entwickelte Grundrechtsdogmatik durch den Vertrag von Maastricht in Artikel F des Vertrages über die Europäische Union (nach der Änderung durch den Vertrag von Amsterdam jetzt Artikel 6 EUV) übernommen21 und dadurch endgültig in Verfassungsrang gehoben worden.22 Dort heißt es nunmehr: „Die Union achtet die Grundrechte, wie sie in der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten gewährleistet sind und wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten als allgemeine Rechtsgrundsätze des Gemeinschaftsrechts ergeben.“

Diese Vorschrift bindet nicht nur die Organe der Europäischen Union, sondern als deren Säulen auch die Gemeinschaften.23 Auch nach der Einfügung 15 EuGH, Rs. 26/69, Stauder, Slg. 1969, 419, Rn. 7, seitdem ständige Rechtsprechung. Vgl. insbesondere Gutachten 2/94, EMRK, vom 28. März 1996, Slg. 1996, I-1759, Rn. 33. 16 EuGH, Rs. 25/70, Einfuhr- und Vorratsstelle für Getreide und Futtermittel/ Köster, Slg. 1970, 1161 Rn. 22; EuGH, Rs. C-404/92, X/Kommission, Slg. 1994, I-4737, Rn. 17. 17 EuGH, Rs. 11/70, Internationale Handelsgesellschaft, Slg. 1979, 1125, Rn. 3. 18 EuGH, Rs. 4/73, Nold, Slg. 1974, 491, Rn. 13. 19 EuGH, Rs. 4/73, Nold, Slg. 1974, 491, Rn. 13; EuGH, Rs. 36/75, Rutili, Slg. 1975, 1219, Rn. 32. 20 Beutler, in: von der Groeben/Thiesing/Ehlermann, Art. F, Rn. 73. 21 So stellt der EuGH in der Rs. C-415/93, Bosman, Slg. 1995, I-4921, Rn. 79, klar, dass Art F Abs. 2 EUV lediglich die bisherige Rechtsprechung zu den Gemeinschaftsgrundrechten bekräftigt. 22 Vgl. Lenaerts/de Smijter, CMLR 2001, S. 276; Alber/Widmaier, EuGRZ 2001, S. 349. 23 So jedenfalls die überwiegende Ansicht in der Literatur, vgl. Stumpf in: Schwarze, EU-Kommentar, Art. 6 EUV, Rn. 16; Everling, ZfRV 1992, S. 249; Wolf, Vom Grundrechtsschutz „in Europa“ zu allgemeinverbindlich geltenden europäischen Grundrechten, in: Bröhmer (Hg.), Der Grundrechtsschutz in Europa, S. 11; Kühling, in: von Bogdandy (Hg.) Europäisches Verfassungsrecht. S. 588; Pechstein/ König, Die Europäische Union, Rn. 117.

A. Europäische Grundrechte

29

von Art. 6 EUV ist die Grundlage der Gemeinschaftsgrundrechte jedoch weiterhin in den allgemeinen Rechtsgrundsätzen zu sehen.24 Für die Auslegung und Konkretisierung der Gemeinschaftsgrundrechte sind daher sowohl die EMRK als auch die Verfassungsüberlieferungen der Mitgliedstaaten als Rechtserkenntnisquellen25 heranzuziehen. 2. Erkenntnisquellen der Gemeinschaftsgrundrechte Die eindeutig gewichtigere Erkenntnisquelle stellt dabei die EMRK dar, da es unter Umständen schwierig ist, die gemeinsamen Verfassungsüberlieferungen zu ermitteln.26 Im Zweifel orientiert sich der Gerichtshof daher an der EMRK, während die Verfassungsüberlieferungen vor allem dann herangezogen werden, wenn ein durch die Konvention nicht verbürgtes Grundrecht betroffen ist.27 a) Gemeinsame Verfassungsüberlieferung der Mitgliedstaaten Auf die Verfassungsüberlieferungen der Mitgliedstaaten als Rechtserkenntnisquelle verweist der EuGH das erste Mal im Fall Nold. Jedoch enthält das Urteil keinen Hinweis auf die Voraussetzungen, die der Gerichtshof an solche Verfassungsüberlieferung stellt, um hieraus für die Gemeinschaft geltende Grundrechte zu entwickeln. Der EuGH hält lediglich fest, dass er keine Maßnahmen als rechtens anerkennen könne, die mit den 24 Vgl. Beutler, in: von der Groeben/Schwarze, Art. 6 EUV, Rn. 39; Kingreen, in Calliess/Ruffert, Art. 6 EUV, Rn. 33 m. w. N.; a. A. de Witte in: Alston (Hg.), The EU and Human Rights, S. 860. Seiner Auffassung spreche dafür neben dem Wortlaut des Art. 6 Abs. 2 EUV, dass in Art. 46 EUV in der Fassung des Vertrages von Maastricht eine Kontrolle des Art. 6 Abs. 2 EUV durch den EuGH nicht vorgesehen war. Seit dem Vertrag von Amsterdam ist nunmehr in Art. 46 lit. d EUV eine ausdrückliche Kompetenz und Verpflichtung des EuGH zur Sicherung des Grundrechtschutzes enthalten. Siehe auch EuGH, Rs. C-274/99 P, Connolly, Slg. 2001, I-1611, Rn. 37 f. 25 Im Gegensatz zu Rechtsquellen sind mit Rechtserkenntnisquellen Grundlagen gemeint, die zur Gewinnung von Rechtsgrundsätzen der Gemeinschaft zur Verfügung stehen, siehe dazu: Rengeling, Grundrechtsschutz in der Europäischen Gemeinschaft, S. 184 und auch Kühling, in: von Bogdandy (Hg.) Europäisches Verfassungsrecht, S. 590, der darauf hinweist, dass die Diskussion um die Unterscheidung auch in anderen Mitgliedstaaten geführt wird. 26 Ehlers, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 13 I 3, Rn. 8. 27 Ehlers, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 13 I 3, Rn. 8. Zur abnehmenden Bedeutung der Verfassungsüberlieferungen durch die Grundrechtecharta, Kühling, in: von Bogdandy (Hg.) Europäisches Verfassungsrecht, S. 593 f.

30

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

von den Verfassungen dieser Staaten anerkannten und geschützten Grundrechten unvereinbar sind.28 Erst in der späteren Rechtsprechung wird deutlich, dass die „Verfassungstraditionen der Mitgliedstaaten“ aus den Verfassungsnormen und der Verfassungspraxis29 sowie den dem Recht der Mitgliedstaaten gemeinsamen Grundsätzen30 bestehen. Zusammenfassend wird davon gesprochen, dass der Gerichtshof im Sinne der wertenden Rechtsvergleichung prüfe, ob sich die Grundrechtsposition in die Struktur und Ziele der Gemeinschaften einfügt.31 Dabei bedeutet wertende Rechtsvergleichung, dass nach einer rechtsvergleichenden Umschau durch eine kritische Analyse die beste Lösung ermittelt wird. Wenn in den Mitgliedstaaten verschiedene aber gleichwertige Lösungen angetroffen werden, hat der Gerichtshof die Lösung zu wählen, die den Zielen der Gemeinschaft am besten entspricht.32 Es ist daher weder erforderlich, dass alle Mitgliedstaaten eine bestimmte Verfassungsgarantie aufweisen (sog. Minimalstandard), noch ist es für die Begründung eines Grundrechts auf Unionsebene ausreichend, dass es in der Verfassung auch nur eines Mitgliedstaates vorhanden ist (sog. Maximumstandard).33 Soweit eine gemeinsame Tradition der Mitgliedstaaten ermittelt werden kann, ist dies hinreichend, um ein unionsrechtliches Grundrecht zu begründen. b) Völkerrechtliche Verträge über den Schutz der Menschenrechte – die Bedeutung der Europäischen Menschenrechtskonvention Ging der EuGH anfangs noch ganz allgemein davon aus, dass sich „Hinweise“ zum Grundrechtsschutz in der Gemeinschaft auch aus völkerrechtlichen Verträgen über den Schutz der Menschenrechte ergeben, an deren Abschluss die Mitgliedstaaten beteiligt waren oder denen sie beigetreten sind,34 maß er dabei später der Europäischen Menschenrechtskonvention eine besondere Bedeutung zu.35 Das besondere Gewicht der EMRK spiegelt 28

EuGH, Rs. 4/73, Nold, Slg. 1974, 491, Rn. 13–14. EuGH, Rs. 44/79, Hauer, Slg. 1979, 3727, Rn. 20. 30 EuGH, Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859, Rn. 17. 31 So Oppermann, Europarecht, Rn. 491, unter Verwendung der Formulierung des EuGH aus Rs. 11/70, Internationale Handelsgesellschaft, Slg. 1979, 1125, Rn. 4. 32 Grundlegend zu der wertenden Rechtsvergleichung im Gemeinschaftsrecht Zweigert, RabelsZ 28 (1964), S. 611; siehe auch Pernice, in: Grabitz/Hilf, I, Art. 164 EGV, Rn. 58; Bleckmann, Die wertende Rechtsvergleichung bei der Entwicklung Europäischer Grundrechte, in: Bauer (Hg.), Europarecht, Energierecht, Wirtschaftsrecht, Festschrift für Bodo Börner, S. 29 ff.; Lenz, EuGRZ 1993, S. 586. 33 Pauly, EuR 1998, S. 254. 34 Siehe insbesondere Rs. 4/73, Nold, Slg. 1974, 491, Rn. 13. 35 Erstmals in Rs. 36/75, Rutili, Slg. 1975, 1219, Rn. 32 und insbesondere Rs. 222/84, Johnston, Slg. 1986, 1651, Rn. 18. 29

A. Europäische Grundrechte

31

sich in deren ausdrücklicher Erwähnung in Art. 6 Abs. 2 EUV wider. Auch nach der Kodifizierung dieses Prinzips sind andere völkerrechtliche Verträge jedoch weiterhin relevant. So zieht zum einen der Gerichtshof völkerrechtliche Verträge zur Begründung von Grundrechten heran,36 zum anderen finden sich insbesondere in den Schlussanträgen der Generalanwälte Verweise auf Instrumente des Menschenrechtsschutzes wie z. B. den Internationalen Pakt der Vereinten Nationen über bürgerliche und politische Rechte von 1966 (IPBürg).37 Dennoch ist die EMRK die bedeutendste Quelle zur Konkretisierung der Gemeinschaftsgrundrechte.38 Dies liegt darin begründet, dass die EMRK den einzigen Grundrechtskatalog enthält, den die Mitgliedstaaten als für sie verbindlich geltenden Standard anerkennen.39 Der Gerichtshof verweist in seinen Urteilen nicht nur auf den Konventionstext, sondern zunehmend auch auf die Rechtsprechung der Straßburger Organe, insbesondere des Europäischen Gerichtshofs für Menschenrechte (EGMR).40 Durch die Rechtsprechung des EuGH wurde der Inhalt zahlreicher Grundrechte der EMRK im Gemeinschaftsrecht angewandt. Da die EG/EU jedoch nicht Vertragsstaat der EMRK41 und daher nicht unmittelbar an diese gebunden ist, ist es nicht ausgeschlossen, dass durch die EMRK gewährte Grundrechte abgewandelt und an die Bedürfnisse der Gemeinschaften angepasst werden.42 Eine solche Anpassung wird vor allem auf der Eingriffs- und Rechtfer36 So z. B. die Europäische Sozialcharta vom 18. November 1961 (BGBl. 1964 II, S. 1262, geänderte Fassung vom 3.5.1996 ILM 1997, S. 31 ff.) und Konvention Nr. 111 der Internationalen Arbeitsorganisation vom 25. Juni 1958 über die Diskriminierung in Beschäftigung und Beruf in EuGH, Rs. 149/77 Defrenne III, Slg. 1978, 1365, Rn. 26–29. Siehe weiterhin den pauschalen Verweis auf den Internationalen Pakt über wirtschaftliche, soziale und kulturelle Rechte (IPWirt) in: EuGH, Rs. 347/87, Orkem/Kommission, Slg. 1989, 3283, Rn. 31 und den Internationalen Pakt über bürgerliche und politische Rechte in: EuGH, Rs. C-249/96, Grant, Slg. 1998, I-621, Rn. 44. 37 Schlussantrag GA Léger, in: EuGH, Rs. C-353/99, Hautala, Slg. 2001, I-9565 Rn. 64. 38 Vgl. Kühling, in: von Bogdandy (Hg.) Europäisches Verfassungsrecht. S. 588 m. w. N. 39 Pernice, NJW 1990, S. 2414. 40 EuGH, Rs. 347/87, Orkem, Slg. 1989, 3283, Rn. 30; EuGH, Rs. C-13/94, P./S., Slg. 1996, I-2143, Rn. 16; EuGH, verb. Rs. C-74/95 und 129/95, Strafverfahren gegen X, Slg. 1996, I-6609, Rn. 25; EuGH, Rs. C-368/95, Familiapress, Slg. 1997, 3689 Rn. 26; EuGH, Rs. C-7/98, Krombach, Slg. 2000, I-1935, Rn. 39; EuGH, Rs. C-17/98, Emesa Sugar, Slg. 2000, I-675, Rn. 5. Zur faktischen Bindungswirkung Kühling, in: von Bogdandy (Hg.) Europäisches Verfassungsrecht, S. 588. 41 In seinem Gutachten 2/94, EMRK, Slg. 1996, I-1759, hat der EuGH inzwischen klargestellt, dass es hierzu einer Vertragsänderung bedürfte. 42 Siehe Pauly, EuR 1998, S. 242.

32

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

tigungsebene relevant. Während bei der Bestimmung des Schutzbereichs des Grundrechts die EMRK nützliche Auslegungshinweise liefert, muss auf der nächsten Stufe der Prüfung das Primärrecht als entgegenstehendes Rechtsgut oder Allgemeininteresse beachten werden.43 c) Die Charta der Grundrechte für die Europäische Union Eine zusätzliche Interpretationshilfe wurde mit der Charta der Grundrechte für die Europäische Union44 geschaffen. Sie wurde am 7. Dezember 2000 auf der Regierungskonferenz in Nizza vom Präsidenten des Parlaments, dem Rat und der Kommission unterzeichnet und feierlich proklamiert. Bei der Charta handelt es sich jedoch nicht um einen völkerrechtlichen Vertrag, so dass sie vorerst keine rechtliche Bindungswirkung entfaltet. Daher beschränkt sich ihre Funktion bisher auf eine „Sichtbarmachung, Bestätigung und Bekräftigung geltenden Rechts“45. Erst mit der Aufnahme in den zweiten Teil des Verfassungsentwurfs und dessen Annahme durch die Regierungskonferenz ist abzusehen, dass sie mit Inkrafttreten der Verfassung verbindlich werden wird. Aber auch vor diesem Termin könnte die Charta entweder neben der EMRK und den Verfassungsüberlieferungen der Mitgliedstaaten als Erkenntnisquelle bei der Entwicklung der Gemeinschaftsgrundrechte herangezogen werden46 oder zumindest als Ausdruck der gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten in die Rechtsprechung mit einfließen47. Bislang hat jedoch lediglich das Europäische Gericht Erster Instanz 43

Vgl. Kingreen, JuS 2000, S. 861. Abl. Nr. C 364 vom 18. Dezember 2000 S. 1 ff. 45 So schon die Kommission der EG, Bull EG, Beilage 5/76, S. 68. Vgl. auch Mitteilung der Kommission zum Status der Grundrechtecharta der Europäischen Union vom 11.10.2000, KOM (2000) 644 endgültig, sowie: Mitteilung der Kommission zum Status der Grundrechtecharta der Europäischen Union vom 11. 10. 2000, KOM (2000), 644 endgültig, S. 2, in der „die Sichtbarkeit für den Bürger und die Rechtssicherheit in den Anwendungsbereichen des Unionsrechts“ als Ziel der Charta formuliert wird; vgl. auch Calliess, EuZW 2001, S. 267; zur ihrer Entstehung de Bfflrca, ELRev. 2001, S. 126; Schmuck, Integration 2000, S. 48. Baer, ZRP Bd. 33 (2000), S. 361; Weber, NJW 2000, S. 537. 46 Siehe dazu Erwägung 5 der Präambel der Charta; sowie die Kommission: „It can reasonably be expected that the Charter will become mandatory through the Court’s interpretation of it as belonging to the general principles of Community law“, vgl. On the Legal Nature of the Charter of Fundamental Rights of the European Union, Charter 4956/00 vom 18.10.2000, Rn. 10, 11; aber auch Grabenwarter, DVBl. 2001, S. 10; Lenaerts/de Smijter, CMLR 2001, S. 298 f. 47 So z. B. Calliess, EuZW 2001, S. 267, der davon ausgeht, dass Rechtsquelle für die Gemeinschaftsgrundrechte nunmehr allein Art. 6 Abs. 2 EGV ist. Da diese Vorschrift keinen Verweis auf die Charta enthält sei auch nicht zu erwarten, dass 44

A. Europäische Grundrechte

33

(EuG), nicht jedoch der EuGH in seiner Rechtsprechung auf die Charta Bezug genommen.48 Die Charta enthält sowohl bekannte, als auch einige neue Grundrechte, wie den in Art. 8 Grundrechtecharta formulierten Schutz personenbezogener Daten. Damit handelt es sich in jedem Fall um den aktuellsten und modernsten Grundrechtskatalog in Europa, so dass schon aus diesem Grund zu erwarten ist, dass die Charta in Zukunft eine gewichtige Rolle für den Grundrechtsschutz in der Gemeinschaft spielen wird. 3. Bindung durch die Gemeinschaftsgrundrechte Obwohl die Grundrechte dem Schutz des einzelnen Bürgers dienen, ist für diesen die Bindungswirkung der Gemeinschaftsgrundrechte weniger augenfällig als die der nationalen Grundrechte. Die Gemeinschaftsgrundrechte binden in erster Linie die Organe der Union, also insbesondere den Rat bei der Rechtssetzung.49 Die Rechtsakte werden dementsprechend nicht nur hinsichtlich ihrer Gültigkeit sondern auch in Bezug auf ihre Auslegung anhand von Grundrechten beurteilt.50 Die Umsetzung von Gemeinschaftsrecht erfolgt jedoch in der ganz überwiegenden Anzahl der Fälle durch die Mitgliedstaaten. Praktisch bedeutsamer ist daher die Möglichkeit, Grundrechtsschutz gegenüber den Gemeinschaftsrecht umsetzenden Mitgliedstaaten zu erlangen. Zudem ist eine effektive Kontrolle am Maßstab des Gemeinschaftsrechts schon aus Gründen der Uniformität des Gemeinschaftsrechts erforderlich. Würde der EuGH Akte der Mitgliedstaaten, die in den Anwendungsbereich der Gemeinschaft fallen, nicht am Maßstab der Gemeinschaftsgrundrechte messen, so käme es zu einer Überprüfung durch die nationalen Gerichte anhand von nationalen Grundrechten. Dadurch wäre die Einheitlichkeit des Gemeinschaftsrechts gefährdet.51 Dementsprechend hat der EuGH entschieden, dass Mitgliedstaaten bei dem Erlass von Regelungen zur Durchführung des Gemeinschaftsrechts die Erfordernisse des Grundrechtsschutzes in der Gemeinder EuGH die Charta als selbstständige Rechtsquelle anerkennen wird. Dazu auch Grabenwarter, DVBl. 2001, S. 11; Schwarze, EuZW 2001, S. 517; Craig/de Bfflrca, EU Law, S. 358 ff. 48 EuG, Rs. T-54/99, max.mobil, Slg. 2002, II-313, Rn. 48; EuG, Rs. T-177/01, Jégo-Quéré et Cie SA, Slg. 2002, II-2365, Rn. 42. Zur Annahme einer normativen Bedeutung der Charta vgl. Zimmermann, Die Charta der Grundrechte der Europäischen Union zwischen Gemeinschaftsrecht, Grundgesetz und EMRK, S. 19 ff. 49 Beutler, in: von der Groeben/Schwarze, Art. 6 EUV, Rn. 67; Pechstein, in: Streinz, EUV/EGV, Art. 6 EUV, Rn. 9. 50 Rengeling, Grundrechtsschutz in der Europäischen Gemeinschaft, S. 15. 51 Jacobs, ELRev 26 (2001), S. 333, mit Verweis auf EuGH, Rs. 106/77, Simmenthal, Slg. 1978, 629; vgl. auch Zuleeg, EuGRZ 2000, S. 512.

34

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

schaftsrechtsordnung beachten müssen52 und dass diese Regelungen auch auf ihre Vereinbarkeit mit Gemeinschaftsgrundrechten geprüft werden können.53 Später dehnte er diese Rechtsprechung auf alle Rechtsakte der Mitgliedstaaten aus, die in den Anwendungsbereich des Gemeinschaftsrechts fallen.54 Dies schließt den Fall ein, dass Mitgliedstaaten Regelungen erlassen, die die Grundfreiheiten beschränken. Nach Auffassung des Gerichtshofs kann sich ein Mitgliedstaat auf eine im Gemeinschaftsrecht vorgesehene Rechtfertigung nur berufen, wenn sie im Einklang mit den Grundrechten steht.55 Verschiedentlich wird dieses Ergebnis kritisiert, weil dadurch die Bindung der Mitgliedstaaten zu weit in die nationale Sphäre vorangetrieben werde.56 Auf rein innerstaatliche Sachverhalte finden die Gemeinschaftsgrundrechte jedoch nach ganz überwiegender Auffassung keine Anwendung. Nur vereinzelt wird eine unmittelbare Grundrechtskontrolle mitgliedstaatlicher Rechtsakte gefordert.57 Es ist jedoch davon auszugehen, dass die direkte Bindung der Mitgliedstaaten an die Gemeinschaftsgrundrechte einen Qualitätssprung in der Gemeinschaftsstruktur bedeutet, der in der geltenden Verfassung der EG nicht angelegt ist.58 Wie noch zu zeigen sein wird, ist die ohnehin schon nicht ganz einfache Unterscheidung zwischen Maßnahmen, die in den Anwendungsbereich des Gemeinschaftsrechts fallen und rein nationalen Maßnahmen zumindest in Bezug auf das Datenschutzrecht im Begriff, zu verschwimmen.59 In der Folge kann es im Zusammenhang mit dem Datenschutz zu einer Bindung an Gemeinschafts52

EuGH, Rs. 5/88, Wachauf, Slg. 1989, 2609, Rn. 19. So der EuGH in Rs. 12/86, Demirel, Slg. 1987, 3719, Rn. 28, wo es allerdings konkret um die Frage der Vereinbarkeit einer nationalen Maßnahmen mit der EMRK ging. 54 Siehe EuGH, verb. Rs. 60 und 61/84, Cinéthèque, Slg. 1985, 2605. Rn. 26, in der der EuGH klar stellt, dass er ein nationales Gesetz, was in das Ermessen des nationalen Gesetzgebers fällt, nicht hinsichtlich seiner Vereinbarkeit mit der EMRK überprüfen kann; sowie EuGH, Rs. C-159/90, Grogan u. a., Slg. 1991, I-4685, Rn. 31; EuGH, Rs. C-299/95, Kremzow, Slg. 1997 I-2629, Rn. 15; vgl. dazu insbes. Ruffert, EuGRZ 1995, S. 527 und Langenfeldt/Zimmermann, ZaöRV 52 (1992), S. 303. 55 EuGH, Rs. 260/89 ERT, Slg. 1991, I-2925, Rn. 43. 56 So Ritgen, ZRP 2000, S. 373, der von einer fortschreitenden zu weiten Ausdehnung des Anwendungsbereichs der Gemeinschaftsgrundrechte ausgeht, da die Ausnahmeklauseln der Grundfreiheiten doch gerade dem Zweck dienten, die Kompetenz und Eigenständigkeit der Mitgliedstaaten anzuerkennen. Vgl. auch Kingreen in Calliess/Ruffert, Art. 6 EUV Rn. 61 f. und wohl auch Jacobs, ELRev. 26 (2001), S. 336. 57 Vgl. Weiler, in: Capotorti u. a. (Hg.), Du droit international au droit de l’integration: liber amicorum Pescatore, S. 821 ff. 58 Pernice, NJW 1990, S. 2417. 59 Siehe dazu unten unter Teil 3, C. 53

B. Die Bedeutung des Rechts auf Datenschutz

35

grundrechte in Bereichen kommen, die nach der bisherigen Rechtsprechung den nationalen Grundrechten vorbehalten sind.

III. Zusammenfassung Die europäischen Grundrechte werden in erster Linie durch die EMRK und gegenüber Akten der Gemeinschaft durch die Gemeinschaftsgrundrechte gewährleistet. Dabei kommt den Rechten der EMRK eine doppelte Funktion zu: sie präsentieren nicht nur ein eigenes Menschenrechtsschutzsystem, zugleich dienen sie auch dem EuGH zur Konkretisierung der Gemeinschaftsgrundrechte. Hinsichtlich der Grundrechte in der Europäischen Gemeinschaft kann man festhalten, dass der EuGH durch seine Rechtsprechung einen weitgehenden Grundrechtschutz entwickelt hat. Dennoch wurde der ausschließlich auf Caselaw beruhende Grundrechtsstandard besonders im Hinblick auf die weitere Entwicklung der Europäischen Union und der damit verbundenen Forderung nach mehr Transparenz für den Bürger als nicht hinreichend erachtet. Daher wurde mit der Grundrechtecharta ein Grundrechtskatalog ausgearbeitet, der speziell auf die Bedürfnisse der Gemeinschaft zugeschnitten ist.

B. Die Bedeutung des Rechts auf Datenschutz Jedes wirtschaftliche Handeln, aber auch die Beziehungen der Staaten untereinander, ist mit der Verwendung personenbezogener Daten verbunden.60 Mit der fortschreitenden europäischen Integration verlagert sich daher auch der Datenschutz zunehmend von der nationalen Ebene auf die der Gemeinschaft.

I. Bedürfnis nach einem Grundrecht auf Datenschutz durch technologische Entwicklung Im europäischen Rechtsraum wurden die ersten Datenschutzgesetze Anfang der siebziger Jahre erlassen.61 Sie entstanden als Folge der technischen Entwicklung, durch die die elektronische Verarbeitung großer Mengen personenbezogener Daten durch die Verwaltung und privatwirtschaftliche Unternehmen möglich geworden war.62 Die neuen technischen Mittel 60

Vgl. Schild, EuZW 1991, S. 745. Hessisches Datenschutzgesetz von 1970, das schwedische „Datengesetz“ von 1973 und das rheinland-pfälzische Datenschutzgesetz von 1974. 62 Lavranos, DuD 1996, S. 400; Knaub, La protection des données, in: Cassese/ Clapham/Weiler (Hg.), Human Rights and the European Community, S. 372; 61

36

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

wurden in umfassender Weise genutzt. In Europa hatte der Computer in die öffentliche Verwaltung zu einem Zeitpunkt Einzug gehalten, als viele Staaten umfassende Sozialreformen verabschiedet und ihr Sozialsystem ausgeweitet hatten. Damit verbunden war ein erhöhter Planungsaufwand für die Verwaltung und folglich erhebliche Mengen an Daten und Informationen. Um den erhöhten Verwaltungsaufwand zu kompensieren und die anfallenden Datenmengen verarbeiten zu können, war der Rückgriff auf elektronische Datenverarbeitung zwingend notwendig.63 Seitdem können Daten über eine bestimmte Person sehr viel schneller und in viel größerem Umfang verfügbar gemacht werden.64 Aber auf staatlicher Seite wurden die technischen Errungenschaften nicht nur für den Ausbau des Sozialstaates verwendet. Auch für Maßnahmen zur Wahrung der öffentlichen Sicherheit wurde die elektronische Datenverarbeitung immer wichtiger.65 Besonders im Rahmen von Überwachungsmaßnahmen kam es in großem Maße zur Erhebung und Verarbeitung personenbezogener Daten. In der Folge haben die Bürger nicht mehr die Möglichkeit „zu wissen, wer was wann wo und bei welcher Gelegenheit über sie weiß“.66 Anfangs wurde also vor allem in der Datenverarbeitung durch den Staat eine Bedrohung für die Rechte des Individuums gesehen. Dementsprechend bestand auch zunehmend das Bedürfnis des Einzelnen, sich vor staatlichen Eingriffen zu schützen.67 Gleichzeitig wurde jedoch nicht außer Acht gelassen, dass auch für den privaten Sektor ein Regelungsbedürfnis existierte. Dementsprechend umfassten die Datenschutzgesetze in vielen Rechtsordnungen zugleich den öffentlichen und den privaten Bereich. Im Mittelpunkt stand zunächst jedoch der Grundrechtsschutz. Anfangs erfolgte die Verarbeitung von Daten nur auf wenigen, zentralen Großrechnern, die fast ausnahmslos durch Regierungen oder Großunternehmen betrieben wurden. Dementsprechend zeichnen sich auch die ersten DaBygrave, Data Protection Law, S. 94, m. w. N. Früh zu den Bedrohungen durch die technische Entwicklung auch Jones, La vie privée mise en péril par la technologie in: Vie privée et droits de l’homme, S. 185 ff. 63 „Without computers, a modern welfare state could not operate“, vgl. die Darstellung bei Mayer-Schönberger, Data Protection in Europe, in: Agre/Rotenberg, Technology and Privacy: The New Landscape, S. 220. 64 Vgl. Schild, EuZW 1991, S. 745. 65 Vgl. Bygrave, Data Protection Law, S. 98, m. w. N. 66 Podlech, Der Datenschutz und die Akzeptabilität unserer Gesellschaftsordnung, in: Hohmann (Hg.), Freiheitssicherung durch Datenschutz, S. 21. 67 Vgl. Cameron, National Security and the European Convention on Human Rights, S. 177; siehe dazu auch Juvigny, Les réalisations scientifiques et techniques modernes et leurs consequences sur la protection du droit au respect de la vie privée et familiale, du domicile et des communications, in: Vie privée et droits de l’homme, S. 172.

B. Die Bedeutung des Rechts auf Datenschutz

37

tenschutzgesetze durch ein funktionelles Verständnis aus. Man ging davon aus, dass der Umgang mit den zentral verwalteten Datenbanken zum Gegenstand gesetzlicher Regelungen gemacht werden musste.68 Mit der Entwicklung des Personalcomputers zeigte sich jedoch, dass diese Regelungstechnik nicht mehr angemessen war. Mit der zunehmenden Dezentralisierung der Datenverarbeitung auf kleinere Computer begann man, von den eher technischen Regelungen der ersten Generation abzurücken und mehr Gewicht auf die rechtliche Position des Individuums zu legen. Diese Veränderung spiegeln die in dieser Phase entstandenen Datenschutzgesetze der zweiten Generation wieder, in denen ausdrücklich an das Recht auf Privatleben angeknüpft wird.69 So heißt es beispielsweise in § 1 des österreichischen Datenschutzgesetzes, dem Verfassungsrang zukommt: „Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung seines Privat- und Familienlebens hat.“70

Im Mittelpunkt der Regelung steht also der Einzelne; seine Rechte zielen auf die Abwehr von durch die Verarbeitung von Daten drohenden Beeinträchtigungen seines Privatlebens. Auch an dieser Stelle blieb die technische Entwicklung jedoch nicht stehen. Durch die zunehmende Vernetzung und Kompatibilität technischer Normen nahm der Austausch von Daten – wie etwa bei der Erbringung elektronischer Dienstleistungen – weiter zu.71 Mit der immer größer werdenden Datenmenge wuchs zugleich das Bedürfnis, das Individuum ausreichend zu schützen.72 Als Ausgangspunkt der Datenschutzgesetze der dritten Generation kann daher das Volkszählungsurteil des Bundesverfassungs68 Vgl. Mayer-Schönberger, Data Protection in Europe, in: Agre/Rotenberg, Technology and Privacy: The New Landscape, S. 220, der als Datenschutzgesetze der ersten Generation u. a. das Datenschutzgesetz des Landes Hessen, GVBl. 1970 I, S. 625, das schwedische Datengesetz, SFS 1973:289, das Landesdatenschutzgesetz von Rheinland Pfalz, GVBl. 1974, S. 31 und das deutsche Bundesdatenschutzgesetz von 1977, BGBl. I 1978, S. 201, nennt. 69 Art. 35 der portugiesischen Verfassung von 1976; § 1 des österreichischen Datenschutzgesetzes von 1978 (DSG), BGBl. Nr. 565/1978; Art. 18 Abs. 4 der spanischen Verfassung von 1978. 70 § 1 des österreichischen Datenschutzgesetzes von 1878 (DSG); BGBl. Nr. 565/ 1978. 71 Kilian, Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld/Philipps/Heil (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 100; Knaub, La protection des données, in: Cassese/Clapham/Weiler (Hg.), Human Rights and the European Community, S. 373. 72 Von einer fehlenden praktischen Relevanz eines Grundrechts auf Datenschutz in Deutschland geht hingegen im Jahr 1980 noch Kloepfer aus, vgl. Kloepfer, Datenschutz als Grundrecht, S. 49.

38

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

gerichts (BVerfG)73 gewertet werden, in dem das Gericht das Recht auf informationelle Selbstbestimmung geprägt hat. Dieses Grundrecht gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.74 Im Unterschied zu den Rechten der zweiten Generation muss das Individuum nicht mehr erst in einer abschließenden Entscheidung die Wahl treffen, ob es einer Datenverarbeitung zustimmt oder nicht. Das Recht auf informationelle Selbstbestimmung sieht – zumindest prinzipiell – vor, dass es in den Verarbeitungsprozess involviert und berechtigt ist, jederzeit Einfluss zu nehmen.75 Im Ergebnis zeigt sich, dass der technologische Fortschritt nicht nur zur Entstehung des Datenschutzes geführt hat, sondern dass zwischen ihnen ein symbiotisches Verhältnis besteht. Je stärker die Datenverarbeitung in das Leben des Einzelnen tritt und je schwerer der Datenfluss zu kontrollieren ist, desto weitgehender werden seine Rechte gefasst. Aber nicht nur die einzelnen Staaten wurden mit dem Problem konfrontiert, eine grundrechtskonforme Anwendung der Informationstechnologie sicherzustellen. Die Feststellung, dass die nationalen Rechtsordnungen zumindest zeitweise keinen ausreichenden Schutz des Einzelnen vor Verarbeitung von persönlichen Daten boten,76 betonte die Bedeutung internationaler Zusammenarbeit auf diesem Gebiet.

II. Internationale und supranationale Vereinbarungen zum Datenschutz Die mit rasanter Geschwindigkeit fortschreitende technische Entwicklung bedeutet eine Herausforderung für das bestehende Menschenrechtssystem. Vor allem das Internet konfrontiert die Staaten mit der Frage, wie Menschenrechte im Zeitalter der Massenkommunikation wirksam geschützt werden können. Denn selbst wenn eine nationale Rechtsordnung ein Datenschutzrecht vorsieht, kann dieses wirkungslos sein, sobald die Daten in ein 73

BVerfGE 65 1, (Volkszählung). BVerfGE 65 1, (43), (Volkszählung). 75 Vgl. Mayer-Schönberger, Data Protection in Europe, in: Agre/Rotenberg, Technology and Privacy: The New Landscape, S. 230, Knaub, La protection des données, in: Cassese/Clapham/Weiler (Hg.), Human Rights and the European Community, S. 367. 76 Dazu Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) No. 108. Dieser betrifft jedoch nur die Situation in den Mitgliedstaaten; grundlegend Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 100 ff.; vgl. auch MayerSchönberger, Data Protection in Europe, in: Agre/Rotenberg, Technology and Privacy: The New Landscape, S. 220. 74

B. Die Bedeutung des Rechts auf Datenschutz

39

Land übermittelt werden, das über keine oder nur unzureichende Schutzmechanismen verfügt. Nationale datenschutzrechtliche Regelungen können auf einfache Weise umgangen werden.77 In dem Maße, in dem der grenzüberschreitende Informationsaustausch zunahm, verringerte sich also die Reichweite und damit auch die praktische Bedeutung der nationalen Vorschriften.78 Durch die Möglichkeit des ungehinderten grenzüberschreitenden Datenaustauschs entstand ein Bedürfnis nach einheitlichen Regeln und Schutzrechten. 1. Das Fehlen datenschutzrechtlicher Vorschriften in internationalen Verträgen zum Schutz der Menschenrechte Gleichwohl konnte man die so entstandene Lücke im Grundrechtsschutz auch nicht ohne weiteres mit Hilfe internationaler Menschenrechtsschutzverträge schließen. In keinem der klassischen Menschrechtskataloge findet sich ein Recht auf Datenschutz. Als Anknüpfungspunkt konnte daher nur das Recht auf Achtung des Privatlebens dienen. Ein solches findet sich bereits in Art. 12 der Allgemeinen Erklärung der Menschenrechte von 1948,79 bei der es sich jedoch nur um eine unverbindliche Empfehlung handelt.80 Auch Art. 17 IPBürg enthält ein Recht auf Achtung des Privatlebens. Auf europäischer Ebene wird das Recht auf Privatleben durch Art. 8 EMRK gewährleistet. Ungeachtet der Frage, ob diese Instrumente – insbesondere die für den europäischen Raum relevante EMRK – den Ansprüchen, die an einen ausreichenden Grundrechtsschutz zu stellen sind, auch im Bereich des Datenschutzes genügen,81 konnten sie jedenfalls nur bedingt als Grundlage für die sich abzeichnenden immer detaillierteren datenschutzrechtlichen Prinzipien dienen. Auf internationaler Ebene war es daher in einem ersten Schritt notwendig, die Entwicklung von Schutzrechten voranzutreiben. Zudem entwickelte sich der Daten- und Informationsaustausch zu einem bedeutenden Wirtschaftsfaktor. Daher war es auch unter wirtschaftlichen Gesichtspunkten erforderlich, die bestehenden Datenschutzsysteme zu harmonisieren, um ökonomische Barrieren zu minimieren. 77 Vgl. dazu Schild, EuZW 1991, S. 745; Burkert, Internationale Grundlagen, in: Roßnagel (Hg.), Handbuch Datenschutzrecht, Rn. 5; Ritter/Hayes/Judy, Emory International Law Review Vol. 15 (2001), S. 91. 78 Zu den Problemen des nationalen Grundrechtsschutzes im Zusammenhang mit dem grenzüberschreitenden Datenverkehr vgl. Hofmann, Grundrechte und grenzüberschreitende Sachverhalte, S. 201 ff. 79 UN GA Res. 217 A (III) vom 10. Dezember 1948. 80 Vgl. Ipsen, Völkerrecht, § 48 Rn. 36. 81 Dazu sogleich in Teil 2.

40

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

2. Instrumente der UN und der OECD In der Folge wurden internationale Vereinbarungen geschlossen bzw. Rechtsakte erlassen, die den grenzüberschreitenden Datenverkehr regeln. So beschloss die Generalversammlung der Vereinten Nationen Richtlinien über personenbezogene Daten82 und die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten.83 Diese Dokumente sind nicht bindend. Dennoch gibt ihr Inhalt Hinweise darauf, was international hinsichtlich des Datenschutzes als Mindeststandard angesehen wird.84 Während die UN-Richtlinien lediglich einige Grundsätze aufzählen, an denen sich die Verfahrensweisen der einzelnen Staaten orientieren sollen, wird in der Präambel der OECD-Leitlinien auch auf die Grundrechtsrelevanz des Datenschutzes Bezug genommen. So wird anerkannt, dass ein mitgliedstaatliches Interesse am Schutz des Persönlichkeitsbereiches und der Grundfreiheiten sowie an der Herstellung eines Ausgleichs zwischen dem Persönlichkeitsbereich und dem Informationsaustausch besteht. 3. Übereinkommen und Empfehlungen des Europarates Eine Vereinbarung auf europäischer Ebene stellt das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Datenschutzkonvention)85 des Europarats dar. Im Gegensatz zu den Leitlinien der UN und der OECD handelt es sich dabei jedoch um ein Instrument mit völkerrechtlicher Bindungswirkung.86 Die Datenschutzkonvention wurde von 31 Mitgliedern des Europarates, darunter alle Mitgliedstaaten der Europäischen Gemeinschaft, ratifiziert.87 82 Richtlinie betreffend personenbezogene Daten in automatisierten Dateien vom 14. Dezember 1990, A/Res/45/95. 83 Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten vom 23. September 1980 O.E.C.D. Document C (80) 58 (Final), vom 1. Oktober 1980, ILM 1981, Vol. 20 S. 317; siehe im Einzelnen die ausführliche Darstellungen bei Knaub, La protection des données, in: Cassese/Clapham/Weiler (Hg.), Human Rights and the European Community, S. 395. 84 Zu den sich daraus ableitenden Grundprinzipien sogleich unter B.III. 85 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, Council of Europe Treaty Series (ETS) No. 108 vom 28. Januar 1981; vgl. die Darstellungen bei, Knaub, La protection des données, in: Cassese/Clapham/Weiler (Hg.), Human Rights and the European Community, S. 398 ff. 86 Siehe dazu Art. 16 der Satzung des Europarats, BGBl. 1950, S. 263 in der Fassung vom 9.12.1996 BGBl. II S. 159.

B. Die Bedeutung des Rechts auf Datenschutz

41

Die Entstehung der Konvention geht auf eine Empfehlung der Parlamentarischen Versammlung des Europarates aus dem Jahr 1968 zurück, in der das Ministerkomitee aufgefordert wurde, die Frage zu untersuchen, ob die Menschenrechtskonvention und die nationalen Rechtsordnungen angesichts der technischen Entwicklungen noch in der Lage seien, einen ausreichenden Schutz der Privatsphäre zu gewährleisten.88 Als man zu dem Ergebnis kam, dass dies nicht der Fall sei, ergingen in der Folge in den Jahren 197389 und 197490 zwei Beschlüsse des Europarates, in denen den Mitgliedstaaten empfohlen wurde, einheitliche Regeln hinsichtlich des Schutzes personenbezogener Daten im öffentlichen und privaten Sektor auszuarbeiten. Im Jahr 1977 beauftragte man ein in der Zwischenzeit gegründetes Expertenkomitee damit, eine Konvention zum Schutz personenbezogener Daten bei Datenverarbeitung im Ausland und grenzüberschreitender Datenverarbeitung auszuarbeiten.91 Das Ergebnis war der Abschluss eines völkerrechtlichen Vertrages, der als Datenschutzkonvention im Jahr 1981 in Kraft trat. Im Laufe der Zeit wurde die Datenschutzkonvention um zahlreiche Empfehlungen des Ministerkomitees zur Datenverarbeitung in spezifischen Sektoren ergänzt.92 Schließlich wurde im Jahr 2001 ein Zusatzprotokoll verabschiedet, 87 Weitere sieben Mitglieder haben die Konvention unterzeichnet, jedoch nicht ratifiziert (Stand April 2005). 88 Vgl. Hondius, Emerging Data Protection in Europe, S. 63; Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) No. 108, Nr. 4. Siehe auch die detaillierte Darstellung der Entwicklung bei: Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 460 ff. 89 Res. (73) 22 on the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector (26.09. 1973) Meeting: 224. 90 Res. (74) 29 on the protection of privacy of individuals vis- à- vis electronic data banks in the public sector (20.09.1974) Meeting: 236. 91 Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) No. 108, Introduction Nr. 13. 92 Recommendation No. R (81) 1 on regulations for automated medical databanks (23. Januar 1981); Recommendation No. R (83) 10 on the protection of personal data used for scientific research and statistics (23. September 1983); Recommendation No. R (85) 20 on the protection of personal data used for the purposes of direct marketing (25. Oktober 1985); Recommendation No. R (86) 1 on the protection of personal data used for social security purposes (23. Januar 1986); Recommendation No. R (87) 15 regulating the use of personal data in the police sector (17. September 1987); Recommendation No. R (89) 2 on the protection of personal data used for employment purposes (18. Januar 1989); Recommendation No. R (90) 19 on the protection of personal data used for payment or other related options (13. September 1990); Recommendation No. R (91) 10 on the communication to third parties of personal data held by public bodies (9. September 1991); Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunication services with particular reference to telephone services (7. Februar 1995); Recommendation

42

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

in dem sich die Vertragsparteien zur Einrichtung von Kontrollstellen verpflichten.93 Das Zusatzprotokoll ist am 1. Juli 2004 in Kraft getreten. Der in Art. 1 formulierte Zweck der Datenschutzkonvention ist es, im Hoheitsgebiet jeder Vertragspartei für jedermann ungeachtet seiner Staatsangehörigkeit oder seines Wohnortes sicherzustellen, dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf Achtung des Persönlichkeitsbereichs, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden („Datenschutz“). Die Notwendigkeit des Abkommens ergebe sich durch den zunehmenden Einsatz von Computern in der öffentlichen Verwaltung. Im Explanatory Report zur Datenschutzkonvention heißt es: „Compared with manual files, automated files have a vastly superior storage capability and offer possibilities for a much wider variety of transactions, which they can perform at high speed.“94

Der Anwendungsbereich der Konvention ist damit grundsätzlich auf die automatische Verarbeitung begrenzt. Zusätzlich kann er durch einzelstaatliche Vorbehalte eingeschränkt werden. Art. 3 Abs. 2 lit. a der Datenschutzkonvention sieht eine Einschränkungsmöglichkeit hinsichtlich bestimmter Arten von Daten vor. Gleichzeitig ist in Art. 3 Abs. 2 lit. b und c der Datenschutzkonvention eine Erweiterungsmöglichkeit enthalten. So können Staaten das Übereinkommen nicht nur auf personenbezogene Daten sondern auch auf Informationen über Personengruppen und andere Stellen, sowie auf personenbezogene Daten, die nicht automatisch verarbeitet werden, anwenden. Anzumerken ist weiterhin, dass die Erhebung von Daten vom Geltungsbereich der Konvention grundsätzlich nicht erfasst wird.95 Auch wenn die Effektivität der Datenschutzkonvention verschiedentlich angezweifelt wurde, da das Übereinkommen auf die zwischenstaatliche ZuNo. R (97) 5 on the protection of medical data (13. Februar 1997); Recommendation No. R (97) 18 on the protection of medical data collected and processed for statistical purposes (30. September 1997); Recommendation No. R (99) 5 on the protection of privacy on the internet; Recommendation No. R (02) 9 on the protection of personal data collected and processed for insurance purposes (18. September 2002). 93 Additional Protocol to the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Regarding Supervisory Authorities ans Transborder Data Flows, (ETS) No. 181 vom 8. November 2001. 94 Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) No. 108, Nr. 1. 95 Art. 5 lit. a Datenschutzkonvention stellt insofern eine Ausnahme dar, indem davon ausgegangen wird, dass die Daten nach Treu und Glauben und auf rechtmäßige Weise beschafft worden sein müssen. Aus Art. 3 Abs. 1 und Art. 2 lit. c der Konvention ergibt sich jedoch, dass dieser Vorgang an sich nicht in den Anwendungsbereich der Konvention fällt, vgl. Henke, Die Datenschutzkonvention des Europarates, S. 100; Bygrave, Data Protection Law, S. 51.

B. Die Bedeutung des Rechts auf Datenschutz

43

sammenarbeit der Regierungen der Mitgliedstaaten des Europarates ausgerichtet ist und über keine Durchsetzungsmechanismen verfügt,96 sollte man die Datenschutzkonvention in ihrer Bedeutung nicht unterschätzen. Als erstes internationales, rechtlich verbindliches Instrumentarium hat sie bis heute97 großen Einfluss auf die Entwicklung des Datenschutzes in Europa.98 4. Supranationale Instrumente Mehr als nur Instrumente der intergouvernementalen Zusammenarbeit stellen hingegen die Rechtsakte der Gemeinschaft dar. Bis auf die Bereiche der polizeilichen und justiziellen Zusammenarbeit in Strafsachen (PJZS) und die gemeinsame Außen- und Sicherheitspolitik (GASP) kann die EG/EU verbindlich Recht setzen.99 Darüber hinaus wird durch die Organe der Gemeinschaft eine Durchführungskontrolle gewährleistet.100 Diese supranationalen Rechtsakte der Gemeinschaft haben daher eine andere Qualität als die internationalen Übereinkommen. Die ersten datenschutzrechtlich relevanten Bestimmungen fanden sich zunächst jedoch außerhalb des Unions- und Gemeinschaftsrechts.101 Sie wurden im Jahr 1990 mit dem Übereinkommen zur Durchführung des Übereinkommens von Schengen102 und dem darin enthaltenen Schengener Informationssystem103 geschaffen. Zunächst handelte es sich bei dem Schengener Abkommen lediglich um ein völkerrechtliches Abkommen zwischen den Mitgliedstaaten der EU. Durch den Vertrag von Amsterdam wurde der Schengener Besitzstand jedoch in das Recht der EU mit einbezogen.104 96 Henke, Die Datenschutzkonvention des Europarates, S. 202; Bergmann, Grenzüberschreitender Datenverkehr, S. 177 ff.; Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 496, m. w. N. 97 Siehe dazu insbesondere die Bezugnahme in den Erläuterungen des Rates zu Art. 8 GRC, dazu unter Teil 2, E.I. 98 Vgl. dazu Wurst, JuS 1991, S. 450, m. w. N. 99 Statt vieler: Oppermann, Europarecht, Rn. 896; siehe jedoch die Möglichkeit des Erlasses von Rahmenbeschlüsse nach Art. 34 Abs. 2 lit. b und lit. c EUV. 100 Brühann in: Grabitz/Hilf, Bd. III, A 30, Rn. 63. 101 Zu der grundlegenden Unterscheidung zwischen dem Recht der Union und der Gemeinschaft und ihrer Bedeutung Oppermann, Europarecht, Rn. 232 ff. 102 Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen vom 19. Juni 1990, BGBl. 1993 II S. 1013, in Kraft getreten für die Beneluxstaaten, Deutschland und Frankreich am 1. September 1993. 103 Siehe Art. 92 ff. des Schengen-Durchführungsübereinkommens.

44

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

Im Gemeinschaftsrecht begann die Entwicklung später. Erst im Jahr 1995 wurde die erste Datenschutzrichtlinie105 vom Europäischen Parlament und Rat verabschiedet. Es folgten sektorspezifische Richtlinien106 und eine Verordnung betreffend den Datenschutz bei der Verarbeitung personenbezogener Informationen durch die Organe107. Im Gegensatz zu den bisherigen internationalen Abkommen sind diese Richtlinien durch sehr detaillierte Vorschriften und – damit verbunden – eine hohe Regelungsdichte gekennzeichnet. Darüber hinaus handelt es sich um Sekundärrecht der Gemeinschaft, das auf Integration in einem Binnenmarkt angelegt und unter Umständen108 unmittelbar anwendbar109 ist. Der Schutzzweck der Richtlinie EG 95/46 (Datenschutzrichtlinie) ist in Art. 1 wie folgt formuliert: „Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gem. Art. 1 gewährleisteten Schutzes.“ 104 Art. 1 Protokoll Nr. 2 zum Amsterdamer Vertrag. Die Vorschriften des Schengener Übereinkommens und des Schengener Durchführungsübereinkommens (SDÜ) sowie die Beitrittsprotokolle und – übereinkommen und die Maßnahmen des Exekutivausschusses sind durch den Beschluss 1999/435/EG des Rates vom 20. September 1999 den jeweiligen Rechtsgrundlagen des EGV oder EUV zugeordnet worden, (ABl. 1999 L 176/1 ff.). Einige Asyl und Einwanderung betreffende Teile sind auch in die erste Säule überführt, also vergemeinschaftet worden. Die Rechtsgrundlage für die Datenverarbeitung im Bereich Asyl und Einwanderungen findet sich nunmehr im Gemeinschaftsrecht, während das Informationssystem zu polizeilichen Daten sich in der dritten Säule befindet, vgl. dazu Kübler, Die Säulen der Europäischen Union: Einheitliche Grundrechte?, S. 58. 105 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Abl. 1995 L 281/31. 106 Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Abl. 1998 L 024/1; Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), Abl. 2002 L 201/37. 107 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, Abl. 2001 L 008/1. 108 Siehe EuGH, Rs. 8/81, Becker, Slg. 1982, 52; EuGH, Rs. 152/84, Marshall, Slg. 1986, 723; und EuGH, Rs. 80/86, Kolpinghuis Nijmegen, Slg 1987, 3969. 109 Vgl. dazu Haslach, DuD 1998, S. 693.

B. Die Bedeutung des Rechts auf Datenschutz

45

Ebenso wie die Datenschutzkonvention geht die Datenschutzrichtlinie 95/46/EG also davon aus, dass persönliche Daten in den von der Privatsphäre geschützten Bereich fallen können. Datenschutz stellt sich daher als ein Teilaspekt des Rechts auf Privatsphäre dar, der durch die Verarbeitung dieser Daten beeinträchtigt werden kann. Schon der Titel der Richtlinie deutet jedoch darauf hin, dass es bei den zu schützenden Grundrechten nicht allein um die Privatsphäre des Einzelnen geht. Aus der Formulierung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ wird deutlich, dass die sich aus dem freien Datenverkehr ergebende Informationsfreiheit ebenfalls zu beachten ist. Vor diesem Hintergrund erklärt sich die etwas widersprüchliche Formulierung110 des Schutzzwecks der Richtlinie in Art. 1. Grundsätzlich sind die Mitgliedstaaten verpflichtet, die Grundrechte und Grundfreiheiten zu schützen. Sobald dieser Schutz gewährleistet ist, dürfen sie den grenzüberschreitenden freien Datenverkehr nicht mehr beschränken. Durch die Datenschutzrichtlinie wird das Recht der Mitgliedstaaten daher vollständig harmonisiert.111 5. Ergebnis Im Bereich des Datenschutzrechts existieren verschiedene internationale Dokumente unterschiedlicher rechtlicher Qualität. Bindungswirkung für die Mitgliedstaaten entfalten dabei nur die Datenschutzkonvention des Europarates und die EG-Richtlinien. Festzuhalten ist weiterhin, dass bis auf die UN-Richtlinie alle Dokumente auf Grundrechte, nämlich die betroffenen Grundfreiheiten und den Schutz des Persönlichkeitsrechts, Bezug nehmen. Sowohl die Empfehlung der OECD als auch die Datenschutzrichtlinie weisen aber gleichzeitig darauf hin, dass das Persönlichkeitsrecht des Einzelnen mit der Informationsfreiheit konkurriert und daher zwischen diesen Rechten ein Ausgleich herzustellen ist. Diese Besonderheit lässt sich mit der Zielsetzung dieser Rechtsakte erklären. Bei der Empfehlung der OECD handelt es sich unverkennbar um ein Dokument einer internationalen Wirtschaftsorganisation. Daher liegt der Schwerpunkt dieses Instruments auf den wirtschaftlichen Aspekten des Datenschutzes. Besonders deutlich wird dies durch die Feststellung, dass der grenzüberschreitende Verkehr zur wirtschaftlichen Entwicklung beiträgt, innerstaatliche Rechtsvorschriften diesen grenzüberschreitenden Verkehr je110

So Reich, Bürgerrechte in der Europäischen Union, S. 441. Brühann, in: Grabitz/Hilf, Bd. III, Vorbem. A 30, Rn. 45; Rüpke, EuZW 1993, S. 153; zum Begriff und Bedeutung der vollständigen Harmonisierung Tietje, in: Grabitz/Hilf, vor Art. 94–97, Rn. 38. 111

46

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

doch behindern können.112 Ein eindeutiges wirtschaftliches Element ist auch in der Datenschutzrichtlinie zu finden. Jedoch verweist sie ausdrücklich auch auf die Achtung der Grundrechte. So ist Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere auch des in Art. 8 EMRK und den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf Privatsphäre. Indem festgelegt wird, dass die Angleichung der Rechtsvorschriften dieses Schutzniveau nicht herabsetzen darf, sondern darauf abzielen muss, ein hohes Schutzniveau sicherzustellen,113 zeigt sich, dass die Grundrechte bei der Abwägung in besonderem Maße zu berücksichtigen sind. Trotz der auf den ersten Blick ähnlichen Zielsetzung bestehen zwischen den Instrumenten also doch erhebliche Unterschiede. Damit ist deutlich, dass sowohl auf internationaler als auch auf regionaler, europäischer Ebene Bestimmungen über den Datenschutz existieren, wobei das Gemeinschaftsrecht eine besondere Rolle einnimmt. Aufgrund seiner Vorrangwirkung114 und unmittelbaren Anwendbarkeit ist es geeignet, Rechte für den Einzelnen zu begründen und hat daher aus grundrechtlicher Sicht eine große Bedeutung. Aber auch wenn die multilateralen Abkommen nicht ohne weiteres mit Rechten von Individuen in Verbindung gebracht werden können, enthalten auch sie wertvolle Auslegungshilfen und Anhaltspunkte für die Diskussion über ein Grundrecht auf Datenschutz. Nicht zufällig haben die durch die Datenschutzkonvention geprägten Definitionen und Prinzipien – neben entsprechenden Regelungen in den nationalen Rechtsordnungen – als Vorbild für die Formulierung des Rechts auf Datenschutz in Art. 8 der Europäischen Grundrechtecharta gedient.115

112 Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten vom 23. September 1980 O.E.C.D. Document C (80) 58 (Final), vom 1. Oktober, 1980, ILM 1981, Vol. 20 S. 317, Präambel Abs. 3. 113 Erwägungsgrund 10 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Abl. 1995 L 281/31. 114 EuGH, Rs. 26/62, van Gend & Loos, Slg. 1963, 1; EuGH, Rs. 6/64, Costa/ ENEL, Slg. 1970, 1125; EuGH, Rs. 11/70, Internationale Handelsgesellschaft, Slg. 1978, 629. 115 Siehe dazu unter Teil 3, E.

B. Die Bedeutung des Rechts auf Datenschutz

47

III. Begriff und Grundprinzipien des Datenschutzes Die internationalen und supranationalen Instrumente bieten also Hinweise darauf, was allgemein unter dem Begriff des Datenschutzes zu verstehen ist und welche Grundprinzipien beachtet werden müssen, um von wirksamem Datenschutz sprechen zu können. Dazu ist jedoch zunächst erforderlich, festzustellen, was genau sich hinter dem Begriff des Datenschutzes verbirgt. 1. Begriff der Daten und des Datenschutzes Ausgangspunkt für den Datenschutz ist der Begriff der Daten. Eine Begriffsdefinition für diesen zentralen Begriff des Datenschutzrechts lässt sich nicht einfach finden. Die grammatikalische Auslegung ergibt lediglich, dass Daten eine Information voraussetzen.116 Diese Feststellung hilft aber nicht weiter, da die Begriffe „Datum“ und „Information“ ihrerseits meist nicht voneinander abgegrenzt werden können und somit austauschbar sind.117 Auch die europäischen grundrechtlichen Dokumente enthalten keine Definition der „Daten“. In der EMRK wird der Begriff generell nicht verwendet und auch die Grundrechtecharta geht auf den Begriff nicht weiter ein. Dort heißt es in Artikel 8 lediglich, dass eine Person das Recht auf Schutz der „sie betreffenden personenbezogenen Daten“118 hat. Art. 1 der Datenschutzkonvention bestätigt, dass sich Datenschutz nicht auf Informationen jeglicher Art, sondern nur auf personenbezogene Daten bezieht. Damit ist zentraler Begriff des Datenschutzrechts nicht das Datum, sondern die „personenbezogenen Daten“. Art. 2 lit. a Datenschutzkonvention lässt sich entnehmen, dass personenbezogene Daten „jede Information über eine bestimmte oder bestimmbare natürliche Person (‚Betroffener‘)“ bedeutet. Auskunft darüber, wann eine Person bestimmbar ist, gibt wiederum der Explanatory Report zur Datenschutzkonvention119. Dies ist dann der Fall, wenn eine Person auf einfache 116

Vgl. Tinnefeld/Ehmann, Einführung in das Datenschutzrecht, S. 7. So weist etwa Bergmann, Grenzüberschreitender Datenverkehr, S. 25, darauf hin, dass sowohl die Ansicht vertreten werde, dass Daten als Rohelemente von Informationen zu betrachten seien, als auch die gegenteilige Auffassung, wonach Daten Darstellung von Informationen, insbesondere mit symbolischen, meist mit sprachlichen Mitteln sind; ähnlich auch Henke, Die Datenschutzkonvention des Europarates, S. 69. Von einer synonymen Verwendungsmöglichkeit geht Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 50, aus. Vgl. auch de Bot, Verwerking van persoonsgegevens, S. 23. 118 Hervorhebung durch den Verfasser. 119 Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) No. 108. 117

48

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

Weise, ohne komplizierte Methoden identifiziert werden kann.120 Präziser gefasst ist die Datenschutzrichtlinie 95/46/EG, indem sie eine Person als bestimmbar betrachtet, wenn sie „direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“.121 Dies macht deutlich, dass der Begriff der Daten jegliche Form der Information, einschließlich Geräusch- oder Bildinformationen umfassen kann.122 Auch für den Begriff des „Datenschutzes“ enthält die Datenschutzkonvention des Europarates eine Definition. Danach wird unter Datenschutz verstanden, dass „für jedermann ungeachtet seiner Staatsangehörigkeit sichergestellt [wird], dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf Achtung des Persönlichkeitsbereichs, bei der automatischen Verarbeitung personenbezogener Daten geschützt wird.“123 Die „automatische Verarbeitung“ erfasst das Speichern von Daten, das Verändern, Löschen, Wiedergewinnen oder Bekanntgeben von Daten, soweit diese Tätigkeiten ganz oder teilweise mit Hilfe automatischer Verfahren durchgeführt werden.124 Jedoch ist Datenschutz nicht notwendiger Weise auf die automatische Verarbeitung personenbezogener Daten beschränkt. Weiter gefasst ist etwa die EG-Richtlinie, die auf jegliche Formen der Datenverarbeitung Anwendung findet.125 Da Datenschutz also den Schutz der persönlichen Integrität und des Privatlebens bezweckt, wird der Begriff „Datenschutz“ als eigentlich nicht treffend bezeichnet, da nicht die Daten, sondern das Individuum schutzwürdig sind.126 Datenschutz soll verhindern, dass persönliche 120

„ ‚Identifiable persons‘ means a person who can easily be identified: it does not cover identification of persons by means of very sophisticated methods“, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) No. 108, Nr. 28. 121 Art. 2 lit. a Datenschutzrichtlinie 46/95/EG. 122 Zur indirekten und direkten Identifikation: de Hert, Jaarboek Mensenrechten 1996/1997, S. 48. 123 Art. 1 Datenschutzkonvention. 124 Vgl. Art. 2 lit. Datenschutzkonvention, noch weitgehender ist die Definition in Art. 2 lit. b der EG-Datenschutzrichtlinie, nach der „Verarbeitung personenbezogener Daten“ („Verarbeitung“) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten umfasst. (Hervorhebung durch den Verfasser). 125 Siehe Art. 1 Abs. 1 Datenschutzrichtlinie 95/46/EG.

B. Die Bedeutung des Rechts auf Datenschutz

49

Daten uneingeschränkt gesammelt und gespeichert werden. Diese Begriffsbestimmungen sollen im Folgenden als Arbeitsdefinitionen dienen.127 2. Grundprinzipien des Datenschutzes Bei genauer Betrachtung der internationalen Abkommen zum Datenschutz finden sich weitgehende inhaltliche Übereinstimmungen und es wird deutlich, dass sie auf gemeinsamen Grundprinzipien128 beruhen. So sehen alle Vereinbarungen vor, dass eine Verarbeitung nur nach Treu und Glauben erfolgen darf.129 Auch der Grundsatz der Zweckbindung kann als ein allgemeiner Grundsatz des Datenschutzes bezeichnet werden.130 Er besagt, dass eine Verarbeitung personenbezogener Daten nur zu bestimmten, in der Einwilligung oder gesetzlichen Erlaubnis ausdrücklich genannten Zwecken erfolgen darf.131 Zu nennen sind weiterhin Bestimmungen, die gewisse Anforderungen an die Qualität der Daten stellen. Diese müssen beispielsweise sachlich richtig und auf dem neuesten Stand sein und dürfen nicht übermäßig lange aufbewahrt werden.132 Ferner wird dem Betroffenen ein Recht auf Einsichtnahme und Beteiligungsrechte gewährt, so dass man von einem Grundsatz auf Beteiligung sprechen kann.133 Es zeigt sich, dass sich hinter 126 So Mayer-Schönberger, General Development of Data Protection in Europe, in: Agre/Rotenberg (Hg.), Technology and Privacy: The New Landscape, S. 219; Gola/Klug, Grundzüge des Datenschutzrechts, S. 1. 127 Nur am Rande sei hier darauf hingewiesen, dass zumindest im Englischen zusätzlich noch zwischen „privacy law“ und „data protection law“ unterschieden werden kann. Dabei ist privacy der weitere Begriff, der auch den Schutz vor Überwachungsmaßnahmen und Datenverarbeitung des Staates umfasst. So sprechen de Hert und Schreuders von privacy und data protection als „twins but not identical“, de Hert/Schreuders, The relevance of Convention 108, Proceedings of the Council of Europe Conference on Data Protection, Warsaw, 19.–20. November 2001; vgl. auch Kuner, European Data Privacy Law and Online Business, S. 3. 128 Siehe dazu Bygrave, PLPR 2001, S. 169; Gutwirth, Privacy and the Information Age, S. 85 ff. 129 Ziff. 1 der UN-Richtlinie, Teil II Ziff. 7 der OECD Empfehlung, Art. 5 lit. a der Datenschutzkonvention und Art. 6 Abs. 1 lit. a der Datenschutzrichtlinie 95/46/EG. 130 Ziff. 3 der UN-Richtlinie, Teil 2 Ziff. 9 der OECD Empfehlung, Art. 5 lit. b Datenschutzkonvention, Art. 6 Abs. 1 lit. b Datenschutzrichtlinie 95/46/EG. 131 Vgl. Roßnagel, Einleitung, in: Roßnagel (Hg.), Handbuch Datenschutzrecht, Rn. 41. 132 Vgl. Art. 5 Datenschutzkonvention, Art. 6 Abs. 1 Datenschutzrichtlinie 95/46/ EG. 133 Ziff. 4 UN-Richtlinie Teil 2 Nr. 13 OECD Empfehlung Art. 8 Datenschutzkonvention, Art. 12 EG-Richtlinie; der Grundsatz der unabhängigen Überwachung in Nr. 8 UN-Richtlinie; Ziff. 14 OECD Empfehlung; Art. 28 Datenschutzrichtlinie 95/46/EG.

50

Teil 1: Europäische Grundrechte und Notwendigkeit des Datenschutzes

einem abstrakt formulierten „Recht auf Datenschutz“ konkrete rechtliche Grundsätze verbergen. Fragt man nach der Existenz eines Grundrechts auf Datenschutz, ist also zu untersuchen, inwieweit diese Grundprinzipien grundrechtlich gewährleistet werden.

IV. Zusammenfassung Die technische Entwicklung in den letzten Jahrzehnten hat die Verarbeitung personenbezogener Daten in großem Umfang ermöglicht und zu einem bedeutenden Wirtschaftsfaktor ausreifen lassen. Aber auch auf staatlicher Ebene finden unzählige Verarbeitungsvorgänge statt. In der Folge entstand das Bedürfnis nach rechtlichen Regelungen. Da der Datenaustausch aufgrund der weltweiten Vernetzung aber über staatliche Grenzen hinweg stattfindet, war es erforderlich, dem Problem auch auf internationaler Ebene zu begegnen. Es kam zur Ausarbeitung mehrerer internationaler Dokumente, denen sich entnehmen lässt, dass Datenschutz grundrechtliche Relevanz besitzt. Allerdings enthalten die Übereinkommen und Richtlinien selbst kein ausformuliertes Grundrecht sondern betrachten den Datenschutz als Teilaspekt des Rechts auf Privatsphäre134 und verweisen auf die vorhandenen Grundrechte und Grundfreiheiten, die beachtet werden müssen. Zur Beantwortung der Frage, welches Schutzniveau erforderlich ist, damit ein ausreichender Schutz gewährleistet ist, müssen daher diese Grundrechte herangezogen werden. Dabei gilt es zu ermitteln, in welchem Maße diese Grundrechte auch ein Recht auf Datenschutz gewähren und wie die aufgeführten Instrumente in diesem Zusammenhang einzuordnen sind. Dies ist Gegenstand der folgenden Untersuchung.

134 So in Erwägungsgrund 10 der Datenschutzrichtlinie 95/46/EG, wohingegen in der Präambel und Art. 1 der Datenschutzkonvention auf das Recht auf Achtung des Persönlichkeitsbereichs Bezug genommen wird.

Teil 2

Datenschutz in der Europäischen Menschenrechtskonvention Der erklärte Zweck vieler datenschutzrechtlicher Regelungen ist der Schutz der Grundrechte und Grundfreiheiten des Einzelnen bei der Verarbeitung personenbezogener Daten. Besonders hervorgehoben wird dabei der Schutz der Privatsphäre.1 In der Europäischen Menschenrechtskonvention findet sich dieser Grundsatz in dem durch Art. 8 verbürgten Recht auf Achtung des Privat- und Familienlebens. Der Verweis auf dieses Grundrecht ist erforderlich, da der Datenschutz in der EMRK, wie in den meisten Grund- und Menschenrechtskatalogen, nicht ausdrücklich verbürgt ist.2 Im Gegensatz zu den klassischen Grundrechten kennzeichnet das entstehende Datenschutzrecht eine besondere Entwicklung. Traditionell sind Grundrechte in erster Linie Abwehrrechte des Bürgers gegen den Staat.3 Der Menschenrechtsschutz in Europa erfasst daher alle nach historischer Erfahrung gefährdeten Freiheitsbereiche.4 Wie die nationalen Menschenrechtsinstrumente enthält auch die EMRK einen Katalog der klassischen Grund- und Freiheitsrechte, der entworfen wurde, um mögliche Eingriffe des Staates in diese Rechte abzuwehren. Zum Zeitpunkt der Unterzeichnung der EMRK im Jahre 1950 war jedoch nicht vorhersehbar, dass ein Bedürfnis nach dem Schutz persönlicher Daten entstehen könnte. Auch die durch die fortschreitende technische Entwicklung aufkommende Frage nach einem Recht auf Datenschutz musste nicht zwangsläufig zur Einfüh1

Vgl. 1. Teil, B.II.5. Vgl. 1. Teil, B.II.1. Beispielsweise sehen nur fünf Mitgliedstaaten in ihrer Verfassung ein Recht auf Datenschutz vor, nämlich Finnland (§ 10 Abs. 1 S. 2), die Niederlande (Art. 10), Portugal (Art. 35), Schweden (Kapitel 2 Art. 3 und Art. 22 Abs. 2) und Spanien (Art. 18 Abs. 4). 3 So für die deutschen Grundrechte BVerfGE 7, 198 (204); für die Gemeinschaftsgrundrechte im Schrifttum: Beutler in: von der Groeben/Thiesing/Ehlermann, Art. F, Rn. 88; Gersdorf, AÖR 1994 (119), S. 402; Rengeling, Grundrechtsschutz in der Europäischen Gemeinschaft, S. 203; Walter, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 1, Rn. 2; für die EMRK Russo in: Pettiti/ Decaux/Imbert, Art. 8 § 1, S. 306. 4 Klein, Menschenrechte in Europa, in: MRM Themenheft „50 Jahre Europäische Menschenrechtskonvention“, 2000, S. 11. 2

52

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

rung neuer normativer Regelungen führen. Die jahrhundertelange Erfahrung einiger Mitgliedstaaten im Umgang mit Grundrechten hatte es nämlich nicht nur ermöglicht, die gefährdeten Bereiche zu identifizieren, sondern auch die Schutzbereiche der jeweiligen Rechte entsprechend anzupassen. Im Allgemeinen sind die Schutzbereiche der in der EMRK kodifizierten Rechte daher hinreichend flexibel formuliert, um Schutz auch gegen bislang unbekannte Gefährdungen zu bieten.5 Und dennoch hat die elektronische Datenverarbeitung die EMRK vor eine neue Herausforderung gestellt.

A. Datenschutz durch Art. 8 EMRK Art. 8 Abs. 1 EMRK lautet: „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder Moral oder zum Schutz der Rechte und Freiheiten anderer.“

I. Anwendungsbereich Ebenso wie die Art. 9–11 EMRK beschreibt Art. 8 in seinem Absatz 1 zunächst den Schutzbereich, während Abs. 2 Schrankenregelungen enthält. Art. 8 EMRK ist eine der offensten Konventionsbestimmungen.6 Wie bei kaum einem anderen Recht ist der EGMR daher aufgefordert, den Schutzbereich zu präzisieren. Obwohl die Vorschrift Gegenstand einer inzwischen ausgesprochen umfassenden Rechtsprechung ist, sind immer wieder neue Entwicklungen bei den von ihr geschützten Rechten zu beobachten. 1. Allgemeines In Art. 8 Abs. 1 EMRK werden vier verschiedene Rechte zusammengefasst. Geschützt sind das Recht auf Achtung des Privat- und Familienlebens, die Wohnung und die Korrespondenz. Jedoch werden die aufgezählten 5 Ergänzend ist auf die im Urteil Tyrer festgestellte flexible Auslegung der EMRK hinzuweisen, EGMR, Urteil vom 25. April 1978, Tyrer ./. Vereinigtes Königreich, (App. 5856/72), Serie A, 26, § 31. 6 Feldman, EHRLR 1997, S. 265; Warbrick, EHRLR 1998, S. 32; Jacobs/White, European Convention on Human Rights, S. 217.

A. Datenschutz durch Art. 8 EMRK

53

Rechte nicht weiter definiert. Insbesondere bei dem Begriff des „Privatlebens“ handelt es sich um einen sehr weit gefassten und dehnbaren Begriff, so dass sich Definitionsversuche schwierig gestalten.7 Im Gegensatz dazu erschließen sich die Begriffe des Familienlebens, der Wohnung und der Korrespondenz einfacher und ermöglichen so eine sehr viel stärkere Eingrenzung des Schutzbereichs. Mangels einer abschließenden Definition lässt sich aber auch das Verhältnis der einzelnen Rechte zueinander nur schwer bestimmen. Zusätzlich erschwert wird der Umgang mit der Vorschrift durch eine unübersichtliche terminologische Vielfalt in der den Art. 8 EMRK betreffenden Literatur. a) Struktur des Art. 8 EMRK Auch das Familienleben, die Wohnung und die Korrespondenz gehören zum Privatleben eines Menschen. Bei diesen ebenfalls in Art. 8 Abs. 1 EMRK genannten Rechten handelt es sich daher nur um besondere Ausprägungen des Schutzes des Privatlebens, das den weitesten Schutzbereich unter allen in Art. 8 Abs. 1 aufgeführten Rechten gewährleistet.8 Das Abhören von Telefongesprächen kann beispielsweise sowohl in den Schutzbereich des Privatlebens als auch der Wohnung und der Korrespondenz fallen. In der überwiegenden Anzahl der Art. 8 EMRK berührenden Fälle ist – gegebenenfalls neben einem spezifischen Recht – auch immer der Schutzbereich des Privatlebens betroffen. Eine eindeutige Abgrenzung zwischen den einzelnen Rechten ist daher oftmals unmöglich.9 Verschiedentlich wurde deshalb vorgeschlagen, die unterschiedlichen in Art. 8 EMRK enthaltenen Rechte zusammenzufassen, etwa indem der Schutz der Privatsphäre als Leitmotiv aller vier Rechte bezeichnet wird,10 man einen kombinierten 7 „[P]rivate life is a broad concept which is incapable of exhaustive definition.“, EGMR Urteil vom 25. März 1993, Castello Roberts ./. Vereinigtes Königreich, (App. No. 13134/87), Serie A, 247-C; früh auch der niederländische Justizminister Polak, Rapport sur „Le droit à la vie privée et les moyens techniques modernes“ 6. Conférence des Ministres européens da la Justice, Den Haag, 26–29 Mai 1970, Doc. CMJ (70) 4, par.5; vgl. Nachw. bei Velu, in: Vie privée et droits de l’homme, S. 54; siehe auch Villiger, Handbuch der Europäischen Menschenrechtskonvention, § 26; Renucci, Droit Européen des droits de l’homme, S. 154; de Schutter, RTDH 1999, S. 832. 8 Vgl. Doswald-Beck, HRLJ 1983, S. 284; Uerpmann, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 3 I 1, Rn. 3; Verhey, Horizontale werking van grondrechten, S. 200. 9 Vgl. Frowein, in: Frowein/Peukert, EMRK, Art. 8 Rn. 1; van Dijk/van Hoof, Theory and Practice of the European Convention of Human Rights, § 8, S. 489; Wildhaber, The right to respect for private and family life, in: Nikken (Hg.), The Modern World of Human Rights, Essays in honour of Thomas Buergenthal, S. 104; Verhey, Horizontale werking van grondrechten, S. 200.

54

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Schutzbereich des Privat- und Familienlebens annimmt11 oder Art. 8 EMRK zusammenfassend als Recht auf Privatsphäre12 charakterisiert.13 Auch wenn praktische Gründe zunächst durchaus für die Verwendung eines zentralen Begriffs sprechen, hat sich eine Zusammenfassung der Rechte in Art. 8 Abs. 1 EMRK bisher nicht durchgesetzt. In Anbetracht dessen, dass Ausnahmefälle denkbar sind, in denen eines der drei spezifischen Rechte betroffen ist, ohne dass zugleich auch ein unmittelbarer Eingriff in das Recht auf Privatleben vorliegt – so beispielsweise im Falle ausschließlich geschäftlicher Korrespondenz – erschiene dies auch unangebracht. Klare Kriterien, um die einzelnen Rechte gegeneinander abzugrenzen, haben auch die Straßburger Organe nicht entwickelt. Die Frage, ob ein Fall vom Schutzbereich eines der in Art. 8 EMRK genannten Rechte erfasst wird, wurde bisher von Fall zu Fall entschieden.14 In Fällen, in denen der Beschwerdeführer eine Verletzung mehrerer in Art. 8 Abs. 1 EMRK aufgeführten Rechte geltend machte, vermied es der Gerichtshof stets, das tatsächlich verletzte Recht genau zu bezeichnen.15 Diese Vorgehensweise des Gerichts bedeutet jedoch keinesfalls, dass die Subsumtion unter die Rechte des Art. 8 EMRK beliebig ist.16 Der Rechtsprechung des Gerichts lassen sich inzwischen ausreichende Anhaltspunkte entnehmen, um das jeweilige betroffene Recht genau zu bezeichnen. 10

Vgl. Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 1. Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 1. 12 So Frowein, in: Frowein/Peukert, Europäische Menschenrechtskonvention, Art. 8, Rn. 1; zur Frage der Terminologie siehe unten Teil 3, A.I.2. 13 An dieser Stelle ist zu anzumerken, dass etwa Grabenwarter den Schutz der Privatsphäre als Teilbereich des Privatlebens begreift. Die Privatsphäre stelle seiner Auffassung nach neben dem Selbstbestimmungsrecht über den eigenen Körper und der freien Gestaltung der persönlichen Lebensführung eine von drei durch die Straßburger Rechtsprechung aus dem Gewährleistungsgehalt des Privatlebens herausgestalteten Gruppen dar, Grabenwarter, § 22 Rn. 6. 14 Da sich die Straßburger Organe des rechtsetzenden Effekts ihrer Rechtsprechung bewusst waren, haben sie sich bemüht, einen möglichst engen Fallbezug herzustellen und nicht zur Auslegung bestimmter Vorschriften oder Begriffe allgemein Stellung zu nehmen, vgl. Cameron, National Security and the European Convention on Human Rights, S. 22. 15 So im Fall Gaskin v. the United Kingdom, Urteil vom 7. Juli 1989, Serie A 160, in dem sich der Beschwerdeführer auf eine Verletzung sowohl seines Privatals auch Familienlebens berief. Die britischen Behörden hatten Herrn Gaskin, der in einer Pflegefamilie aufgewachsen war, die Einsichtnahme in seine Akte verweigert. Hinsichtlich des Anwendungsbereichs von Art. 8 Abs. 1 EMRK stellte der Gerichtshof jedoch lediglich fest, dass der Inhalt der Akte „unzweifelhaft Mr. Gaskins Privat- und Familienleben betreffe“ und der Schutzbereich des Art. 8 EMRK daher eröffnet sei. („The records contained in the file undoubtly do relate to Mr. Gaskins „private and family life“ in such a way that the question of his access thereto falls within the ambit of Art. 8.“, a. a. O. § 37). 11

A. Datenschutz durch Art. 8 EMRK

55

b) Terminologie Wenn vielfach davon gesprochen wird, Art. 8 EMRK schütze ganz allgemein ein Recht auf Privatsphäre17 (Privacy18), ist dies nicht nur unter strukturellen sondern auch unter terminologischen Gesichtspunkten nicht zwingend und wird für zu unscharf gehalten.19 Zunächst ist die Privatsphäre nicht notwendiger Weise identisch mit der Gesamtheit der durch Art. 8 EMRK geschützten Rechte. So wird etwa vertreten, dass der Begriff der Privatsphäre sich nicht auf diese beschränkt. Von einem im Vergleich zum Privatleben weiteren Begriff der Privatsphäre geht unter anderem die beratende Versammlung des Europarats in einer Erklärung aus: „The right to privacy consists essentially in the right to live one’s own life with a minimum of interference. It concerns private, family and home life, physical and moral integrity, honour and reputation, avoidance of being placed in a false light, non-revelation of irrelevant and embarrassing facts, unauthorised publication of private photographs, protection from disclosure of information given or received by the individual confidentially.“20

Ein Vergleich mit Art. 12 der Allgemeinen Erklärung der Menschenrechte (AEMR)21 bestätigt, dass „Privatsphäre“ durchaus als Begriff für ein weiteres Konzept verstanden werden kann. So heißt es in Art. 12 AEMR, durch den Art. 8 EMRK stark inspiriert wurde,22 dass „niemand willkürliche[n] Eingriffen in sein Privatleben, seine Familie, sein Heim oder seinen Briefwechsel, noch Angriffen auf seine Ehre und seinen Ruf ausgesetzt werden [darf]“.23 Obwohl Art. 12 AEMR und Art. 8 EMRK folglich den 16

Eine kritische Auseinandersetzung mit der ungenauen Vorgehensweise der Straßburger Organe bei Sudre, Les aléas de la notion de „vie privée“ in: Pettiti (gefeiert) Mélanges en hommage à Louis Edmond Pettiti, S. 687 ff. 17 Vgl. der Titel der Untersuchung Breitenmosers zu Art. 8 EMRK „Der Schutz der Privatsphäre gemäß Art. 8 EMRK“. 18 Vgl. zum Begriff „privacy“: Gutwirth, Privacy and the Information Age, S. 5 ff. 19 So zu Recht van Dijk/van Hoof, Theory and Practice of the European Convention of Human Rights, § 8, S. 489. 20 Resolution 428 (1970) Council of Europe, Cons. Ass., Twenty-Fist Ordinary Session (Third Part), Texts Adopted (1970). 21 Allgemeine Erklärung der Menschenrechte, GA Resolution 217 (III) der Generalversammlung der Vereinten Nationen vom 10. Dezember 1948, GAOR 3rd Sess., Resolutions part I, S. 71. 22 Traveaux préparatoires I 46 (Sitzung vom 19.8.1949); I 168 (Sitzung vom 29.8.1949), vgl. Merrills/Robertson, Human rights in Europe, S. 137. 23 „No one shall be subject to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation.“, Schweitzer/Rudolf, Friedensvölkerrecht, S. 29.

56

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

gleichen Regelungsbereich24 besitzen, hat man die Schutzgüter der Ehre und des Rufes (honour and reputation) bewusst nicht in den Katalog des Art. 8 Abs. 1 EMRK aufgenommen.25 Daraus lässt sich schließen, dass die beiden Rechte einen unterschiedlichen Schutzbereich gewährleisten. Während die Ehre und der gute Ruf zwar in den Schutzbereich des Rechts auf Privatsphäre fallen, werden sie hingegen nicht vom Recht auf Privatleben erfasst. Dieses Verständnis ist jedoch nicht zwingend. Von einem völlig anderen Begriffsverständnis geht etwa Reid aus. Nach ihrer Auffassung steht das Recht auf Privatleben für eine Sphäre der unmittelbaren persönlichen Autonomie bzw. Selbstbestimmung und ist daher weiter gefasst als das Recht auf Privatsphäre.26 Teilweise dient der Begriff der Privatsphäre auch lediglich als synonyme Bezeichnung für das Privatleben.27 Dies ist insofern nicht fern liegend, als dass Art. 12 von „privacy“ anstatt von „private life“ spricht. Im Gegensatz zur Allgemeinen Erklärung der Menschenrechte ist der Begriff der Privatsphäre der EMRK an sich fremd, er wurde in der EMRK durch „private life“ ersetzt. Diese Änderung ist wohl darauf zurückzuführen, dass man versuchte, eine möglichst genaue Übereinstimmung mit der französischen Version (vie privée) zu erreichen und deutet daher nicht auf inhaltliche Unterschiede hin.28 In der Rechtsprechung der Straßburger Organe findet sich schließlich noch der Begriff „sphere of private life“,29 der im Deutschen ebenfalls mit „Privatsphäre“ übersetzt wird.30 In der Zusammenschau zeigt sich, dass sich kein einheitliches Konzept hinsichtlich der Verwendung der Begrifflichkeiten durchgesetzt hat. Alle dargestellten Auffassungen und Bezeichnungen beruhen auf nachvollziehbaren Erwägungen. Jedoch ist keine von ihnen geeignet, die Konfusion zu beseitigen. Angebracht erscheint die Verwendung des Begriffs Privatsphäre lediglich als Reaktion auf den durch die Rechtsprechung in immer umfas24

Zu diesem Begriff: Pieroth/Schlink, Grundrechte, Rn. 197. Siehe Teitgens Bericht zur Beratenden Versammlung, Doc. 77 para. 7, of the Consultative Assembly, first session, 5. September 1949, S. 197–209. 26 Reid, Practitioners Guide to the European Convention of Human Rights, S. 323. 27 Siehe etwa Alkema, Privacy under the European Convention of Human Rights, abrufbar unter http.//www.privacyexchange.org/iss/confpapers/montreal.html (April 2005). 28 Merrills/Robertson, Human Rights in Europe, S. 137. 29 EKMR, Entscheidung vom 18. Mai 1976, X ./. Island, DR 5, S. 86; EKMR, Bericht vom 12. Juli 1977, Brüggemann und Scheuten gegen Bundesrepublik Deutschland, DR 10, S. 100, § 57. 30 EKMR, Bericht vom 12. Juli 1977, Brüggemann und Scheuten gegen Bundesrepublik Deutschland, DR 10, S. 100, § 57. 25

A. Datenschutz durch Art. 8 EMRK

57

senderer Weise gewährten Schutz unter Art. 8 EMRK. Durch den Austausch der Begrifflichkeiten kann man deutlich machen, dass im Vergleich zu dem ursprünglichen Verständnis von Art. 8 EMRK eine Veränderung stattgefunden hat, die man als strukturellen Wandel bezeichnen könnte. Ob dies wirklich der Fall ist, soll hier im Folgenden untersucht werden. Aber auch wenn sich Art. 8 in der Entwicklung zu einem „umfassenderen“ Recht auf Privatsphäre befinden mag, finden sich in der Rechtsprechung der Straßburger Organe stets die in der Konvention verwendeten Begrifflichkeiten. Sie sollen daher auch Grundlage für die nachfolgenden Ausführungen sein. 2. Das Recht auf Privatleben und Datenschutz Das Schutzobjekt des Datenschutzes, die Privatsphäre des Einzelnen, erfährt seinen Schutz also hauptsächlich über das Recht auf Achtung des Privatlebens in Art. 8 Abs. 1 EMRK. Ein Recht auf Datenschutz wird daher in den meisten Fällen nur so weit reichen, wie der Schutzbereich des Rechts auf Privatleben. Wenn man feststellen möchte, inwieweit die EMRK ein Recht auf Datenschutz gewährleistet, ist folglich die Frage nach dem Schutzbzw. Anwendungsbereich des Rechts auf Privatleben von entscheidender Bedeutung. a) Begriff des Privatlebens Die Verflechtungen der verschiedenen von Art. 8 EMRK geschützten Rechte macht eine abschließende Definition des Privatlebens außerordentlich schwierig. Wie eingangs bereits erwähnt, betrifft das Recht auf Privatleben einen sehr umfangreichen rechtlichen Bereich, der sich nur schwer eingrenzen lässt.31 Da die travaux préparatoire hinsichtlich des spezifischen Schutzbereiches des Privatlebens kaum Angaben enthalten,32 ist dieser Begriff seit jeher Gegenstand von Untersuchungen.33 Weiterhin ist zu beachten, dass sich die beiden Absätze des Art. 8 EMRK gegenseitig beeinflussen und daher als Einheit zu betrachten sind. 31

Siehe Teil 1, A.I.1. Ausführlich hierzu: Velu, The European Convention on Human Rights and the Right to Respect for Private Life, the Home and Communications, in: Robertson (Hg.), Privacy and Human Rights, S. 13 ff. 33 Ausführliche Darstellung zu Art. 8 EMRK: Conelly, ICLQ 35 (1986), S. 567; Cohen-Jonathan, La Convention Européenne des Droits des l’Homme, S. 354; ders. Respect for Private and Family life in: Macdonald, Matscher, Petzold (Hg.), The European System for the Protection of Human Rights, S. 405; van Dijk/van Hoof, Theory and Practice of the European Convention of Human Rights, S. 489; Doswald-Beck, HRLJ 1983, S. 283; Feldman, EHRLR 1997, S. 265; de Schutter, RTDH 1999, S. 827 ff. 32

58

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

So muss nicht nur der Schrankenvorbehalt aus Art. 8 Abs. 2 EMRK im Zusammenhang mit dem Schutzbereich des Art. 8 Abs. 1 EMRK betrachtet werden; ebenso wird der unbestimmte Schutzbereich erst durch die Schrankennormen von Art. 8 Abs. 2 EMRK genauer eingegrenzt und umschrieben.34 Es ist daher nur bedingt möglich, einen abstrakten Schutzbereich für eines der in Art. 8 Abs. 1 EMRK genannten Rechte zu ermitteln, da Erwägungen zur Zulässigkeit einer Einschränkung ebenfalls eine Rolle spielen. Dennoch soll im Folgenden der Schutzbereich des Rechts auf Achtung des Privatlebens zunächst weitestgehend isoliert betrachtet werden, um die Entwicklung dieses Rechts kurz aufzuzeigen. aa) Der Begriff des Privatlebens in der Literatur Nach dem Inkrafttreten der EMRK dauerte es lange, bis die Straßburger Organe aufgefordert waren, näher auf den Begriff des Privatlebens einzugehen. Da die Rechtsprechung zunächst also keine Auslegungshilfe bot, sah man sich in der anfänglichen Diskussion gezwungen, auf die Definitionen des Privatlebens in den verschiedenen nationalen Rechtsordnungen zurückzugreifen. Grundsätzlich ging es dabei um die Frage, ob mit dem Recht auf Privatleben lediglich die Sicherung einer privaten, häuslichen Atmosphäre gemeint ist oder eine weitergehende, generelle Garantie zur freien Entfaltung der Persönlichkeit, die dem grundrechtlichen Schutz in Art. 2 Abs. 1 GG35 entspricht und in Verbindung mit Art. 1 Abs. 1 GG vom Bundesverfassungsgericht (BVerfG) zu einem allgemeinen Persönlichkeitsrecht entwickelt wurde. (1) Kriterium der betroffenen Sphäre (Sphärentheorie) Die erste Auffassung lässt sich auf die Definitionsversuche des Privatlebens im Common Law zurückführen. Früher als im Civil Law Rechtskreis wurde dort bereits ein Recht auf Privatleben mit einem „right to be let alone“ beschrieben.36 Im französischen Recht umfasste das Privatleben das 34 Siehe dazu Grabenwarter, § 18 Rn. 5; Wildhaber/Breitenmoser in: IntKomm, Art. 8, Rn. 6. 35 Eine ähnliche Vorschrift findet sich in Art. 5 der griechischen Verfassung von 1975. 36 Cooley, Torts, 2. Auflage 1888, S. 29; diese Formel wurde später in einer amerikanischen Gerichtsentscheidung mit „the right to live one’s life in seclusion, without being subjected to unwarranted and undesired publicity“ konkretisiert, Kerby v. Hal Roach Studies (1942) 53 Cal. App. 207, 127 P. 2d 577, 579. Auf ein „right to be let alone“ beziehen sich auch Warren und Brandeis in ihrem einflussreichen Artikel zum Recht auf Privatsphäre. Ihrer Auffassung nach erstreckte sich dieses Recht

A. Datenschutz durch Art. 8 EMRK

59

Familienleben, die persönliche Lebensgestaltung, das innere und geistige Leben, also das Leben, das man zu Hause hinter geschlossenen Türen lebt.37 Diese engere Definition nimmt Bezug auf einen mit der eigenen Wohnung oder einem individuellen Rückzugsraum verbundenen persönlichen Bereich. Letztendlich führt diese Beschreibung dazu, dass sich das Privatleben vor allem durch die Abgrenzung zum öffentlichen Leben bestimmen lässt. Darauf baut auch der in Anlehnung an die Sphärentheorie des Bundesverfassungsgerichtes entwickelte Gedanke der Einteilung der Betätigungsräume des Menschen in verschiedene Sphären auf. Ausgehend von dem Elfes-Urteil, in dem klargestellt worden war, dass dem einzelnen Bürger eine Sphäre privater Lebensführung vorbehalten ist,38 erkannte das BVerfG den Schutz der engeren persönlichen Lebenssphäre, der Privat- und Intimsphäre an. Dabei gewährt die Intimsphäre dem Bürger einen unantastbaren Bereich privater Lebensgestaltung, der der Einwirkung öffentlicher Gewalt gänzlich entzogen ist.39 Die nachgelagerte, sich gleichsam in einem Ring um den intimen Kernbereich der Person legende Privatsphäre, umfasst sowohl einen thematischen als auch einen räumlichen Rückzugsbereich.40 Thematisch insofern, als dass Angelegenheiten geschützt werden, die dem Inhalt nach dem engeren Bereich der persönlichen Lebensführung zugeschrieben werden.41 Räumlich, weil es dem Betroffenen möglich sein muss, er selbst zu sein und eine vom Öffentlichkeitsdruck verursachte Selbstkontrolle abzulegen. Auf die EMRK übertragen erstreckt sich der Schutz von Art. 8 EMRK nach diesem Verständnis daher nur auf die private häusliche Sphäre.42 auch auf „the personal appearance, saying, acts, and to personal relation, domestic or otherwise“, Warren/Brandeis, Harvard Law Review 1890, S. 213. 37 „La vie privée, c’est la vie familiale, personnelle de l’homme, sa vie intérieur, spirituelle, celle qu’il mène lorsqu’il vit derrière sa porte fermée.“ Martin, Rev. tr. Dr. Civ. 1959, S. 230, zum gemeinsamen Grundverständnis eines Rechts auf Privatleben siehe jedoch Juvigny, Les réalisations scientifiques et techniques modernes et leurs consequences sur la protection du droit au respect de la vie privée et familiale, du domicile et des communications, in: Vie privée et droits de l’homme, S. 172. 38 BVerfGE 6, 32 (41). 39 BVerfGE 6, 32 (42); 6, 389 (433); 27, 344 (351); 32, 373 (379); 34, 238 (245); 35, 25 (39); 38, 312 (329); 54 143 (146); 65, 1 (46); 80, 367 (373); 89, 69 (83). 40 So die Unterscheidung von Di Fabio, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 2, Rn. 149. 41 Zusammenfassend BVerfGE 101, 361(382). 42 So sehr früh Scheuner, der den Schutz der privaten Sphäre nicht auf Beeinträchtigungen der Persönlichkeit, die aus der dynamischen Entwicklung der Technik resultiert, erstreckt wissen will, da für diese Probleme noch keine einheitliche Lösung innerhalb der nationalen Rechtsordnungen gefunden wurden. Aufgabe der Konvention sei es jedoch lediglich, die gemeinsamen Grundlagen der nationalen Rechtsordnungen zu ergänzen, nicht aber zu ersetzen. Vergleich der Rechtsprechung

60

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

(2) Generelles Recht auf freie Entfaltung der Persönlichkeit Das von einer zweiten Auffassung vertretene generelle Recht auf freie Entfaltung der Persönlichkeit basiert hingegen auf der Annahme, dass die Freiheit der Willensentschließung einen wesentlichen Bestandteil des Privatlebens darstellt.43 Nach dieser Ansicht ist eine Unterteilung in verschiedene Sphären unbeachtlich, da eine Einwirkung auf die Willensentschließung in jeder dieser Sphären möglich ist. (3) Auswirkungen der unterschiedlichen Konzepte Für den Datenschutz ist diese Frage nach dem zugrundeliegenden Verständnis von erheblicher Bedeutung. Nach der ersten Auffassung fallen personenbezogene Daten nur dann in den Schutzbereich des Art. 8 Abs. 1 EMRK, wenn sie sich der engsten privaten Sphäre zuordnen lassen. Folgt man der zweiten Auffassung und begreift das Recht auf Privatleben zugleich als ein Recht auf Entfaltung der Persönlichkeit, eröffnet dies die Möglichkeit der Anerkennung eines umfassenderen Rechts auf Selbstbestimmung, also auch der informationellen Selbstbestimmung. Der Einzelne selbst verfügt über seine Privatsphäre und kann somit auch entscheiden, was er wem gegenüber aus dieser Sphäre offenbaren will.44 Dies bedeutet nicht nur, dass ihm gewisse Beteiligungsrechte bei der Datenverarbeitung zugebilligt werden müssen,45 sondern dass sich der Schutz personenbezogener Daten außerdem grundsätzlich auf alle Lebensbereiche erstreckt.46 Bei diesen beiden Konzepten handelt es sich nicht zwangsläufig um grundsätzlich unterschiedliche dogmatische Sichtweisen. In Deutschland stellen sie beispielsweise verschiedene Entwicklungsstufen des Grundrechts auf informationelle Selbstbestimmung durch die Rechtsprechung des Bunder nationalen Gerichte mit der Rechtsprechung der Konventionsorgane bezüglich der nicht-verfahrensmäßigen Rechte der Europäischen Menschenrechtskonvention, in: Vasak (Hg.) Die Menschenrechte im Staatsrecht und Völkerrecht, S. 242; sich dem anschließend: Hoffmann-Remy, Die Möglichkeit der Grundrechtseinschränkung nach den Art. 8–11 Abs. 2 der Europäischen Menschenrechtskonvention, S. 98. 43 Guradze, Die Europäische Menschenrechtskonvention, Art. 8, Rn. 6; vgl. in neuerer Zeit Loucaides, Personality and Privacy under the European Convention of Human Rights, S. 83. 44 Exemplarisch dazu BVerfGE 54, 148 (153); 85, 219 (224). 45 Dementsprechend BVerfGE 54, 148 (153). 46 Siehe dazu insbes. Cremer, Lohengrin und das Grundrecht auf informationelle Selbstbestimmung des Ehemannes, in: Umbach u. a. (Hg.) Das wahre Verfassungsrecht, S. 276.

A. Datenschutz durch Art. 8 EMRK

61

desverfassungsgerichts dar.47 In einer Abkehr von der bis dahin anerkannten Sphärentheorie48 stellte das Gericht fest, dass dem allgemeinen Persönlichkeitsrecht der Gedanke der Selbstbestimmung zugrunde liegt. Der Einzelne solle – ohne Beschränkung auf seine Privatsphäre – grundsätzlich selbst entscheiden können, wie er sich gegenüber Dritten oder der Öffentlichkeit darstellen will, und ob und inwieweit von Dritten über seine Persönlichkeit verfügt werden könne.49 Mit dieser Rechtsprechung wurde dem Einzelnen das Recht zugestanden, über seine persönlichen Angelegenheiten selbst zu bestimmen, unabhängig davon, in welcher der Sphären das Recht beeinträchtigt wird. Die Stärkung des Selbstbestimmungsrechts gipfelte schließlich in dem Volkszählungsurteil des Bundesverfassungsgerichts, das dem Einzelnen Bestimmungsrechte über seine persönlichen Daten eingeräumt hat.50 Zu bedenken ist, dass es sich dabei um ein nationales Konzept handelt, dass durch die Besonderheiten des deutschen Grundgesetztes geprägt ist.51 Die Unterschiede treten besonders deutlich zu Tage, wenn man bedenkt, dass das Recht auf Privatleben in der EMRK Ausdruck in einem eigenständigen Grundrecht gefunden hat, während es im Grundgesetz lediglich ein Aspekt des Rechts auf freie Entfaltung der Persönlichkeit in seiner Ausprägung als allgemeines Persönlichkeitsrecht ist.52 Dieses wiederum gründet wesentlich auch auf der in Art. 1 GG verankerten Menschenwürde.53 Trotz 47 Zur Entwicklung: Schmidt-Gläser, Schutz der Privatsphäre, in: Isensee/Kirchhof (Hg.), Handbuch des Staatsrechts Bd. VI, § 129; Di Fabio, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 2, Rn. 147 ff., Woertge, Die Prinzipien des Datenschutzrechts und ihre Realisierung im geltenden Recht, S. 60 ff.; Holznagel, Das Grundrecht auf informationelle Selbstbestimmung, in: Pieroth (Hg.) Verfassungsrecht und soziale Wirklichkeit in Wechselwirkung, S. 29 ff.; Vogelsang, Grundrecht auf informationelle Selbstbestimmung?, S. 45 ff. 48 BVerfGE 27, 344 (351); 32, 373 (379). 49 BVerfGE 54, 148 (155). 50 BVerfGE 65, 1 (42). Entscheidendes Kriterium ist daher das „Bestimmungsrecht über die Individualinformation“, vgl. Holznagel, Das Grundrecht auf informationelle Selbstbestimmung, in: Pieroth (Hg.) Verfassungsrecht und soziale Wirklichkeit in Wechselwirkung, S. 38. Grundlegend zum Inhalt des Rechts auf informationelle Selbstbestimmung auch Vogelsang, Grundrecht auf informationelle Selbstbestimmung?, S. 51 ff. 51 Für eine Herleitung des Rechts auf „Privacy“ im Common Law, Doyle/Bagarci, IJHR Vol. 9 (2005), S. 3 ff. 52 Vgl. Di Fabio, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 2, Rn. 147 ff., m. w. N. 53 Jedoch ist die Tatsache, dass das allgemeine Persönlichkeitsrecht seine Grundlage in Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG hat, nicht dahingehend zu verstehen, dass in jeder Beschränkung dieses Rechts zugleich ein Eingriff in Art. 2 und Art. 1 GG gesehen werden kann. In diesem Sinne BVerfGE 54, 148 (153), in dem

62

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

dieser Gegensätze ist aber nicht ausgeschlossen, dass Art. 8 EMRK zumindest eine ähnliche Entwicklung nimmt. So ist im Rahmen der EMRK anerkannt, dass die Menschenwürde – obgleich von ihr nicht ausdrücklich gewährleistet – als „Grundlage und durchgehendes Motiv der Konvention“ zu verstehen ist.54 Während die Autonomie des Einzelnen bereits als Leitbild des Grundgesetzes bezeichnet wird,55 könnte sie daher auch als Grundlage für die Auslegung der Konventionsrechte dienen. (4) Ergebnis Die Auslegung von Art. 8 EMRK wurde durch die nationale Rechtsprechung zunächst jedoch nicht beeinflusst. Solange sich die Straßburger Organe noch nicht über die Reichweite des Rechts auf Privatleben geäußert hatten, blieb die Diskussion über den Begriff hypothetischer Natur. In der Literatur behalf man sich bis zum ersten Urteil mit einem Begriff des Privatlebens, der die bisher vor allem in den nationalen Rechtsordnungen bekannten Definitionen berücksichtigte.56 Danach umfasst das Privatleben: – Eingriffe in die körperliche oder geistige Unversehrtheit oder die sittliche oder geistige Freiheit, – Angriffe auf die Ehre oder den guten Ruf, – die Benutzung des Namens, der Identität oder Ähnlichem, – die Bespitzelung, Beobachtung oder Belästigung, – die Preisgabe von durch das Berufsgeheimnis geschützten Informationen.57 als Aufgabe des allgemeinen Persönlichkeitsrechts die Gewährleistung der „engeren persönlichen Lebenssphäre und die Erhaltung ihrer Grundbedingungen im Sinne des obersten Konstitutionsprinzips der „Würde des Menschen“ bezeichnet wird. Vgl. auch Schmidt-Bleibtreu/Klein, Grundgesetz, Art. 2, Rn. 5; Di Fabio, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 2, Rn. 128. 54 EGMR, Urteil vom 29. April 2002, Pretty ./. Vereinigtes Königreich, (App. 2346/02), Rn. 65; dazu im Einzelnen unter Teil 2, A.I.2.a)cc)(3). 55 Hoffmann-Riem, AöR 1998, S. 521. 56 Siehe dazu die ausführliche Darstellung von Velu, The European Convention on Human Rights and the Right to Respect for Private Life, the Home and Communications, in: Robertson (Hg.), Privacy and Human Rights, S. 92, sowie Jacobs, The European Convention on Human Rights (1975), S. 126. 57 So die Ergebnisse des 3. Kolloquiums über die EMRK des Europarates und der belgischen Universitäten 1970 in Brüssel, in: Robertson (Hg.), Privacy and Human Rights, S. 425; vgl. auch Velu: The European Convention on Human Rights and the right to respect for private life, the home and communications, in: Robertson, Privacy and Human Rights, S. 12–25; Loucaides, BYIL 61 (1990), S. 175; Merrills/Robertson, Human rights in Europe, S. 138.

A. Datenschutz durch Art. 8 EMRK

63

Mit der zunehmenden Zahl von Urteilen zu Art. 8 EMRK wuchsen die Bedeutung und Reichweite des Rechts auf Privatleben unter der EMRK. Langsamer als beispielsweise in der Bundesrepublik entwickelte sich auch unter ihr ein Recht auf Datenschutz. Zunächst soll diese Rechtsprechung, soweit sie für den Schutz von personenbezogenen Daten relevant ist, kurz nachgezeichnet werden, bevor dann untersucht wird, ob hier vergleichbare Entwicklungsstufen oder sogar Parallelen zum Recht auf informationelle Selbstbestimmung erkennbar sind. bb) Das Recht auf Privatleben in der Rechtsprechung der Straßburger Organe Nur in wenigen Entscheidungen sind die Straßburger Organe abstrakt auf den Begriff des Privatlebens eingegangen. Kennzeichen der Rechtsprechung zum Recht auf Privatleben sind demnach eine Vielzahl von Einzelentscheidungen, die bei genauerer Analyse Hinweise zum Anwendungsbereich des Rechts auf Privatleben und damit von Art. 8 EMRK insgesamt geben. Dabei wird deutlich, dass der Schutzbereich des Rechts auf Privatleben grundsätzlich unterschiedliche Ausprägungen erfahren hat. Neben einem aktiven Element, das auf die Selbstbestimmung des Einzelnen abzielt, lässt sich ein passives Element erkennen, das sich an der Wahrung der Privatsphäre und dem Schutz vor Öffentlichkeit orientiert.58 Durch die folgenden Entscheidungen soll ein kurzer Überblick über die umfangreiche Rechtsprechung zu den beiden Komponenten des Rechts auf Privatleben vermittelt werden.59 (1) Kriterium der Öffentlichkeit, X. gegen Vereinigtes Königreich Erstmals Gegenstand eines Verfahrens wurde der Begriff des Privatlebens im Fall X. gegen das Vereinigte Königreich60. Im Jahr 1969 war die Beschwerdeführerin während einer Demonstration zunächst festgenommen und 58 Siehe zu dieser Kategorisierung: Peters, Europäische Menschenrechtskonvention, S. 156 ff.; für das Recht auf informationelle Selbstbestimmung im deutschen Recht: Hufen, Schutz der Persönlichkeit und Recht auf informationelle Selbstbestimmung, in: Badura/Dreier (Hg.), Festschrift 50 Jahre Bundesverfassungsgericht, S. 116. 59 Für eine ausführliche Übersicht über die ältere Rechtsprechung siehe etwa Breitenmoser, Der Schutz der Privatsphäre gemäß Art. 8 EMRK, S. 37 ff., sowie Loucaides, Personality and Privacy under the European Convention of Human Rights, S. 83 ff. Zu der Entwicklung des Datenschutzes aus den Geheimhaltungspflichten, Rudolf, ZeuS 2003, S. 217. 60 EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 328.

64

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

anschließend gegen ihren Willen fotografiert worden. Die Fotos wurden zusammen mit ihren Personalien, bei deren Aufnahme sie einen falschen Namen, aber das richtige Geburtsdatum angegeben hatte, in einer Akte verwahrt. Nachdem sich die Polizei weigerte, die Fotos zu vernichten und ihr gegen diese Entscheidung kein Rechtsmittel zu Verfügung stand, machte sie mehrere Jahre später unter anderem eine Verletzung ihres Rechts auf Achtung des Privatlebens aus Art. 8 EMRK geltend. Nachdem die EKMR festgestellt hatte, dass keine Verletzung der Privatsphäre im Sinne eines Eindringens der Polizei in ihre Wohnung vorlag, dass die Fotos lediglich im Zusammenhang mit einer öffentlichen Veranstaltung aufgenommen worden waren und keinerlei Anzeichen darauf hindeuteten, dass die Aufnahmen der Öffentlichkeit zugänglich gemacht oder für andere Zwecke verwendet werden würden, kam sie zu dem Ergebnis, dass kein Eingriff 61 in das Recht auf Privatleben vorlag.62 Der Entscheidung der Kommission liegt die Vorstellung zugrunde, dass jedem Einzelnen ein Bereich zusteht, der der Kenntnisnahme anderer entzogen sein sollte. Hierauf weist die Bezugnahme auf die Wohnung einerseits und die Öffentlichkeit andererseits hin. Jedoch bestimmt sie diesen, dem Individuum zugebilligten privaten Bereich – und damit letztlich einen Aspekt des Begriffs des Privatlebens – nicht positiv, sondern negativ. Es wird nicht festgestellt, was das Recht auf Achtung des Privatlebens beinhaltet, sondern lediglich klargestellt, dass die Privatsphäre durch die Öffentlichkeit begrenzt wird. Der Verweis auf die Wohnung macht außerdem deutlich, dass die geschützte Sphäre insbesondere dann betroffen ist, wenn sich dieser Bereich räumlich abgrenzen lässt, indem etwa ein Bezug zur häuslichen Umgebung besteht. Dabei beachtet die Kommission jedoch nicht, dass die Wohnung bereits als selbständiges Schutzgut von Art. 8 Abs. 1 EMRK erfasst wird und daher für eine Begriffsbestimmung des Privatlebens nicht dienlich ist. Obwohl eine genauere Eingrenzung des durch das Recht auf 61 An dieser Stelle ist anzumerken, dass der Gerichtshof meist nicht zwischen der Frage, ob der Schutzbereich eines Rechts betroffen ist und dem Eingriff unterscheidet. Siehe auch unter Teil 2, A.II. 62 „The Commission has noted [. . .] first, that there was no invasion of the applicant’s privacy in the sense that the authorities entered her home and took photographs of her there; secondly, that the photographs related to a public incident in which she was voluntarily taking part; and thirdly, that they were taken solely for the purpose of her future identification on similar public occasions and there is no suggestion that they have been made available to the general public or used for any other purpose. Bearing these factors in mind, the Commission finds that the taking and retention of the photographs of the applicant could not be considered to amount to an interference with her private life within the meaning of Article 8 (Art. 8).“, EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 338.

A. Datenschutz durch Art. 8 EMRK

65

Privatleben geschützten Bereichs mithin erforderlich gewesen wäre, vermeidet es die Kommission, hierzu Stellung zu nehmen. Für sie ist allein das Kriterium der Öffentlichkeit entscheidend, um einen Eingriff in Art. 8 EMRK abzulehnen.63 Den Bezug zur Öffentlichkeit sieht sie dadurch hergestellt, dass die Aufnahmen im Zusammenhang mit freiwilligen öffentlichen Aktivitäten entstanden waren.64 Alleiniger Anknüpfungspunkt für einen Bezug zum Privatleben ist folglich die abgebildete Situation, also der Inhalt der Bilder, sowie gegebenenfalls die Umstände ihrer Entstehung. Dabei lässt die Kommission die Auswirkungen, die die Existenz der Bilder auf den Einzelnen und damit unter Umständen auch auf sein Privatleben haben können, außer Acht.65 So scheint es nach heutigem Verständnis keineswegs fernliegend, den Schutzbereich von Art. 8 Abs. 1 EMRK für eröffnet zu erklären, wenn Bilder von Personen, die keinerlei kriminelle Vergangenheit besitzen, dauerhaft in Polizeiakten verwahrt werden. Allein die Tatsache, dass die Aufnahmen in der Öffentlichkeit gemacht wurden, verhindert nicht, dass auch eine ursprünglich unbedenkliche polizeiliche Erfassung etwa wegen der Dauer der Aufbewahrung erst Jahre später zu einem Eingriff in Art. 8 EMRK führen kann. Es lässt sich festhalten, dass die zentrale Frage des Rechts auf Privatleben, nämlich die Existenz und Reichweite einer Privatsphäre, in die staatliche Behörden nicht eindringen dürfen, in dieser Entscheidung zwar berührt, aber bei weitem nicht abschließend geklärt wird. (2) Schutz der Entwicklung der eigenen Persönlichkeit, X. gegen Island Ausführlicher setzte sich die Kommission mit dem Begriff des Privatlebens in der Entscheidung X. gegen Island 66 auseinander. In diesem Fall 63 Siehe zum Kriterium der Öffentlichkeit generell und zu weiteren Verweisen auf die Rechtsprechung, Breitenmoser, Schutz der Privatsphäre gemäß Art. 8 EMRK, S. 38. 64 „An examination by the Commission [. . .] shows that the taking of her photographs was part of and solely related to her voluntary public activities and does not therefore disclose any appearance of a violation of the rights and freedoms set out in the Convention and in particular in the two articles just considered. It follows that, viewed under these two articles, the application is manifestly ill-founded within the meaning of Article 27, paragraph (2).“ EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 338. 65 Zu der Frage, ob diese Entscheidung mit dem Verbot eines détournement de pouvoir in Art. 18 EMRK vereinbar ist, siehe van Dijk/van Hoof, S. 491, die dies mit Verweis auf EKMR Entscheidung vom 4. Mai 1979, X. gegen Österreich, (App. No. 8170/78), Yearbook XXII (1979), S. 322, bezweifeln.

66

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

sah sich ein isländischer Hundebesitzer durch ein isländisches Gesetz, das die Haltung von Hunden bis auf wenige Ausnahmen verbot, in seinem Recht auf Privatleben verletzt. Zunächst stellt die Kommission fest, dass das Recht auf Privatleben besonders im angelsächsischen und französischen Rechtskreis den Schutz der Privatsphäre beinhalte, also das Recht, vor der Öffentlichkeit geschützt zu werden, soweit man möchte. In ihren Augen geht das durch Art. 8 EMRK gewährleistete Recht auf Privatleben jedoch noch darüber hinaus. Bis zu einem bestimmten Grad würden auch Beziehungen zu anderen Personen „insbesondere im Gefühlsbereich zur Entwicklung der eigenen Persönlichkeit“ erfasst.67 Der vorliegende Fall zeigt, dass das Recht auf Privatleben aus Art. 8 EMRK nicht nur den Schutz gegen ungewolltes Eindringen des Staates in einen privaten, häuslichen Bereich meint. Auch der Umgang mit anderen Menschen kann als Aspekt des Rechts auf Privatleben vor einem staatlichen Eingriff geschützt werden, allerdings nur insoweit, als er der Entwicklung der eigenen Persönlichkeit dient. Dem Einzelnen wird nunmehr also nicht nur Schutz vor Öffentlichkeit zugebilligt, sondern auch ein Bereich zur Persönlichkeitsentwicklung gewährt. Gleichwohl umfasst der Schutz nicht das gesamte persönliche Umfeld des Einzelnen. So stellt die Kommission fest: „No doubt the dog has had close ties with man since time immemorial. However, [. . .] given the above considerations this element alone is not sufficient to bring the keeping of a dog into the sphere of private life of the owner. It can further be mentioned that the keeping of dogs is by the very nature of that animal necessarily associated with certain interferences with the life of others and even with the public life.“68

Da das Halten eines Hundes also zwangsläufig mit Beeinträchtigungen des Lebens anderer Personen und sogar des öffentlichen Lebens verbunden ist, zählt es nicht mehr zum Privatleben des Halters. Hierin zeigt sich ein zweiter Anhaltspunkt für eine negative Bestimmung des Rechts auf Privatleben. Während in der Entscheidung X. gegen Vereinigtes Königreich schon ein Bezug zur Öffentlichkeit die Anwendbarkeit des Rechts auf Privatleben gänzlich ausschließen sollte, sieht die Kommission diesem Recht nun zusätzlich durch Interessen Dritter Grenzen gesetzt. 66 EKMR, Entscheidung vom 18. Mai 1976, X ./. Island, Decisions and Reports of the European Commission of Human Rights (DR) 5, S. 86. 67 „[T]he right to respect for ‚private life‘ is the right to privacy, the right to live, as far as one wishes, protected from publicity. [. . .] it comprises also, to a certain degree, the right to establish and to develop relationships with other human beings, especially in the emotional field for the development and fulfilment of one’s own personality.“, EKMR Entscheidung vom 18. Mai 1976, X ./. Island, DR 5, S. 87. 68 EKMR, Entscheidung vom 18. Mai 1976, X ./. Island, DR 5, S. 86.

A. Datenschutz durch Art. 8 EMRK

67

Unter dogmatischen Gesichtspunkten ist diese Vorgehensweise der Kommission jedoch zu kritisieren. An sich sind die Interessen Dritter erst im Rahmen der Rechtfertigung unter Art. 8 Abs. 2 EMRK zu berücksichtigen.69 In der Entscheidung der Kommission tritt gleichwohl nicht eindeutig zutage, ob die Beeinträchtigung Interessen Dritter in einer vorweggenommenen Abwägung unter Art. 8 Abs. 2 EMRK berücksichtigt wird oder bereits zu einem Ausschluss der Anwendbarkeit des Rechts auf Privatleben führt. Geht man davon aus, dass die Interessen Dritter bereits bei der Frage nach dem Anwendungsbereich von Art. 8 Abs. 1 EMRK zu berücksichtigen sind, wäre auch zu erwägen, das Maß der Beeinträchtigung dieser Interessen in eine Bewertung mit einzubeziehen. Dies hätte aber zur Folge, dass die anschließende Rechtfertigungsprüfung zumindest teilweise obsolet wäre. Daher können die Interessen Dritter schon aus systematischen Gründen kein geeignetes Kriterium zur Eingrenzung des Begriffs des Privatlebens darstellen. Selbst wenn man die Vorgehensweise der Kommission für mit der Systematik vereinbar hält, bedeutet sie keinen bemerkenswerten Fortschritt bei der Suche nach einer Begriffsbestimmung. Jeglicher Umgang mit anderen Menschen betrifft deren Interessen und zudem meist die Öffentlichkeit in irgendeiner Form. Würde man derartige Tätigkeiten grundsätzlich aus dem von Art. 8 Abs. 1 EMRK geschützten Bereich der Selbstentfaltung ausnehmen, käme diesem im Rahmen des Rechts auf Achtung des Privatlebens kaum eine nennenswerte Rolle zu. Im Ergebnis kann man festhalten, dass nunmehr auch Beziehungen zu anderen Personen vom Schutzbereich des Rechts auf Privatleben geschützt werden können. Dabei sind die Grenzen dieses Rechts jedoch nicht klar bestimmbar. (3) Grenzen durch Rechte Dritter, Brüggemann und Scheuten gegen Bundesrepublik Deutschland Nur kurze Zeit später nahm die Kommission erneut zum Begriff des Privatlebens Stellung. Dabei bestätigte sich, dass die Persönlichkeit des Einzelnen bei der Bestimmung des Schutzbereichs des Rechts auf Privatleben einen zentralen Punkt darstellt. Im Fall Brüggemann und Scheuten gegen Bundesrepublik Deutschland70 sahen sich die Beschwerdeführer durch die Entscheidung des Bundesverfassungsgerichts zu § 218 StGB in ihrem Recht auf Achtung des Privatlebens 69 Danach darf eine Behörde nur eingreifen, wenn der Eingriff gesetzlich vorgesehen, in einer demokratischen Gesellschaft notwendig ist [. . .] zum Schutz der Rechte und Freiheiten anderer. 70 EKMR, Bericht vom 12. Juli 1977, (App. 6959/75), Brüggemann und Scheuten/ Bundesrepublik Deutschland, DR 10, S. 100 (EuGRZ 1978, 199).

68

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

verletzt. Das BVerfG hatte die Aufhebung des generellen Abtreibungsverbots durch Schaffung der Fristenregelung für nicht mit dem Grundgesetz vereinbar erklärt, woraufhin es zur Einführung der Indikationenregelung kam. In ihren Ausführungen nimmt die Kommission erneut Bezug auf die Persönlichkeit des Einzelnen und konkretisiert dann die Aussage des Hundefalls: „Der Anspruch auf Achtung des Privatlebens umfasst die Sicherung eines Bereiches für den einzelnen, innerhalb dessen er seine Persönlichkeit frei entfalten und erfüllen kann. [. . .] Der persönliche Bereich ist jedoch begrenzt. Während ein großer Teil der Gesetze eines bestimmten Staates eine unmittelbare oder entfernte Auswirkung auf die Möglichkeit des Einzelnen hat, seine Persönlichkeit zu entfalten, in dem er tut, was ihm beliebt, können nicht alle diese Gesetze als Eingriff in das Privatleben i. S. von Art. 8 EMRK angesehen werden. In der Tat wird [. . .] der Anspruch auf Achtung des Privatlebens in dem Maße automatisch gemindert, in dem der einzelne sein Privatleben mit dem öffentlichen Leben in Berührung bringt oder eng mit anderen geschützten Interessen verbindet.“71

Im Ergebnis könne eine Schwangerschaft daher nicht zur Privatsphäre eines Menschen gerechnet werden, da das Privatleben der Frau dann eng mit dem ungeborenen Kind verbunden sei.72 Die Entscheidung beantwortet somit die in Folge des Falls X. gegen Island gestellte Frage nach dem Maß der Begrenzung des Rechts auf Privatleben durch die Öffentlichkeit bzw. Interessen anderer. Statt eines Ausschlusses des Anspruchs wird nunmehr lediglich eine automatische Minderung des Anspruchs diskutiert, und zwar in dem Maße, in dem der einzelne sein Privatleben mit dem öffentlichen Leben in Berührung bringt oder eng mit anderen geschützten Interessen verbindet. Generell scheint also die Anerkennung einer Sphäre zur Entwicklung und Erfüllung der Persönlichkeit nunmehr doch eine großzügigere Auslegung des Rechts auf Privatleben zu ermöglichen und damit dessen Anwendungsbereich zu erweitern. Dabei ist jedoch zu bedenken, dass diese Betrachtungsweise eine irgendwie geartete Klassifizierung des betroffenen Persönlichkeitsbereichs, beziehungsweise eine Beurteilung des Zusammenhangs mit der Öffentlichkeit oder den Interessen anderer und deren Gewichtung voraussetzt. Dies wäre erforderlich, um den Grad der Minderung des Rechts zu ermitteln. Eine solche Wertung ist aber deshalb problematisch, weil sie an sich nicht schon bei der Bestimmung des Anwendungsbereiches, sondern erst im Rahmen der Abwägung unter Art. 8 Abs. 2 EMRK zu erfolgen hat.73 71 EKMR, Bericht vom 12. Juli 1977 (App. 6959/75), Brüggemann und Scheuten/ Bundesrepublik Deutschland, DR 10, S. 100. 72 EKMR, Bericht vom 12. Juli 1977 (App. 6959/75), Brüggemann und Scheuten/ Bundesrepublik Deutschland, DR 10, S. 100. 73 Anders aber etwa Evers, Schutz des „Privatlebens“ durch Art. 8 EMRK und durch das Grundrecht auf Datenschutz, in: Adamovich/Pernthaler (Hg.), Auf dem

A. Datenschutz durch Art. 8 EMRK

69

Bei der Frage der Abtreibung erübrigt sich eine Bewertung der unterschiedlichen, miteinander verbundenen Interessen ohnehin. Sie sind in höchstem Maße miteinander verwoben. Im vorliegenden Fall beschränkt sich die Kommission daher auf die Feststellung, dass die Schwangerschaft keineswegs nur zur Privatsphäre gehört. Schließlich verbinde sich bei jeder Schwangerschaft das Privatleben der Frau eng mit der sich entwickelnden Leibesfrucht. Da dem ungeborenen Kind in den Rechtsordnungen der Konventionsstaaten ausnahmslos gewisse Rechte zugebilligt würden, stelle nicht jede Regelung zum Abbruch unerwünschter Schwangerschaften einen Eingriff in das Recht der Mutter auf Achtung ihres Privatlebens dar. Art. 8 Abs. 1 EMRK könne daher nicht dahin ausgelegt werden, dass die Schwangerschaft und ihr Abbruch grundsätzlich nur das Privatleben der Mutter betreffen.74 Letztlich erklärt die Kommission also den Anwendungsbereich des Privatlebens für nicht eröffnet, weil es die Interessen des Fötus höher gewichtet als die Belange der Mutter. Folglich bedeutet die „automatische Minderung des Rechts auf Achtung des Privatlebens“ der Sache nach die Berücksichtigung immanenter Schranken75, also eine Vorwegnahme der Abwägung, die an sich erst unter Art. 8 Abs. 2 EMRK vorzunehmen gewesen wäre.76 Unter dogmatischen Gesichtspunkten ist weiterhin hervorzuheben, dass ein Eingriff in das Recht auf Achtung des Privatlebens nicht allein aufgrund der Tatsache, dass Interessen anderer betroffen sind, angenommen wird. Weg zur Menschenwürde und Gerechtigkeit, Festschrift für Hans Klecastky, Erster Teilband, S. 189, der aus der Formulierung „Recht auf Achtung des Privatlebens“ folgert, dass als Eingriff in das Recht auf Privatleben nur solche Maßnahmen zu begreifen sind, welche das Recht auf Achtung vor diesem Lebensbereich beeinträchtigen. Daher nimmt er an, dass nur Maßnahmen, die eine bestimmte Schwelle überschreiten, Akte der Nicht-Achtung seien und die Subsumtion einer staatlichen Maßnahme unter Art. 8 EMRK daher eine Wertentscheidung erfordere. 74 EKMR, Bericht vom 12. Juli 1977, (App. 6959/75), Brüggemann und Scheuten/ Bundesrepublik Deutschland, DR 10, S. 100; §§ 59 ff. (EuGRZ 1978 S. 200). 75 So auch Gomien/Harris/Zwaak, Law and practice of the European Convention on Human Rights and the European Social Charter, S. 232. 76 An dieser Stelle ist zu beachten, dass der EGMR in seinem Urteil vom 21. Februar 1975, Golder ./. Vereinigtes Königreich, (App. 4451/70), Serie A 18, § 44, (EuGRZ 1975, S. 100), bereits festgestellt hatte, dass der Katalog der in Abs. 2 aufgezählten Beschränkungen als abschließend zu betrachten sei und daher kein Raum für immanente Schranken verbleibe. Ebenso Frowein, in: Frowein/Peukert, EMRK Kommentar, Art. 8, Rn. 36; Jacobs, European Convention on Human Rights, 2. Auflage, S. 197. Siehe dazu auch die abweichende Meinung des Kommissionspräsidenten Fawcett, nach dessen Auffassung der Kommissionsbericht besagt, dass die Wertungen der Schwangerschaft und ihrer Beendigung als Teil des Privatlebens gewissen immanenten Schranken unterworfen seien, solche über die bekannten Ausnahmen hinausgehenden Schranken müssten jedoch in Art. 8 Abs. 2 gefunden und gerechtfertigt werden, EuGRZ 1978, S. 201.

70

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Die Kommission unterscheidet folglich nicht zwischen der Frage, ob der Anwendungsbereich des Rechts auf Privatleben eröffnet ist, und der Feststellung eines Eingriffs in das Recht.77 Es bleibt daher festzuhalten, dass die Kommission zwar den Begriff des Privatlebens um den Aspekt der Persönlichkeitsentwicklung ergänzt, aber wiederum keine dogmatisch befriedigende Lösung über den Einzelfall hinaus geboten hat. (4) Berufliche Tätigkeiten: Niemietz gegen Bundesrepublik Deutschland Es war schließlich der Gerichtshof, der sich einige Zeit später, im Fall Niemietz78, veranlasst sah, eine allgemeine Aussage zum negativen Aspekt des Rechts auf Privatleben zu treffen. Dabei ging es um die Vereinbarkeit einer Hausdurchsuchung in einer Rechtanwaltskanzlei mit Art. 8 EMRK. Der Gerichtshof erklärt, dass es „zu eng wäre, wenn der Begriff des Privatlebens auf einen inneren Kreis beschränkt werden würde, in dem der Einzelne seine persönliche Lebensführung nach Belieben gestalten und davon die von diesem Kreis nicht erfasste Außenwelt völlig ausschließen kann“. Er weist darauf hin, dass von diesem Verständnis des Privatlebens berufliche oder geschäftliche Tätigkeiten mit umfasst werden könnten, da die „meisten Leute ja gerade in ihrem Berufsleben eine signifikante oder sogar die größte Möglichkeit zur Entwicklung der Beziehungen mit der Außenwelt haben“. Doch kommt er zu dem Schluss, dass eine abschließende Definition des Begriffs des Privatlebens nicht möglich oder notwendig sei.79 Schließlich hebt der Gerichtshof hervor, dass eine Auslegung der Begriffe „Privatleben“ und „Wohnung“ in dem Sinne, dass sie gewisse berufliche oder geschäftliche Tätigkeiten bzw. Lokale mit umfassen, auch dem wesentlichen Sinn und Zweck von Art. 8 EMRK entspricht, nämlich den Einzelnen gegen willkürliche Eingriffe der Behörden zu schützen.80 77 Auf den engen Zusammenhang zwischen diesen beiden Aspekten wurde schon oben unter Teil 1, A.I.2.a)bb)(1) hingewiesen. Hinsichtlich der Frage des Eingriffs wird teilweise gefordert, dass zwischen Intervention und Eingriff zu unterscheiden ist, vgl. Sondervotum Fawcett, EuGRZ 1978, S. 201. Siehe auch die insofern übertragbare Feststellung von Cohen-Jonathan/Jacqué, Activité de la Commission Européenne des Droits de l’Homme (1977–1978), Annuaire français de droit international Bd. 38 (1978), S. 417, zum Fall Marcks ./. Belgien (App. 6833/74) „La Commission établit une subtil gradation entre l’intervention qui est admise, l’ingérence qui n’est admise que lorsqu’elle correspond à l’article 8 § 2 et la méconnaissance qui est injustifiable.“ 78 EGMR, Urteil vom 16. Dezember 1992, Niemietz ./. Deutschland, (App. 13710/ 88), Serie A 251-B, (EuGRZ 1993, S. 65). 79 EGMR, Urteil vom 16. Dezember 1992, Niemietz gegen Deutschland, (App. 13710/88), Serie A, 251-B, § 29.

A. Datenschutz durch Art. 8 EMRK

71

(5) Bewertung Bestandteil des Rechts auf Privatleben ist das Recht auf Privatsphäre (private sphere). Dieses findet sich in der Rechtsprechung der Konventionsorgane zunächst implizit (X. gegen Vereinigtes Königreich), später dann auch ausdrücklich (X. gegen Island) und beinhaltet eine Garantie auf das „Heraushalten“ des Staates aus den privaten Bereichen des Individuums.81 Es stellt sich also als ein negativer Abwehranspruch82 gegen staatliche Übergriffe in die Privatsphäre dar. In X. gegen Island erweitert die Kommission die Privatsphäre um das Element der freien Entfaltung der Persönlichkeit. Dieser Bereich umfasst also nunmehr auch den Kontakt zu Mitmenschen, sofern er zur Persönlichkeitsentfaltung dient.83 Die Frage, wie die Grenzen eines solchen privaten Bereichs zu bestimmen sind, wird allerdings vorerst offen gelassen. Der Fall Brüggemann und Scheuten zeigt, dass die Privatsphäre nicht mehr lediglich von der Öffentlichkeit abgegrenzt, sondern auch positiv als ein Bereich zur freien Entfaltung der Persönlichkeit definiert wird und bestätigt so den Sozialbezug des Rechts auf Privatleben. Dessen Schutzumfang mindert sich allerdings in dem Maße, in dem ein Bezug zur Öffentlichkeit oder zu Interessen Dritter besteht. Ungeachtet der sich daraus ergebenden dogmatischen Schwierigkeiten und Fragen wirft diese Vorgehensweise der Kommission auch praktische Probleme auf. Unklar bleibt etwa, welcher Maßstab bei der Abgrenzung anzulegen ist. Beispielsweise weist Wildhaber darauf hin, dass die Aufnahme und Pflege sozialer Kontakte notwendiger Weise auch in jedermann zugänglichen Bereichen der Öffentlichkeit – etwa im Restaurant oder Theater – stattfinden kann, so dass man nicht ohne weiteres annehmen könne, der Einzelne habe seine Privatsphäre verlassen und sei in die Öffentlichkeit getreten. Der Auffassung Wildhabers nach ist die Annahme, dass sich in diesen von ihm als Teilöffentlichkeit bezeichneten Bereichen das Privatleben automatisch vermindert, zu schematisch, als dass man ihr folgen sollte.84 Die Entscheidung Brüggemann und Scheuten wurde daher oftmals als sehr unklar bezeichnet,85 und es lassen sich aus ihr nur schwerlich verallgemei80 EGMR Urteil vom 16. Dezember 1992, Niemietz gegen Deutschland, (App. 13710/88), Serie A, 251-B, § 31. 81 So Schmitt/Glaeser, in: Isensee/Kirchhoff, Handbuch des Staatsrechts Bd. VI Freiheitsrechte, § 129 Rn. 2 zum Privatsphärenschutz. 82 Siehe auch Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 103. 83 Vgl. Renucci, Droit européen des droits de l’homme, S. 155. 84 Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 115, 118. 85 Siehe sowohl die Bemerkungen von Kommissionspräsident Fawcett in seinem Sondervotum „dass die Kommission, [. . .] wem sie – falls ich ihren Gedankengang richtig verstehe –“, EuGRZ 1978, S. 201; als auch Connelly, ICLQ 1986, S. 579.

72

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

nerungsfähige Prinzipien ableiten. Viele der aufgeworfenen Fragen wurden im Zusammenhang mit nachfolgenden Entscheidungen erneut diskutiert, und man hat immer wieder Versuche unternommen, aus dogmatischer Sicht zufrieden stellende Begründungen nachzuliefern.86 Unter dem Gesichtspunkt der Anwendbarkeit des Rechts auf Achtung des Privatlebens ist jedoch ein Großteil der Diskussion seit dem Urteil Niemietz überholt. In diesem Urteil, auf das der EGMR seitdem in ständiger Rechtsprechung Bezug nimmt, entscheidet sich der Gerichtshof für einen offenen Anwendungsbereich des Rechts auf Privatleben und legt sich daher bewusst nicht auf eine abschließende Definition des Privatlebens fest. Vielmehr hebt er hervor, dass eben auch das „Herstellen und Entfalten von Beziehungen zu anderen Menschen“87 durchaus vom Recht auf Achtung des Privatlebens umfasst wird.88 Folglich gewähre Art. 8 Abs. 1 EMRK ein Recht auf freie Entfaltung der Persönlichkeit.89 Zwar ist dieses Prinzip der freien Entfaltung der Persönlichkeit als Schutzrichtung unter Art. 8 EMRK nicht neu – so findet es sich etwa auch schon in Brüggemann und Scheuten. Doch während dort die Betonung aber noch auf „Bereich für den Einzelnen“ liegt, ihm also eine Sphäre zugebilligt wird, in die er sich zurückziehen kann, wird zur freien Entfaltung der Persönlichkeit nunmehr auch die Interaktion mit anderen Menschen gezählt.90 Gleichzeitig stellt sich das Urteil Niemietz als ein Wendepunkt in der Rechtsprechung zu Art. 8 EMRK dar. Es beendete die lange Diskussion über eine abschließende Definition des Privatlebens und ebnete dadurch den Weg für ein modernes, sich aktuellen Entwicklungen anpassendes Verständnis vom Anwendungsbereich des Art. 8 EMRK. Inzwischen hat man akzeptiert, dass sich das Recht auf Privatleben ständig weiterentwickeln kann.91 Dies bedeutet allerdings nicht, dass sich dessen Schutzbereich ausschließlich durch die Kenntnis der umfangreichen Rechtsprechung erschließt. Weiterhin lassen sich dem Recht auf Privatleben zugrunde liegende 86

Ausführlich dazu Connelly, ICLQ 1986, S. 579. EGMR, Urteil vom 16. Dezember 1992, Niemietz gegen Deutschland, (App. 13710/88), Serie A, 251-B, § 29 (EuGRZ 1993, S. 66). 88 EGMR, Urteil vom 16. Dezember 1992, Niemietz gegen Deutschland, (App. 13710/88), Serie A, 251-B, § 29. 89 Vgl. de Schutter, RTDH 1999, S. 830. 90 Daher bezeichnet Sudre diesen Aspekt des Rechts auch als „vie privée sociale“, siehe Sudre, in: Sudre u. a. (Hg.), Les grands arrêts de la Cour européenne des Droits de L’Homme, S. 357; vgl. auch Renucci, Droit Européen des Droits de l’Homme, S. 155. 91 de Schutter, RTDH 1999, S. 828. Hier zeigt sich eine Parallele zum Schutz der Privatsphäre im deutschen Verfassungsrecht, siehe dazu Hillgruber, in: Umbach/ Clemens, Grundgesetz, Mitarbeiterkommentar, Band 1, Art. 2 I, Rn. 46. 87

A. Datenschutz durch Art. 8 EMRK

73

allgemeine Prinzipien erkennen, deren Existenz im Umgang mit diesem Recht auch unerlässlich ist. Die Rechtsprechung der Straßburger Organe zeigt, jedenfalls der Sache nach, deutliche Parallelen zur Entwicklung des Rechts auf Privatsphäre durch das Bundesverfassungsgericht im deutschen Recht. Ebenso wie das Recht auf Intimsphäre im deutschen Recht schützt das Recht auf Privatleben aus Art. 8 EMRK räumlich ein Recht, in Ruhe gelassen zu werden92 und ein Recht zur freien, selbstverantwortlichen Entwicklung der Persönlichkeit.93 Kein Schutz wird hingegen in der Öffentlichkeit gewährleistet. Neben diesen beiden Extremen wird, entsprechend der Privatsphäre im deutschen Recht,94 auch ein Bereich mit Sozialbezug vom Schutz von Art. 8 Abs. 1 EMRK erfasst. Dennoch beziehen sich diese Ähnlichkeiten nur auf die grobe Entwicklung, nicht jedoch auf die Ausgestaltung des Rechts im Einzelnen. So vollziehen die Konventionsorgane keine Unterscheidung zwischen unantastbarer Intimsphäre und der Privatsphäre. Anders als das allgemeine Persönlichkeitsrecht gewährt das Recht auf Privatleben daher keinen absoluten Schutz vor Eingriffen von außen.95 Dieser Unterschied lässt sich aber vor allem auf die dogmatische Konstruktion des allgemeinen Persönlichkeitsrechts im deutschen Recht zurückführen.96 Bemerkenswert ist hingegen der Gegensatz, der sich bei der Frage der Beurteilung des Maßes der Beeinträchtigung auf der einen Seite und dem öffentlichen Interesse bzw. den Interessen Dritter auf der anderen Seite zeigt. Während diese Punkte im deutschen Recht lediglich bei der Frage der Rechtfertigung zu berücksichtigen sind,97 kann dies unter der EMRK, wie die Entscheidung Brüggemann/Scheuten zeigt, auch durchaus zum Ausschluss des Anwendungsbereichs von Art. 8 EMRK führen. 92

Siehe zu dieser Wortwahl BVerfGE 34, 269 (281), (Soraya); BVerfGE 35, 202 (220), (Lebach). 93 BVerfGE 27, 1 (6), (Mikrozensus); 33, 367 (377), (Zeugnisverweigerung). 94 Die Privatsphäre unterscheidet sich von der Intimsphäre durch den Sozialbezug, der bereits dann hergestellt ist, wenn der Mensch in Kommunikation mit anderen tritt. BVerfGE 6, 433; und zur Privatsphäre allgemein BVerfGE 32, 381; 35, 35 (39), (Briefkontrolle); 35, 220; 38 312 (320), (Zeugnisverweigerung). 95 Im deutschen Recht gilt die Intimsphäre als „Kernbereich privater Lebensgestaltung“ als unantastbar, siehe BVerfGE 6, 32, (41); 6, 389 (433); 27, 344 (351); 32, 373 (379); 34, 238 (245); 35, 35 (39); 38; 312 (320), (Zeugnisverweigerung); 54, 143 (146); 65, 1 (46); 80, 367 (373); 89, 69 (83). 96 Siehe dazu Di Fabio, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 2 Abs. 1, Rn. 158. Das Allgemeine Persönlichkeitsrecht findet seine Wurzeln neben Art. 2 Abs. 1 auch in Art. 1 Abs. 1 GG. Bei einem Eingriff in die Intimsphäre trifft die Beeinträchtigung den über Art. 1 Abs. 1 mitdefinierten Grundrechtskern des Art. 2 Abs. 1 GG und kann in einen selbständigen Eingriff in Art. 1 Abs. 1 GG übergehen. 97 Siehe dazu etwa Di Fabio, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 2 Abs. 1, Rn. 159 ff.

74

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Zusammenfassend lässt sich festhalten, dass das Recht auf Privatleben einen Bereich der Privatsphäre umfasst, der Schutz vor der Öffentlichkeit bietet und zur Entwicklung der eigenen Persönlichkeit dient. Begrenzt wird dieses Recht durch einen Bezug zur Öffentlichkeit und Interessen Dritter. Solange also insbesondere persönliche Belange des Einzelnen betroffen sind, ist das Recht auf Privatleben in jedem Fall anwendbar. Sobald aber Dritte in die Vorgänge involviert sind, kann man nicht mehr mit Sicherheit davon ausgehen, dass der Anwendungsbereich eröffnet ist. Angesichts der Tatsache, dass durchaus auch berufliche oder geschäftliche Tätigkeiten zum Privatleben gezählt werden können, ist die Grenze jedoch nicht sehr eng zu ziehen. cc) Das Recht auf Privatleben im Umbruch? Neuere Entwicklungen Der offene Anwendungsbereich des Rechts auf Privatleben bewirkt, dass sich dessen Schutzbereich nur schwerlich abstrakt, sondern meist anhand von Einzelfällen bestimmen lässt. Im Laufe der Zeit haben die Konventionsorgane in einer Fülle von Entscheidungen zu den inhaltlichen Ausprägungen dieses Rechts Stellung genommen. (1) Beispiele für in der Rechtsprechung anerkannte Aspekte des Privatlebens Neben den für den Datenschutz interessanten Aspekten des Schutzes vor Öffentlichkeit und der Entwicklung der Persönlichkeit, hat die Rechtsprechung weitere Elemente des Privatlebens herausgearbeitet. Von Art. 8 Abs. 1 EMRK wird etwa die physische und psychische Integrität98, das Recht auf psychische, soziale99 sowie sexuelle Identität100 erfasst. Weitere Beispiele101 sind die Ehre und der gute Ruf102, das Recht auf einen Na98 EGMR, Urteil vom 26. März 1985, X. und Y. ./. die Niederlande, (App. 8978/ 80), Serie A 91, § 22. 99 EGMR, Urteil vom 7. Februar 2002, Miculic ´ ./. Kroatien, (App. 53176/99). 100 Dazu gehört die Homosexualität EGMR, Urteil vom 22. Oktober 1981, Dudgeon ./. Vereinigtes Königreich, Serie A 45, § 60; EGMR, Urteil vom 26. Oktober 1988, Norris ./. Irland, Serie A 142, § 46; sowie Probleme der Transsexualität, siehe EGMR, Urteil vom 17. Oktober 1986, Rees ./. Vereinigtes Königreich, Serie A, 106; § 35, EGMR, Urteil vom 27. September 1990, Cossey ./. Vereinigtes Königreich, Serie A 184, § 36; EGMR, Urteil vom 22. April 1997, X., Y. und Z ./. Vereinigtes Königreich, Slg. 1997-II, 632, § 42; EGMR, Urteil vom 11. Juli 2002, Christine Goodwin ./. Vereinigtes Königreich, (App. 28957/95), Urteil vom 11. Juli 2002, I. ./. Vereinigtes Königreich, (App. 25680/94). 101 Für eine umfassende Darstellung siehe Wildhaber/Breitenmoser, in: Intkomm, Art. 8, Rn. 95 ff.

A. Datenschutz durch Art. 8 EMRK

75

men,103 aber auch Gesichtspunkte aus dem Bereich des Umweltschutzes104 und gewissen Minderheitenrechten105. Auch der Datenschutz wird zunehmend als Teilelement des Privatlebens genannt.106 (2) Versuche der Kategorisierung Ungeachtet der Abhängigkeit der Weite des Rechts auf Privatleben von der Rechtsprechung im Einzelfall hat man sich immer wieder bemüht, den Gewährleistungsgehalt zu kategorisieren. Dabei zeichnet sich trotz der an sich sehr unterschiedlichen Ansätze107 die Tendenz ab, eine Differenzierung nach wenigen, allgemein gehaltenen Schutzrichtungen vorzunehmen. So kann man zumindest im Zusammenhang mit dem Datenschutz, wenn nicht sogar generell,108 zwei Bereiche ausmachen. Vom Privatleben erfasst ist das negative Element der Privatsphäre, das von der Öffentlichkeit abzugrenzen ist und vor Beeinträchtigungen durch diese schützen soll. Daneben enthält das Recht auf Achtung des Privatlebens auch einen Aspekt der Selbstbestimmung, der nicht auf die Abwehr der Öffentlichkeit sondern positiv auf die Interaktion mit den Mitmenschen und der Umwelt gerichtet ist.109 Dieser Aspekt manifestiert sich in dem im Privatleben enthaltenen Bereich zur freien Entfaltung der Persönlichkeit. Bisher war man sich jedoch einig, dass der Aspekt der Selbstbestimmung nicht mit dem aus Art. 2 Abs. 1 GG fließenden Selbstbestimmungsrecht vergleichbar war. Dies sah 102

Vgl. Wildhaber/Breitenmoser, in: Intkomm, Art. 8, Rn. 127. EGMR, Urteil vom 22. Februar 1994, Burghartz ./. Schweiz, (App. 16213/90), Serie A, 280-B. 104 EGMR, Urteil vom 8. Juli 2003, Hatton u. a. ./. Vereingtes Königreich, (App. 36022/97), siehe auch Grabenwarter, EMRK, § 22, Rn. 13 m. w. N. 105 EGMR, Urteil vom 18. Januar 2001, Chapman ./. Vereinigtes Königreich, (App. 27238/95), Reports 2001-I. 106 Vgl. Meyer-Ladewig, Hk-EMRK, Art. 8, Rn. 11. 107 Siehe etwa die umfangreichen Ausführungen bei Wildhaber/Breitenmoser, IntKomm, Art. 8, Rn. 95 ff., der eine Einteilung sowohl nach allgemeinen Kriterien als auch nach einzelnen Abgrenzungskriterien aus der Rechtsprechung der Konventionsorgane vornimmt. Ähnlich auch Meyer-Ladewig, Hk-EMRK, Art. 8 Rn. 3 ff., der nach einer allgemeinen Abgrenzung Einzelfälle aufzählt. Anders jedoch Grabenwarter, EMRK, § 22, Rn. 5 ff., der das Recht auf Privatleben lediglich in die drei Aspekte des Selbstbestimmungsrecht über den Körper, den Schutz der Privatsphäre und die freie Gestaltung der Lebensführung untergliedert und die Einzelfälle darunter subsumiert. Weniger um einen allgemeinen Ansatz bemüht ist man in der englischsprachigen Literatur, siehe dazu Jacobs/White, European Convention on Human Rights, S. 220 ff. 108 So Peters, Europäische Menschenrechtskonvention, S. 156. 109 In diesem Sinne auch Villiger, Handbuch der Europäischen Menschenrechtskonvention, Rn. 543. 103

76

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

man darin begründet, dass sich Art. 8 EMRK im Gegensatz zu der Vorschrift des Grundgesetzes110 nicht auf die allgemeine Handlungsfreiheit, sondern lediglich auf die wesentlichen Ausdrucksmöglichkeiten der menschlichen Persönlichkeit bezieht.111 Eine Handlungsfreiheit gilt also nur innerhalb der durch die Rechte aus Art. 8 Abs. 1 EMRK gezogenen Grenzen. Auch in der Rechtsprechung der Konventionsorgane findet sich kein Ansatz für ein Selbstbestimmungsrecht. Seit dem Urteil des Gerichtshofs in der Sache Pretty gegen Vereinigtes Königreich beurteilt sich dieser Sachverhalt jedoch anders. (3) Recht auf Selbstbestimmung aus Art. 8 EMRK? Pretty gegen Vereinigtes Königreich Das Urteil Pretty gegen Vereinigtes Königreich112 stellt eine wegweisende Entscheidung in Bezug auf das Recht auf Privatleben dar. In ihr hält der EGMR ausdrücklich fest, dass das Prinzip der persönlichen Autonomie (personal autonomy) bei der Interpretation von Art. 8 EMRK generell zu beachten ist. Dem Urteil lag die Beschwerde einer Britin vor dem EGMR zugrunde, die an einer unheilbaren Erkrankung des zentralen Nervensystems litt. Da sie selbst nicht in der Lage war, ihrem Leben ein Ende zu setzen, erklärte sich ihr Mann bereit, aktive Sterbehilfe zu leisten. Im Gegensatz zum Selbstmord ist aktive Sterbehilfe nach britischem Recht (Suicide Act von 1961) jedoch strafbar. Frau Pretty wandte sich daher an die britischen Behörden und beantragte, ihrem Mann Straffreiheit zuzusichern. Nachdem der Director of Public Prosecutions, und nachfolgend auch die Gerichte, ihren Antrag abgelehnt hatten, wandte sich Frau Pretty an den Gerichtshof und machte geltend, durch den Suicide Act unter anderem in ihrem Recht auf Privatleben verletzt zu sein. Ihre Beschwerde begründete 110 Dazu Hufen, Schutz der Persönlichkeit und Recht auf informationelle Selbstbestimmung, in: Badura/Dreier (Hg.), Festschrift 50 Jahre Bundesverfassungsgericht, S. 121. 111 So Breitenmoser, Der Schutz der Privatsphäre, S. 40 unter Verweis auf das Urteil EGMR, Urteil vom 22. Oktober 1981, Dudgeon ./. Vereinigtes Königreich, Serie A, 45, § 52, aber auch Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 7 Rn. 14; Schmitz, JZ 2001, S. 837; Magiera, DÖV 2000, S. 1025; Bogdandy, JZ 2001, S. 168; Villiger, Handbuch EMRK, Rn. 562; Grabenwarter, § 22 Rn. 11; Nieuwenhuis, Tussen privacy en persoonlijkheidsrecht, S. 138; Umfassend auch de Schutter, Rev. Trim. dr. h. 1999, S. 827 ff.; Evers, Schutz des „Privatlebens“ durch Art. 8 MRK und durch das Grundrecht auf Datenschutz, in: Adamovich/Ludwig/Perntahler (Hg.), Auf dem Weg zur Menschenwürde und Gerechtigkeit, Festschrift für Hans R. Klecatsky, Bd. 1, S. 186. 112 EGMR, Urteil vom 29. April 2002, Pretty ./. Vereinigtes Königreich, (App. 2346/02), Reports 2002-III.

A. Datenschutz durch Art. 8 EMRK

77

sie damit, dass Art. 8 EMRK ein Recht auf Selbstbestimmung gewährleiste, das seinerseits das Recht eines Menschen beinhalte, über den Zeitpunkt und die Art des Sterbens frei zu entscheiden. In seinem Urteil verweist der Gerichtshof zunächst auf seine vorangegangene Rechtsprechung, in der er festgestellt hatte, dass das Recht auf Privatleben auch die physische und psychologische Integrität erfasst. Darüber hinaus schütze Art. 8 EMRK auch das Recht auf Entwicklung der eigenen Persönlichkeit sowie das Recht, Beziehungen zu den Mitmenschen und der Umwelt zu entwickeln und zu etablieren. Anschließend hält er fest: „Though no previous case has established as such a right to self-determination as being contained in Article 8 of the Convention, the Court considers that the notion of personal autonomy is an important principle underlying the interpretation of its guarantees.“113

Damit hat der Gerichtshof den Aspekt der Selbstbestimmung im Rahmen von Art. 8 EMRK ausdrücklich anerkannt, und er hat in weiteren Entscheidungen auch immer wieder darauf Bezug genommen.114 (4) Bewertung Auch wenn, wie gezeigt, dem Recht auf Achtung des Privatlebens bereits seit der Anerkennung des Raums zur freien Entfaltung der Persönlichkeit ein Element der Selbstbestimmung zugeschrieben wird, erhält dieses durch das Urteil Pretty ./. Vereinigtes Königreich eine neue Qualität. Zwar nimmt der Gerichtshof keine ausdrückliche Änderung seiner Rechtsprechung vor, da er Art. 8 Abs. 1 EMRK weiterhin nicht als Ursprung für ein ungeschriebenes allgemeines Recht auf Selbstbestimmung betrachtet115 – in der Sache kommt das Urteil einem solchen jedoch recht nahe. Das Prinzip der Persönlichen Autonomie (personal autonomy) ist bei der Auslegung aller durch Art. 8 EMRK garantierten Rechte zu berücksichtigen. Ebenso wie bei der Gewährung einer allgemeinen Handlungsfreiheit durch Art. 8 Abs. 1 EMRK116 stellt sich die Frage der Selbstbestimmung damit nur, wenn der 113

EGMR, Urteil vom 29. April 2002, Pretty ./. Vereinigtes Königreich, (App. 2346/02), Reports 2002-III, § 61. 114 Siehe etwa EGMR, Urteil vom 12. Juni 2003, van Kück ./. Deutschland, (App. 35968/97); EGRM, Urteil vom 13. Februar 2003, Odièvre ./. Frankreich, (App. 42326/98); EGMR, Urteil vom 11. Juli 2002, Christine Goodwin ./. Vereinigtes Königreich, (App. 28957/95), Reports 2002-IV; EGMR, Urteil vom 11. Juli 2002, I ./. Vereinigtes Königreich, (App. 25680/94); EGMR, Urteil vom 7. Februar 2002, Mikulic´ ./. Kroatien, (App. 53176/99), Reports 2002-I, § 53. 115 So aber wohl Uerpmann, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 3 I 1, Rn. 3. 116 Siehe dazu oben Teil 2, A.I.2.a)cc)(2).

78

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Anwendungsbereich bereits eröffnet ist, die Beeinträchtigung also zunächst unter eines der in Art. 8 Abs. 1 EMRK aufgezählten Rechte subsumiert werden kann. Dadurch erübrigt sich zwar nicht die Feststellung im Einzelfall, ob das jeweilige Verhalten unter Art. 8 Abs. 1 EMRK fällt,117 aber allein die Formulierung, dass die persönliche Autonomie ein „wichtiges Prinzip ist, das allen in Absatz 1 aufgezählten Rechten zugrunde liegt“, macht die besondere Bedeutung des Prinzips deutlich. Es besitzt eine Ausstrahlungswirkung auf sämtliche Einzelrechte. Auch wenn die Einführung eines allgemeinen Rechtes auf Selbstbestimmung als Aspekt des Rechts auf Privatleben sicherlich eine noch tiefgreifendere Veränderung in der Rechtsprechung zu Art. 8 EMRK bewirkt hätte, wäre ein solcher Schritt nur schwer mit der Systematik von Art. 8 Abs. 1 EMRK zu vereinbaren gewesen. Einem noch weiter gefassten Prinzip der persönlichen Autonomie wäre eine Auffangfunktion zugekommen, die sowohl dem Anwendungsbereich des Rechts auf Achtung des Familienlebens, als auch dem der Wohnung und der Korrespondenz die Grundlage entzogen hätte. Der Gerichtshof hat dieses Problem umgangen, indem er die persönliche Autonomie gleichsam vor die Klammer gezogen hat und es so Geltung für alle vier Rechte beanspruchen kann. Folglich kann man feststellen, dass der Gedanke der Selbstbestimmung seit diesem Urteil unter Art. 8 EMRK großes Gewicht erlangt hat. Damit zeigt sich auch an dieser Stelle – ungeachtet der sehr unterschiedlichen dogmatischen Wurzeln – wieder eine Parallele zum allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, das in allen Ausprägungen und Konkretisierungen118 dem Schutz des durch Art. 2 Abs. 1 GG verbürgten Selbstbestimmungsrecht dient.119 In der Folge wäre zu diskutieren, ob der Datenschutz durch die EMRK sich zu einem Recht auf informationelle Selbstbestimmung entwickelt.120 Zunächst ist aber festzustellen, ob und inwieweit der Datenschutz tatsächlich als spezifisch ausgestalteter Teilbereich des Rechts auf Privatleben betrachtet werden kann.

117

Vgl. Heymann, JuS 2002, S. 958. Vgl. Umbach/Clemens, Grundgesetz, Mitarbeiterkommentar, Art. 2 Abs. 1, Rn. 47. 119 Die Nähe zu Art. 2 Abs. 1 GG sieht auch Uerpmann, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 3 I 1, Rn. 3. 120 Dazu später unter Teil 2, A.I.2.b)ee). 118

A. Datenschutz durch Art. 8 EMRK

79

dd) Ergebnis Es lässt sich festhalten, dass die Straßburger Organe zum Begriff des Privatlebens nur sehr zögerlich Stellung genommen haben. Statt eine umfassende Definition zu entwickeln, die auch den Aspekt des Datenschutzes mit umfasst, wurde der Anwendungsbereich des Rechts auf Privatleben nur beiläufig durch das Caselaw ausgedehnt. Auch hat die Bedeutung der Rechtsprechung bei der Auslegung von Art. 8 EMRK seit der Niemietz-Entscheidung eher noch zugenommen, da der Gerichtshof gleichsam einen Anspruch auf Fortentwicklung des Rechts auf Achtung des Privatlebens anmeldete. Dennoch lassen sich zwei grundsätzliche Schutzrichtungen erkennen. Diese sind zum einen der Schutz der Privatsphäre und zum anderen das Element der Selbstbestimmung. Die einzelnen Teilbereiche des Rechts auf Privatleben lassen sich jedoch lediglich der Rechtsprechung entnehmen. Daher kann nur eine genaue Analyse der Praxis der Konventionsorgane zeigen, ob persönliche Daten grundsätzlich in den Anwendungsbereich des Art. 8 EMRK fallen. b) Anwendungsbereich des Rechts auf Privatleben im Zusammenhang mit Datenerhebung und Datenspeicherung Wie aufgezeigt, stützen die Straßburger Organe ihre Rechtsprechung zu Art. 8 EMRK nicht auf das abstrakte Konzept des Rechts auf Privatleben, das ein Recht auf Schutz personenbezogener Daten mit umfasst. Im Folgenden soll daher die Rechtsprechung der Straßburger Organe zu Fällen mit datenschutzrechtlichem Bezug untersucht werden. Da sich diese Fälle lediglich als ein Teilaspekt des Rechts auf Privatleben darstellen, sind sie stets vor dem Hintergrund des zum Zeitpunkt der Entscheidung vorherrschenden Verständnisses dieses Rechts zu betrachten. aa) Das traditionelle Verständnis der Rechtsprechung Das traditionelle Verständnis der Rechtsprechung beruht auf dem von der Kommission in den Fällen Fall X. gegen Island und Brüggemann gegen Scheuten entwickelten Konzept des Privatlebens. In der frühen Rechtsprechung der Straßburger Organe lassen sich jedoch zunächst nur vereinzelt Hinweise auf den Umgang mit dem zunehmend an Bedeutung gewinnenden Thema des Datenschutzes finden.121 Die Menschenrechtskommission ging 121 Siehe etwa EKMR, Entscheidung vom 4. Oktober 1962, X ./. Bundesrepublik Deutschland, Yearbook 1962, S. 230. Der Beschwerdeführer war wegen des Verdachts, eine homosexuelle Beziehung unterhalten zu haben, von der Gestapo erst-

80

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

in mehreren Entscheidungen nicht auf datenschutzrechtliche Aspekte des jeweiligen Falles ein,122 und auch der Gerichtshof nahm zum Datenschutz nur zögerlich Stellung. Relevant wurde die Erhebung und Speicherung von Daten in einem Verfahren vor dem Gerichtshof erstmals im Zusammenhang mit Maßnahmen zum Schutze der nationalen Sicherheit und der Verhütung von Straftaten. (1) X. gegen das Vereinigte Königreich Von datenschutzrechtlicher Relevanz ist bereits der eingangs dargestellte Fall X. gegen das Vereinigte Königreich123, in dem die Kommission einen Eingriff in das Recht auf Privatleben durch die Aufbewahrung der Fotografien in den Polizeiakten wegen des Bezugs zur Öffentlichkeit verneinte. Obwohl Frau X. gegenüber der Polizei einen falschen Namen angegeben hatte, ließen sich aufgrund des Fotos die in der Akte enthaltenen Informationen durchaus ihrer Person zuordnen und stellen daher personenbezogene Daten im datenschutzrechtlichen Sinne dar.124 Zwar handelte es sich bei diesen Informationen nicht um automatisierte Daten, so dass sie daher auch nach heute geltenden Datenschutzstandards nur eingeschränkt als schützenswert betrachtet werden würden.125 Zumindest vor dem Hintergrund des Zweckbestimmungsprinzips126 ist die Verwahrung der Informationen über mehrere malig 1939 festgenommen und anschließend verurteilt worden. Nachdem das Urteil bereits 1940 aufgehoben worden war, verlangte er die Vernichtung ihn betreffender Polizeiakten einschließlich der darin enthaltenen Fotos und Fingerabdrücke, die bei seiner Festnahme angelegt worden waren. Die Kommission stellt fest, dass, selbst wenn man davon ausginge, dass unter gewissen Umständen Art. 8 Abs. 1 EMRK auf einen solchen Fall Anwendung finde, die Maßnahmen aber jedenfalls zur Verhütung von Straftaten erforderlich und daher nach Abs. 2 gerechtfertigt seien, a. a. O. S. 234. 122 So wurde in den Fällen (App. 2290/64) vom 6. Februar 1967, DR 22, S. 28 und (App. 9663/82), vom 5. Dezember 1982, EuGRZ 1983, 425, die eine Erklärung von Landwirten hinsichtlich aller für ihren Betrieb relevanten Daten bzw. die Angabe von Krankendaten betrafen, die Frage offen gelassen, ob diese von Art. 8 Abs. 1 EMRK geschützt werden. Auch im Fall EKMR, Entscheidung vom 13. Juli 1970, X. ./. Schweden, (App. 3788/68), ging die Kommission nicht auf die Frage des Datenschutzes ein. Bei der Auseinandersetzung mit der Frage, ob die Weitergabe eines Briefes mit persönlichen Informationen des Beschwerdeführers an eine andere Behörde mit Art. 8 EMRK vereinbar war, prüfte die Kommission lediglich auf das Recht auf Achtung der Korrespondenz. Nach ihrer Auffassung wird ein solches Verhalten von diesem Recht aber nicht erfasst. 123 EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 328. 124 So zählen Tinnefeld/Ehmann, Einführung in das Datenschutzrecht, S. 83 – allerdings nur für das BDSG – neben den Angaben über den Namen, Alter, Familienstand auch Passbilder zu den personenbezogenen Daten.

A. Datenschutz durch Art. 8 EMRK

81

Jahre allerdings kritisch zu betrachten. Insofern wäre es aus heutiger Sicht wünschenswert gewesen, dass Erwägungen über den Zweck der Aufbewahrung und den für die Erfüllung dieses Zwecks erforderlichen Zeitraum, angestellt worden wären. Das zum Zeitpunkt der Kommissionsentscheidung herrschende Verständnis hinsichtlich des Datenschutzes ließ solche Überlegungen jedoch nicht zu. Eine Lösung des Falles war lediglich unter Verweis auf das Recht auf Privatleben möglich. Wie der Bezug zum Privatleben jedoch hergestellt wird, lässt sich nur schwer erkennen. Dies liegt darin begründet, dass in der Rechtsprechung zunächst die negative Komponente dieses Rechts, der Schutz der Privatsphäre, entwickelt worden war. Da diese Privatsphäre ihrerseits aber nicht genau definiert war, konnte es die Kommission nicht vermeiden, alle möglichen Eingriffshandlungen auf eine Beeinträchtigung der Privatsphäre hin zu untersuchen. In der Verwahrung der Fotos konnte aber selbst unter Berücksichtigung der Umstände unter denen die Bilder entstanden waren, bzw. deren Inhalt oder Zweck, dem sie zu dienen bestimmt waren, keine Beeinträchtigung gesehen werden, so dass ein Eingriff in Art. 8 Abs. 1 EMRK abgelehnt wurde. (2) Klass gegen die Bundesrepublik Deutschland Das erste, den Datenschutz im weitesten Sinne betreffende Urteil des Gerichtshofs erging im Fall Klass, in dessen Zentrum die Überwachung von Telefonen und des Briefverkehrs stand.127 Nach dem deutschen G 10-Gesetz128 ist unter bestimmten Voraussetzungen die Überwachung des Briefverkehrs und der Telefonate verdächtiger Personen zulässig. Die Betroffenen werden über die Maßnahmen nicht nachträglich verständigt, können sich daher nicht beschweren und damit die Rechtmäßigkeit der Über125

Gemäß Art. 3 Abs. 1 Datenschutzkonvention findet das Übereinkommen nur Anwendung auf automatisierte Dateien bzw. Datensammlungen (data files) und automatische Verarbeitung von personenbezogenen Daten. Dabei ist eine automatisierte Datei gemäß Art. 2 lit. b Datenschutzkonvention „jede zur automatischen Verarbeitung erfasste Gesamtheit von Informationen“ und gemäß Art. 2 lit. c die automatische Verarbeitung das Speichern von Daten, die Durchführung logischer und/ oder rechnerischer Operationen mit diesen Daten, das bedeutet das Verändern, Löschen, Wiedergewinnen oder Bekanntgeben von Daten. Hingegen findet die Datenschutzrichtlinie 95/46/EG auch Anwendung auf die nichtautomatisierte Verarbeitung personenbezogener Daten, soweit diese in einer Datei gespeichert sind oder gespeichert werden sollen (Art. 3 Abs. 1). 126 Dazu unter Teil 1, B.III.2. 127 EGMR, Urteil vom 6. September 1978, Klass ./. Bundesrepublik Deutschland, (App. 5029/71), Serie A 28, (EuGRZ 1978, S. 278). 128 Vom 13.8.1968, BGBl. I, 949.

82

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

wachung kontrollieren lassen. Daher fühlten sich die Beschwerdeführer durch dieses Gesetz unter anderem in ihrem Recht auf Privatleben aus Art. 8 EMRK verletzt. In seinem Urteil stellt der EGMR zunächst fest, dass Telefongespräche, obwohl in Art. 8 EMRK nicht ausdrücklich erwähnt, von den Begriffen „Privatleben“ und „Briefverkehr“ mit umfasst sind und dass daher ein Eingriff in Art. 8 EMRK vorliegt.129 Dabei sei es unerheblich, ob die Überwachungsmaßnahme gegen die betreffende Person tatsächlich angewendet wurde. Schon das bloße Vorhandensein der Rechtsvorschrift als solche bringe für alle Personen, auf die sie Anwendung finden können, die Gefahr einer Überwachung mit sich, welche der Kommunikationsfreiheit zwischen Benutzern der Post- und Fernmeldeeinrichtungen notwendigerweise zuwider laufe und somit einen Eingriff einer öffentlichen Behörde in die Ausübung des Rechts der Beschwerdeführer auf Schutz ihres Privat- und Familienlebens sowie ihres Briefverkehrs darstelle.130 Streng genommen handelt es sich bei dem Urteil nicht um ein Datenschutzurteil. Der Fall Klass betrifft auf den ersten Blick weder die Erhebung noch die Speicherung persönlicher Daten.131 Durch das Urteil wird lediglich erstmalig festgestellt, dass die Telefonüberwachung in den Schutzbereich von Art. 8 EMRK fällt und zwar nicht allein unter das Recht auf Achtung des Privatlebens, sondern in einen kombinierten Schutzbereich des Privatlebens und des Briefverkehrs. Das Überwachen des Brief- und vor allem des Telefonverkehrs wird jedoch in dem Moment datenschutzrechtlich relevant, in dem die gewonnenen Informationen, etwa durch Mitschnitte von Telefongesprächen, aufgezeichnet werden. Angesichts immer raffinierterer technischer Möglichkeiten bei der Überwachung kann man davon ausgehen, dass es in der ganz überwiegenden Anzahl der Fälle auch zu einer Aufzeichnung kommt.132 Datenschutzrechtlich ist dies als Verarbeitung per129 Unter welches der Rechte aus Art. 8 Abs. 1 EMRK der Telefonverkehr genau fällt hat der Gerichtshof bis heute offen gelassen. Im einem aktuellen Fall sieht der Gerichtshof im „metering“ des Telefonanschlusses etwa einen Eingriff in das Privatleben oder die Korrespondenz, im Sinne von telefonischer Mitteilung (telephone communications). EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX, § 42. 130 EGMR, Urteil vom 6. September 1978, Klass ./. Bundesrepublik Deutschland, (App. 5029/71), Serie A 28, § 41, (EuGRZ 1978, S. 278). EGMR, Urteil vom 6. September 1978, Klass ./. Bundesrepublik Deutschland, (App. 5029/71), Serie A 28, § 41, (EuGRZ 1978, S. 278). 131 Siehe auch Breitenmoser, Der Schutz der Privatsphäre gemäß Art. 8 EMRK, S. 246, der neben dem Urteil Klass auch die Entscheidung im Fall Malone nicht als eigentliches Datenschutzurteil begreift, da der Gerichthof lediglich die Kommunikationsfreiheit und die Freiheit vor heimlichen Überwachungsmaßnahmen unter das Grundrecht auf Achtung des Privatlebens subsumiere.

A. Datenschutz durch Art. 8 EMRK

83

sonenbezogener Daten ohne Einwilligung zu beurteilen.133 Wenn sich das Gericht auch nicht ausdrücklich mit der Frage auseinandersetzt, ob neben der reinen Überwachungsmaßnahme auch eine damit verbundene Datenerhebung als Eingriff in Art. 8 EMRK betrachtet werden kann, so erscheint es zumindest nicht ausgeschlossen, dass sich die angestellten Erwägungen auch auf andere heimliche Überwachungsmaßnahmen übertragen lassen. (3) Mc Veigh gegen Vereinigtes Königreich Nachdem das Urteil des Gerichtshofes im Fall Klass ergangen war, wurde die Problematik des Erfassens und Aufbewahrens von Daten im Fall Mc Veigh134 von der Kommission angesprochen. Dabei ging es unter anderem um die Frage, ob das Einbehalten von im Rahmen einer polizeilichen Untersuchung gewonnenen Fingerabdrücken und Fotografien in den Akten mit dem Recht auf Privatleben vereinbar ist. Die Beschwerdeführer waren bei ihrer Rückkehr aus Irland auf Grundlage des Prevention of Terrorist Act in Großbritannien festgenommen und verhört worden. Die bei dieser Gelegenheit gesammelten Daten wurden anschließend nicht aus den Akten entfernt, obwohl sich herausgestellt hatte, dass es sich lediglich um harmlose Touristen handelte. Die Kommission stellt zunächst fest, dass der Fall keinen Anlass bietet, generelle Aussagen zum erlaubten Inhalt und zur Nutzung von Polizeiakten zu machen.135 Auch sieht sie, anders als die Beschwerdeführer, keine Parallele zum Fall Klass, da die Informationen nicht wie dort durch geheime Überwachungsmaßnahmen erlangt worden waren. Dennoch hält sie eine Verletzung des Rechts auf Achtung des Privatlebens nicht grundsätzlich für ausgeschlossen (open to question). Diese Zweifel veranlassen sie aber nicht, eine eingehende Untersuchung vorzunehmen. Sie 132

Davon, dass Abhörmaßnahmen und das Aufnehmen und Speichern von Informationen untrennbar miteinander verbunden sind, geht später auch Richter Pettiti in seiner abweichenden Meinung im Fall Malone aus. Siehe dazu sogleich unter Teil 2, A.I.2.b)aa)(5), zu den unterschiedlichen Formen der Überwachung auch Cameron, National Security and the Convention on Human Rights, S. 75. 133 So nimmt Mähring an, dass geheime Überwachungsmaßnahmen immer auch zu einer Verarbeitung personenbezogener Daten führen, EuR 1991, S. 372; vgl. auch Cameron, National Security and the Convention on Human Rights, S. 75, der darüber hinaus auch deutlich macht, dass andersherum die Verwendung von Computern zum Sammeln von Informationen aus verschiedenen Datenbanken eine Überwachung darstellen kann. 134 EKMR, Entscheidung vom 18. März 1981, Mc Veigh u. a. ./. Vereinigtes Königreich, (App. 8022/77), DR 25, S. 15. 135 „However in the context of the present case it is not called upon to make any general examination of the extent of information held in police records or the use which is made of it.“, EKMR, Entscheidung vom 18. März 1981, Mc Veigh u. a. ./. Vereinigtes Königreich, (App. 8022/77) DR 25, S. 50, § 226.

84

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

kommt zu dem Ergebnis, dass die Frage eines Eingriffs in das Privatleben offen bleiben könne, da die Speicherung der Daten ausschließlich zur Verhütung von terroristischen Akten diente und die Maßnahmen somit jedenfalls nach Abs. 2 gerechtfertigt waren.136 Obwohl die Kommission letztendlich zu Fragen des Schutzbereiches von Art. 8 EMRK nicht ausdrücklich Stellung nimmt, lassen sich durch die Entscheidung Rückschlüsse auf das Verständnis von Art. 8 EMRK im Zusammenhang mit dem Datenschutz ziehen. Zunächst bestätigen die Ausführungen zum Fall Klass, dass das wesentliche Element jener Entscheidung eben die Heimlichkeit der Überwachungsmaßnahmen war. Eine solche Situation ist in den Augen der Kommission aber nicht mit einem Fall vergleichbar, in dem die Informationen durch den Betroffenen selbst – wenn auch im Rahmen eines Verhöres – preisgegeben wurden. Wenn die Kommission die Aufbewahrung der Informationen angesichts des Rechts auf Privatleben dennoch für bedenklich hält, zeigt dies, dass auch solche „freiwilligen“ Angaben grundsätzlich in den Schutzbereich von Art. 8 Abs. 1 EMRK fallen können. Besonders hervorzuheben ist in diesem Zusammenhang die abweichende Meinung des Kommissionsmitglieds Klecker. Während die Durchsuchung und Befragung der Verdächtigen der Sicherheitskontrolle und das Nehmen von Fingerabdrücken und das Fotografieren zur Identifizierung dienten, sei die Einbehaltung der so erlangten Informationen seiner Meinung nach anders zu beurteilen. Zeige sich, wie im vorliegenden Fall, dass die Informationen sich auf zu Unrecht verdächtige Personen beziehen, sei die Aufbewahrung dieser Daten nicht in einer demokratischen Gesellschaft notwendig und könne daher nicht gerechtfertigt werden. Er verweist insbesondere auf eine Stellungnahme des Committee on Data Protection, das in bezug auf Polizeiakten bereits die Einführungen von Schutzmaßnahmen verlangt habe.137 Diese abweichende Meinung zeigt, dass sich die Kommission der Bedeutung der aufkommenden datenschutzrechtlichen Fragen durchaus bewusst war. Dennoch vermied sie es, sich mit dem Problem ausdrücklich auseinanderzusetzen. Man kann nur mutmaßen, wie die Kommission den Fall entschieden hätte, wenn sie ebenso wie das Kommissionsmitglied Klecker zu dem Ergebnis gekommen wäre, dass die Maßnahme nicht gerechtfertigt war. Es ist anzunehmen, dass sie bei der Beurteilung eines Eingriffs in das Privatleben ebenso wie im Fall X. gegen Vereinigtes 136 EKMR, Entscheidung vom 18. März 1981, Mc Veigh u. a. ./. Vereinigtes Königreich, (App. 8022/77), DR 25, S. 51, § 230. 137 Abweichende Meinung des Kommissionsmitglieds Klecker im Fall EKMR, Entscheidung vom 18. März 1981, Mc Veigh u. a. ./. Vereinigtes Königreich, (App. 8022/77), DR 25, S. 56.

A. Datenschutz durch Art. 8 EMRK

85

Königreich138 auf die Art und Weise der Informationserlangung sowie die beabsichtigte Verwendung abgestellt hätte. (4) X. gegen Vereinigtes Königreich Einen Eingriff in Art. 8 Abs. 1 EMRK bejahte die Kommission in einem weiteren Fall X. gegen Vereinigtes Königreich.139 Die Entscheidung betraf die Britische Volkzählung im Jahr 1981. Der Beschwerdeführer war der Auffassung, dass das obligatorische Ausfüllen eines Erhebungsbogens im Rahmen der Volksbefragung einen Eingriff in sein Recht auf Achtung des Privat- und Familienlebens aus Art. 8 EMRK darstellt. Diese Annahme findet sich durch die Kommissionsentscheidung bestätigt. Hinsichtlich der Anwendbarkeit von Art. 8 Abs. 1 EMRK stellte man in einem Satz kurz fest, dass eine obligatorische Volkszählung, welche Fragen nach dem Geschlecht, Personenstand, Geburtsort und anderer persönlichen Einzelheiten der Bewohner eines Haushalts einbezieht, prima facie eine Beeinträchtigung des in Art. 8 Abs. 1 EMRK gewährleisteten Rechts auf Achtung des Privatund Familienlebens darstelle.140 Dadurch wird deutlich, dass auch das offene Erheben von persönlichen Daten durchaus in den Schutzbereich des Art. 8 Abs. 1 EMRK fallen kann. Zudem kommt es nicht, wie noch im ersten Fall X. gegen Vereinigtes Königreich,141 auf die Art und Weise der Informationsbeschaffung oder die beabsichtigte Verwendung an. Anders als in den Fällen Klass und Mc Veigh handelt es sich bei den Daten zur Volksbefragung nicht um im Rahmen von polizeilichen Ermittlungen gesammelte Daten. Allein das Sammeln von Informationen, deren Inhalt sich auf das Privatleben bezieht, reicht für die Kommission aus, um eine Beeinträchtigung der Rechte aus Art. 8 Abs. 1 EMRK anzunehmen.

138 EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 328. Siehe oben unter Teil 2, A.I.2.a) bb)(1). 139 EKMR, Entscheidung vom 6. Oktober 1982, X gegen Vereinigtes Königreich, (App. 9702/82), DR 30, 239, (EuGRZ 1983, S. 410). 140 Die Anwendbarkeit von Art. 8 EMRK wurde auch später bei einem eine Volkszählung in Schweden betreffenden Fall unproblematisch angenommen, EKMR, Entscheidung vom 29. Juni 1992, Anderberg ./. Schweden, (App. 13906/88). 141 EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 328.

86

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

(5) Malone gegen Vereinigtes Königreich Die in der Folge des Falls Klass aufgeworfene Frage, ob neben der Überwachung auch die Aufzeichnung von Daten in den Anwendungsbereich des Rechts auf Achtung des Privatlebens fällt, beantwortete der Gerichtshof im Urteil Malone gegen Vereinigtes Königreich142. Der Beschwerdeführer, James Malone, war der Hehlerei beschuldigt worden und warf nun den britischen Polizeibehörden vor, seine Rechte aus Art. 8 EMRK verletzt zu haben, indem sie seinen Briefverkehr und seine Telefongespräche über mehrere Jahre überwachten. Zunächst bestätigte der Gerichtshof sein Urteil im Fall Klass, indem er auch hier feststellt, dass schon die Möglichkeit der geheimen Überwachung einen Eingriff in das Grundrecht auf Privatleben darstellen kann, ohne dass eine tatsächliche Überwachung nachgewiesen werden muss. Bei der Prüfung der Verletzung des Art. 8 EMRK unterscheidet der Gerichtshof dann zwischen den Maßnahmen zur Kommunikationsüberwachung143 und der Registrierung der Verbindungsdaten (metering). Das Gericht kommt zu dem Ergebnis, dass beide Maßnahmen gegen Art. 8 EMRK verstoßen, da sie nicht vom Gesetz vorgesehen waren. Besonders interessant sind die Ausführungen des Gerichtshofs zur Registrierung der Verbindungsdaten. Bei diesem Verfahren wurden die auf einem bestimmten Telefonapparat gewählten Nummern sowie die Uhrzeit und die Dauer des Gesprächs durch die British Telecom registriert, in einem Verzeichnis zusammengestellt und anschließend an die Polizei weitergegeben. Damit bot sich den Richtern im vorliegenden Fall erstmalig die Gelegenheit, ausdrücklich zur Verarbeitung personenbezogener Daten Stellung zu nehmen, was sie jedoch vermieden. Der EGMR stellt lediglich fest, dass ein solches Verzeichnis Informationen – nämlich insbesondere die angewählten Nummern – enthalte, die Bestandteil der Telefongespräche seien und dass die Weitergabe dieser Informationen an die Polizei ohne die Zustimmung des Teilnehmers zu einem Eingriff in ein von Art. 8 EMRK garantiertes Recht führe.144 Indem der Gerichtshof die Daten lediglich als Bestandteil der Telefongespräche betrachtet, bedient er sich eines Kunstgriffs. Bereits in der Klass142 EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, Serie A, 82, (EuGRZ 1985, S. 17). 143 In Anlehnung an die Übersetzung in EuGRZ 1985, S. 19; Der Gerichtshof verwendet die Begriffe „interception de communications“ bzw. „interception of communication“, die sowohl das Abhören des Telefonverkehrs als auch die Kontrolle des Briefverkehrs umfassen. 144 EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, Serie A, 82 § 84, (EuGRZ 1985, S. 23).

A. Datenschutz durch Art. 8 EMRK

87

Entscheidung hatte er festgestellt, dass Telefongespräche sowohl das Privatleben als auch die Korrespondenz betreffen. So lässt der EGMR nun einen Zusammenhang der gespeicherten Daten allgemein zur Kommunikation145 ausreichen, um einen Eingriff in Art. 8 zu bejahen. Dabei hätte sich an dieser Stelle die Frage gestellt, ob die registrierten Verbindungsdaten außerdem auch direkt das Privatleben betreffen. Indem der EGMR die Telekommunikationsdaten lediglich unter das Recht auf Kommunikation subsumiert, lässt er diese Frage offen. Der Gerichtshof lässt damit die Möglichkeit verstreichen, persönliche Daten generell in den Schutzbereich des Rechts auf Privatleben und damit in Art. 8 EMRK einzubeziehen. Denn es handelt sich bei den betroffenen Daten unzweifelhaft um personenbezogene Daten im datenschutzrechtlichen Sinne, da sie sich dem Anschluss eines bestimmten Teilnehmers zuordnen lassen, Auskunft über die gewählte Verbindung und die Dauer des Gesprächs gewähren und damit Informationen über einen Betroffenen darstellen.146 Angesichts der eng gefassten Definition des Privatlebens erscheint es aber ohnehin unwahrscheinlich, dass die Straßburger Organe auch reine Verbindungsdaten vom Schutzbereich des Rechts auf Privatleben umfasst gesehen hätten, da sie nicht ohne weiteres in den engen Persönlichkeitsbereich einer Person fallen. Die Tatsache, dass das Gericht in seiner Entscheidung den Fragen des Datenschutzes weitestgehend ausweicht, bildet auch den Kernpunkt der Kritik, die Richter Pettiti in seiner zustimmenden Meinung anbringt. Aus seiner Sicht sei wegen der überragenden Wichtigkeit der zu untersuchenden Problematik eine eingehende Prüfung im Rahmen des Art. 8 Abs. 2 EMRK erforderlich gewesen. Vor allem die Informationstechniken, durch die der Staat in der Lage sei, Informationen über seine Bürger in beliebigen Datenbanken zu sammeln und so eine „Transparenz des Bürgers“ herbeizuführen,147 betrachtet er als eine Gefahr für die demokratische Gesellschaft. Er sieht sich daher veranlasst, detailliert auf die Regelungen der Datenschutzkonvention einzugehen, die seiner Auffassung nach Maßstäbe dafür bieten, wie der Umgang mit persönlichen Daten unter der EMRK beurteilt werden sollte. Weiterhin stellt Pettiti fest, dass das umfassende Registrieren von Telefongesprächen, selbst ohne ein Abhören und allein auf seinen Registrier145 Zum Begriff der Kommunikation und dessen Verhältnis zur Korrespondenz vgl. Sudre, in: Sudre u. a. (Hg.), Les grands arrêts de la Cour européenne des Droits de L’Homme, S. 317. 146 Siehe die Definition in Art. 2 der Datenschutzkonvention des Europarates und aber auch die sektorspezifischen Datenschutzbestimmungen wie etwa die Richtlinie 97/66/EG, die im Rahmen der Telekommunikation anfallenden Verkehrs- und Gebührenabrechnungsdaten erfasst. 147 Zustimmende Meinung des Richters Pettiti in EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, Serie A, 82, (EuGRZ 1985, S. 24).

88

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

zweck beschränkt, einen Eingriff in das Privatleben darstellt. Diese Annahme gründet er darauf, dass Verwaltungsbehörden durch die Registrierung Erkenntnisse gewinnen könnten, die ihnen nicht zustünden. Er geht davon aus, dass, was Datenbanken betrifft, der Umgang mit „neutralen“ Daten ebenso aufschlussreich sein könne wie der mit sensiblen Daten. Damit steht die zustimmende Meinung Pettiti’s insgesamt in auffälligem Kontrast zum Urteilstext. Während der EGMR den Begriff des Datenschutzes an keiner Stelle erwähnt, plädiert Pettiti ausdrücklich dafür, dass das Gericht seine Einstellung hierzu überdenken möge. (6) Leander gegen Schweden Eine Leitentscheidung der Straßburger Organe zum Datenschutz unter der EMRK ist das Urteil Leander gegen Schweden148. Der Beschwerdeführer Leander war als Techniker in einem Schifffahrtsmuseum eingestellt worden, das Lagerräume innerhalb eines militärischen Sperrgebietes unterhielt. Bereits wenige Tag nach seiner Einstellung wurde er jedoch aufgrund einer Sicherheitsüberprüfung durch die Polizei wieder entlassen. Da ihm die Kenntnisnahme vom Inhalt seiner in einem geheimen Polizeiregister geführten Akte verweigert und die Möglichkeit zur Stellungnahme verwehrt worden war, wandte er sich an die Regierung und verlangte Einsichtnahme in die Akte. Auch machte er geltend, dass weder sein persönlicher noch sein politischer Hintergrund Anhaltspunkte für seine Aufnahme in das geheime Polizeiregister bot. Die Beschwerde blieb erfolglos, so dass er vor dem EGMR eine Verletzung in seinen Konventionsrechten, unter anderem aus Art. 8 EMRK, rügte. Die Ausführungen des Gerichts zur Frage des Eingriffs in Art. 8 EMRK sind sehr kurz. Es stellt fest: „It is uncontested that the secret police-register contained information relating to Mr. Leanders private life. Both the storing and the release of such information, which were coupled with a refusal to allow Mr. Leander an opportunity to refute it, amounted to an interference with his right to respect for private life as guaranteed by Art. 8 § 1.“149

Ein Eingriff wird also angenommen aber nicht weiter problematisiert. Deutlich wird lediglich, dass eine Speicherung und Verarbeitung von Informationen grundsätzlich dann in den Schutzbereich von Art. 8 Abs. 1 EMRK fällt, wenn sie einen Bezug150 zum Privatleben aufweist. Dabei lässt 148

EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116. 149 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 48.

A. Datenschutz durch Art. 8 EMRK

89

das Urteil allerdings offen, wann ein solcher Bezug hergestellt werden kann. Einige Anhaltspunkte lassen sich aber dem vorangegangenen Bericht der Kommission entnehmen. Dieser verweist eingangs der Untersuchung auf ein unveröffentlichtes Urteil, in dem die Kommission bereits festgestellt hatte, dass die Aufbewahrung einer Polizeiakte über einen Einzelnen und die Weiterleitung dieser Akte an ein Gericht ein Problem des Datenschutzes ist, das in den Anwendungsbereich des Art. 8 EMRK fällt.151 Gleich darauf macht sie jedoch deutlich, dass die Frage, ob eine Beeinträchtigung der Rechte aus Art. 8 Abs. 1 EMRK vorliege, vom Inhalt des jeweiligen Registers abhänge.152 Zwar war der Inhalt des Polizeiregisters der Kommission im Fall Leander nicht bekannt, anhand einer auf dieser Akte beruhenden Beurteilung Leanders durch die Marine ließen sich jedoch Rückschlüsse darauf ziehen: „It appears to the Commission that this unfavourable opinion must be related to the applicant’s acts, associations or opinions and must have been based on an assessment of his behaviour and possibly his personality. Although the Commission has not had access to the secret information on the applicant, it considers that the facts of the case are such that they disclose an interference with the applicant’ right to respect for private life.“153

Mithin besteht ein Bezug zum Privatleben grundsätzlich dann, wenn Informationen über Handlungen, Verbindungen und Meinungen des Einzelnen Rückschlüsse auf sein Verhalten bzw. seine Persönlichkeit zulassen. Unmittelbar anschließend macht die Kommission deutlich, welche Informationen ihrer Auffassung nach nicht von Art. 8 EMRK geschützt werden: Ein Register, das nur den Namen und die Anschrift der betroffenen Person enthält, beeinträchtige das Recht auf Privatleben normalerweise nicht.154 Da der 150 Übersetzung „relating to“ bzw. „des données relatives à la vie privée de M. Leander.“ 151 EKMR, Bericht vom 17. Mai 1985, Leander ./. Schweden, (App. 9248/81), Serie B 99, S. 10 § 54, mit Verweis auf Entscheidung der Kommission vom 7. Mai 1981 (App. 8334/78) (unveröffentlicht) „[t]hat the question of preservation of a police file on an individual and the transmittal of the file to a court was an issue of data protection which comes within the scope of Article 8“. 152 EKMR, Bericht vom 17. Mai 1985, Leander ./. Schweden, (App. 9248/81), Serie B 99, § 56, „[t]hat the question of whether an individual’s rights under Article 8 § 1 are affected, must depend on the contents of the register in question.“ 153 EKMR, Bericht vom 17. Mai 1985, Leander ./. Schweden, (App. 9248/81), Serie B 99, § 56. 154 EKMR, Bericht vom 17. Mai 1985, Leander ./. Schweden, (App. 9248/81), Serie B 99, § 56: „A register which only contained, for instance, the name and address of an individual would not normally involve any interference with Article 8 § 1.“ Dies steht jedoch im Widerspruch zu den späteren Urteilen, in denen der Gerichtshof feststellte, dass der Name ein Mittel der persönlichen Identifikation und eine Verbindung zur Familie darstelle und daher das Privat- und Familienleben be-

90

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Gerichtshof in seinem Urteil der Kommission nicht widerspricht, kann man davon ausgehen, dass er ebenfalls der Auffassung ist, dass der erforderliche Bezug zum Privatleben besteht, wenn der Inhalt des Registers, also die einzelnen Informationen, sich auf das Privatleben beziehen. (7) Bewertung Das Urteil Leander ist der erste Fall, in dem die Straßburger Organe den Datenschutz als eigenständige Problematik anerkannt haben,155 was sich auf die Vorgehensweise des Gerichtshofes allerdings kaum auswirkt. Anzumerken ist insbesondere, dass die Datenschutzkonvention des Europarates, die nur wenige Monate nach dem Urteil in Kraft trat, mit keinem Wort Erwähnung findet.156 Anstatt auf die in diesem Instrument des Europarates enthaltenen Prinzipien zurückzugreifen, bedienen sich die Richter weiterhin des Rechts auf Privatleben als Grundlage für den Datenschutz unter der EMRK. Neu ist allerdings, dass dessen Anwendungsbereich eröffnet ist, gerade weil die gespeicherten Daten sich auf das Privatleben des Beschwerdeführers beziehen. In allen zuvor ergangenen Entscheidungen ergab sich der Schutz persönlicher Daten höchstens als Nebeneffekt oder zufälliges Ergebnis. Eine Bedrohung für das Recht aus Art. 8 EMRK wurde beispielsweise in der Handlung (Überwachung) oder dem Ort der Aufbewahrung der Informationen (Polizeiregister), nicht aber allein in der Existenz der das Privatleben betreffenden Daten gesehen. Trotz der Missachtung der Datenschutzkonvention zeigt das Urteil Leander das zunehmende Bewusstsein der Richter hinsichtlich der Frage der Gewährleistung des Datenschutzes durch die EMRK.157 Zusätzliche Beachtung verdient die Vorgehensweise der Konventionsorgane bei der Betrachtung des Falls. Im Vergleich zu vorangegangenen treffe. EGMR, Urteil vom 22. Februar 1994, Burghartz ./. Schweiz, (App. 16213/90), Serie A, 280-B, § 28 und EGMR, Urteil vom 25. November 1994, Stjerna ./. Finnland, (App. 18131/94), Serie A, 299-B, § 32. 155 Vgl. Early, Science, Technology and Human Rights: The Role of Data Protection, in: Mahoney/Mahoney (Hg.), Human Rights in the Twenty-first Century, S. 811. 156 Vgl. Sudre, in: Sudre u. a. (Hg.), Les grands arrêts de la Cour européenne des Droits de L’Homme, S. 327. 157 Wiederum zeigt sich jedoch, dass einige Richter die durch die elektronischen Datenverarbeitung drohenden Gefahren bereits deutlich ernster nehmen und daher über den Schutz durch Art. 8 EMRK hinaus weitere Maßnahmen fordern. Siehe dazu die teilweise abweichenden Meinung der Richter Pettiti und Russo, EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A, Nr. 116; vgl. auch Early, Science, Technology and Human Rights: The Role of Data Protection, in: Mahoney/Mahoney (Hg.), Human Rights in the Twenty-first Century, S. 811.

A. Datenschutz durch Art. 8 EMRK

91

Fällen kann man von einem Perspektivwechsel sprechen. Den Ausgangspunkt der Untersuchung bildet nicht mehr die Tatsache, dass ein Einzelner zum Objekt einer geheimen Überwachungsmaßnahme beziehungsweise einer Sicherheitsüberprüfung geworden ist – zentraler Gesichtspunkt sind nunmehr die privaten Informationen. Das sich wandelnde Verständnis vom Anwendungsbereich des Art. 8 EMRK wird deutlich, wenn man die Herangehensweise der Konventionsorgane an den Fall als Frage formuliert. Diese lautet dann nicht mehr: „Wie kann es sein, dass jemand heimlich überwacht wird?“, sondern „Wie kann es sein, dass das Privatleben betreffende Daten ohne das Wissen des Betroffenen gespeichert und weitergegeben werden?“ Beides scheint vor dem Hintergrund der Achtung des Rechts auf Privatleben nunmehr gleich bedenklich. Zusammenfassend kann man sagen, dass der Fall Leander die Untersuchung der Eröffnung des Anwendungsbereiches nicht nur wesentlich abkürzt, sondern zugleich auch zur Auflösung der Vermischung der Fragen von Schutzbereich und Eingriff beiträgt. Die ursprünglichen Schwierigkeiten bei der Frage nach dem Anwendungsbereich von Art. 8 EMRK waren vor allem durch die zögerliche Vorgehensweise bei der Bestimmung des Rechts auf Privatleben entstanden. Während es vor dem Urteil Leander so erschien, als würde der Bezug zum Privatleben allein durch die Art des Eingriffs hergestellt werden, ist es nun nicht mehr erforderlich, jede Maßnahme auf ihre Auswirkungen auf das Privatleben zu untersuchen. Auch durch die Art der erhobenen oder verarbeiteten Information kann der Anwendungsbereich des Rechts auf Privatleben eröffnet sein, wodurch der Bestimmung des Schutzbereichs als eigenem Prüfungspunkt mehr Gewicht zugemessen wird. Jedoch darf diese Vereinfachung nicht überbewertet werden. Ungeklärt bleibt, wann Informationen einen Bezug zum Privatleben aufweisen. bb) Die Rechtsprechung nach Leander Diese Frage steht im Mittelpunkt der nachfolgenden Fälle. Zwar hatte die Kommission in ihrer Entscheidung im Fall Leander bereits einige Hinweise gegeben, welche Arten von Informationen sie dem Privatleben zuordnen wolle, doch stellen sich auch hier wieder die schon bekannten Definitionsprobleme. (1) Lundvall gegen Schweden In diesem Zusammenhang ist zunächst auf eine weitere Entscheidung der Kommission hinzuweisen. Nur kurze Zeit, nachdem der Kommissionsbericht in der Sache Leander angenommen worden war, aber noch bevor es

92

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

zu einem Urteil des Gerichtshofes kam, erhielt die Kommission in der Sache Lundvall gegen Schweden158 erneut die Gelegenheit, zu Fragen des Datenschutzes Stellung zu nehmen. Bei der Entscheidung handelte es sich um den ersten datenschutzrechtlichen Fall ohne Bezug zur nationalen Sicherheit oder der Verhütung von Straftaten. Obwohl es erneut um den Umgang mit Informationen in Akten und Informationsregistern ging, zeigen sich doch einige Unterschiede zu der Kommissionsentscheidung im Fall Leander. Als säumiger Steuerzahler war Herr Lundvall mit seinen persönlichen Daten, wie unter anderem seinem Namen, seiner Anschrift und einer persönlichen Identifikationsnummer in ein Verzeichnis über Steuerschuldner aufgenommen worden. In Schweden war und ist es üblich, sowohl private als auch öffentliche Akten und elektronisch gespeicherte Daten über eine Person mit deren persönlicher Identifikationsnummer zu versehen. In Verbindung mit einem ausgeprägten Recht auf Zugang zu öffentlichen Akten können mithilfe der persönlichen Identifikationsnummer ohne großen Aufwand innerhalb von kürzester Zeit Datenabgleiche durchgeführt werden. Herr Lundvall wurde in diesem Verzeichnis geführt, obwohl er gegen die Entscheidung der Steuerbehörde Einspruch eingelegt hatte und sah sich sowohl wegen der Aufnahme seiner Daten in das Verzeichnis als auch durch die Verwendung der in Schweden üblichen persönlichen Identifikationsnummer in diesem konkreten Fall in seinem Recht aus Art. 8 Abs. 1 EMRK verletzt. Eingangs der Prüfung verweist die Kommission auf ihren Bericht in der Sache Leander, in dem bereits festgestellt worden war, dass die Frage des Datenschutzes in den Schutzbereich des Art. 8 der Konvention falle.159 Sie kommt daher zu dem einfachen Schluss: „It is therefore conceivable that the use of personal identity numbers as a way of storing data in different registers and the matching of such registers could raise an issue under Art. 8 of the Convention.“

Anders als im Fall Leander geht die Kommission also mit keinem Wort auf die Frage ein, ob es sich bei den gespeicherten Informationen überhaupt um das Privatleben betreffende Daten handelt. Da sie anschließend zu dem Ergebnis kommt, dass Herr Lundvall hinsichtlich der Verwendung der persönlichen Identifikationsnummern nicht beschwert und die Klage daher ratione personae unzulässig ist, erweist sich eine Stellungnahme als entbehrlich. Dennoch wäre es wünschenswert gewesen, wenn die Kommission zu dieser Frage kurz Stellung genommen hätte. Angesichts der Vielzahl der 158

EKMR, Entscheidung vom 11. Dezember 1985, Lundvall ./. Schweden, (App. 10473/83), DR 45, S. 121. 159 Siehe auch EKMR, Entscheidung vom 11. Dezember 1986, W. ./. Bundesrepublik Deutschland, (App. 11696/85).

A. Datenschutz durch Art. 8 EMRK

93

Verwendungsmöglichkeiten ist nämlich nicht auf den ersten Blick ersichtlich, ob alle im Zusammenhang mit der Nummer gespeicherten Daten zwangsläufig einen Bezug zum Privatleben des Betroffenen aufweisen. Hätte die Kommission eventuelle Zweifel an einem Bezug der Daten zum Privatleben ausdrücklich zum Ausdruck gebracht, sich dann aber dessen ungeachtet für die Eröffnung des Anwendungsbereiches des Rechts auf Privatleben ausgesprochen, hätte man dies als eine Tendenz zur Ausweitung des Schutzbereichs des Art. 8 Abs. 1 EMRK hinsichtlich der Verarbeitung personenbezogener Daten interpretieren können. (2) Reyntjens gegen Belgien Eine Bereitschaft zur Ausweitung des Schutzbereiches wird aber durch den nachfolgenden Fall Reyntjens gegen Belgien160 nicht bestätigt. Die Kommission entschied, dass die auf einem Personalausweis vermerkten Daten keinen Zusammenhang zum Privatleben aufweisen. Herr Reyntjens hatte sich geweigert, bei einer Routinekontrolle der Belgischen Polizei seine carte d’identité vorzuzeigen. Anschließend rügte er einen Eingriff in Art. 8 Abs. 1 EMRK. Hinsichtlich der Bewertung der carte d’identité stellt das Gericht fest „Celles-ci ne peuvent porter d’autres informations que le nom, le prénom, le sexe, la date et le lieu de naissance, l’adresse du lieu de résidence principale et, éventuellement, les noms et prénoms du conjoint. [. . .] De l’avis de la Commission, la carte d’identité ne renferme donc pas de donnée relative à la vie privée.“161

Die Kommission greift also die Vorgehensweise im Fall Leander wieder auf, nach der es auf den Inhalt der Daten ankommt und beschränkt sich nicht auf die Behauptung, dass der Datenschutz in den Anwendungsbereich von Art. 8 EMRK fällt. Anders als im Fall Lundvall sieht sie hier den Schutzbereich des Art. 8 Abs. 1 EMRK als nicht eröffnet an, obwohl die relevanten Daten eine vergleichbare Qualität aufwiesen. Ausschlaggebend für die unterschiedliche Behandlung der beiden Fälle ist also allein die Verwendung einer persönlichen Identifikationsnummer, die im Fall Lundvall einen schnelleren Datenabgleich zwischen unterschiedlichen Registern ermöglichte. Die vergleichende Betrachtung der beiden Fälle macht deutlich, dass in der Entscheidung Lundvall der Anwendungsbereich von Art. 8 Abs. 1 EMRK allein durch die Verwendung der Identifikationsnummer – ein nicht 160

EKMR vom 9. September 1992, Reyntjens ./. Belgien, (App. 16810/90), DR 73, S. 136. 161 EKMR vom 9. September 1992, Reyntjens ./. Belgien, (App. 16810/90), DR 73, S. 143.

94

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

die Qualität, sondern die Art und Weise der Verarbeitung betreffendes zusätzliches Element – eröffnet ist. (3) Hilton gegen Vereinigtes Königreich Zumindest die Rechtsprechung der Menschenrechtskommission enthält aber keine weiteren Hinweise für eine Bereitschaft, den Datenschutz unter Art. 8 EMRK zu stärken. Im Fall Hilton162 wurde erneut eine Sicherheitsüberprüfung Gegenstand des Verfahrens. Frau Hilton hatte sich als Reporterin bei der BBC beworben. Zunächst wurde sie zum Vorstellungsgespräch eingeladen, erhielt dann aber eine Absage, so dass sie eine Stelle als Journalistin bei einer Londoner Zeitung annahm. Erst Jahre später erfuhr sie, dass ihre Bewerbung bei der BBC abgelehnt worden war, weil bei einer von der BBC veranlassten Sicherheitsüberprüfung festgestellt worden war, dass sie aktives Mitglied der Schottisch-Chinesischen Gesellschaft an der Universität Edinburgh gewesen war. Die Kommission stellte fest, dass eine Sicherheitsüberprüfung nicht per se einen Eingriff in das Recht auf Privatleben aus Art. 8 EMRK darstellt. Ein solcher Eingriff liege nur dann vor, wenn die Sicherheitsüberprüfung auf Informationen beruhe, die das Privatleben einer Person betreffen.163 Ein Eingriff in das Recht aus Art. 8 EMRK wurde schließlich aber abgelehnt, da die Beschwerdeführerin nicht mit hinreichender Wahrscheinlichkeit glaubhaft machen konnte, dass der Secret Service Informationen über sie gesammelt und auch weiterhin gespeichert hatte. (4) Bewertung Die dargestellten Urteile zeigen, dass die Straßburger Organe sich des aufkommenden Problems des Datenschutzes nur sehr zögerlich angenommen haben und es ausgesprochen spät in ihrer Rechtsprechung thematisierten. Die abweichende Meinung des Kommissionsmitglieds Klecker im Fall Mc Veigh macht jedoch deutlich, dass man sich der Bedeutung dieser Frage, sogar bevor wegweisende Entscheidungen in diesem Bereich – wie etwa 162

EKMR, Entscheidung vom 6. Juli 1988, Hilton ./. Vereinigtes Königreich, (App. No. 12015/86), DR 57, S. 108. 163 „The Commission does not consider that a security check per se constitutes an interference with the right to respect for private life guaranteed by this provision. An interference with the right to respect for private life only occurs when security checks are based on information about a person’s private affairs, EKMR, Entscheidung vom 6. Juli 1988, Hilton ./. Vereinigtes Königreich, (App. No. 12015/86), DR 57, S. 117.

A. Datenschutz durch Art. 8 EMRK

95

das Volkszählungsurteil des BVerfG164 – getroffen worden waren, durchaus bewusst war. Nach der Entscheidung Mc Veigh dauerte es jedoch noch vier Jahre, bis – wiederum in einer abweichenden Meinung – der Begriff des Datenschutzes im Fall Malone überhaupt erstmalig erwähnt wird. Eingang in die Begründung findet der Datenschutz erst im Fall Leander, wenn auch zunächst nur in der Entscheidung der Kommission. Der Gerichtshof hingegen greift diesen Begriff in seinem anschließenden Urteil nicht auf, sondern spricht nur von „storing and release of information“, nicht jedoch von Datenschutz. Zurückhaltend sind die Straßburger Organe aber nicht nur hinsichtlich der Verwendung des Begriffs des Datenschutzes, sondern auch bei der Ausgestaltung dieses Rechts. Statt den Datenschutz als einen eigenständigen Aspekt des Schutzbereiches des Art. 8 EMRK zu begreifen, der unter Umständen mehrere aufgeführte Rechte – wie etwa das Recht auf Privatleben und die Korrespondenz – betrifft, knüpfen die Organe eng an das Recht auf Privatleben an. In der Folge wird die Frage des Schutzes persönlicher Daten davon abhängig gemacht, ob ein Bezug zum Privatleben besteht. Dies bestimmt sich, soweit ersichtlich, ausschließlich nach dem Inhalt der betroffenen Informationen. Damit unterliegt der Datenschutz dem jeweiligen Verständnis vom Begriff des Privatlebens. Mit der Wahl dieser Vorgehensweise werden die Straßburger Organe aber den spezifischen Gefahren, die dem Recht auf Privatleben des Einzelnen durch die modernen Kommunikations- und Speichertechniken drohen, nicht gerecht. Sie übersehen etwa, dass auch einfache, unverfängliche Informationen zur Erstellung von umfassenden Persönlichkeitsprofilen verwendet werden können, die das Recht auf Privatleben empfindlich beeinträchtigen.165 Auch moderne Methoden der Informationsverarbeitung, die letztlich zur Schaffung datenschutzrechtlicher Bestimmungen geführt haben,166 wären nach diesem Verständnis aus konventionsrechtlicher Sicht nicht zu beanstanden. Zwar waren entsprechende Fälle bis zu diesem Zeitpunkt noch nicht Gegenstand von Verfahren vor den Straßburger Organen geworden, angesichts der Aktualität des Problems war dies jedoch nur eine Frage der Zeit. Durch die Koppelung des Datenschutzes an den Begriff des Privatlebens wäre es den Straßburger Organen allerdings nicht möglich gewesen, kurzfristig auf neue Herausforderungen zu reagieren. Verdeutlichen lässt sich dies am Beispiel der auf dem Personalausweis enthaltenen Informationen. Ein Bezug dieser Daten zum Privatleben wurde sowohl in dem Bericht der Kommission im Fall Leander als auch im Fall Reyntjens ausdrücklich 164

BVerfGE 65, 1, (Volkszählung). Kritisch auch de Hert, Mensenrechten en bescherming van persoonsgegevens, Jaarboek Mensenrechten 1996–1997, S. 51; zu den Gefahren auch Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 80 ff. 166 Siehe dazu Teil 1, B.I. 165

96

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

verneint. Mit Hilfe moderner Techniken der Datenverarbeitung sind Behörden jedoch in der Lage, allgemein bekannte Informationen systematisch zu sammeln, zu speichern und daraus aufschlussreiche Persönlichkeitsprofile zu erstellen.167 Langfristig könnte sich daher eine Beeinträchtigung des Rechts auf Privatleben ergeben, obwohl ihr Inhalt keinen Bezug zum Privatleben aufweist. Aus datenschutzrechtlicher Sicht sind diese Informationen daher ebenso schützenswert wie solche, bei denen ein solcher Bezug zum Privatleben besteht. Will man die Betroffenen auch vor Beeinträchtigungen durch die Verarbeitungen derartiger Informationen bewahren, scheint eine Anpassung des Begriffs des Privatlebens unausweichlich. Eine Erklärung für die Zurückhaltung des Gerichts könnten die Aktivitäten der Organe des Europarates im Bereich des Datenschutzes sein. Als der Vorschlag der Aufnahme einer Bestimmung über den Datenschutz in den Konventionstext abgelehnt wurde und stattdessen mit der Datenschutzkonvention ein eigenständiges Instrument geschaffen wurde, hätte der Gerichtshof seine vorsichtige Haltung jedoch aufgeben können. Da die Datenschutzkonvention keine Durchsetzungsmechanismen vorsieht, war es bereits abzusehen, dass der Gerichthof sich auch weiterhin mit Fragen des Datenschutzes beschäftigen werden müsste. Zuzugeben ist jedoch, dass bei einer Anerkennung des Datenschutzes als mehr oder weniger eigenständigem Aspekt des Art. 8 EMRK die Gefahr einer Überschreitung der Grenzen der zulässigen Interpretation bestünde. Um dem vorzubeugen, könnte man erwägen, sich bei der Frage der Eröffnung des Anwendungsbereichs zumindest von der Anknüpfung an den Inhalt der Daten zu lösen. Denkbar wäre es etwa, weiterhin grundsätzlich an die Qualität der Daten anzuknüpfen, dabei jedoch anzuerkennen, dass unter bestimmten Umständen auch „einfache“ personenbezogene Daten das Privatleben betreffen können. Dies wäre etwa dann der Fall, wenn eine besondere Art und Weise der Verarbeitung vorliegt. Eine solche Vorgehensweise wäre auch durchaus mit der Leander-Rechtsprechung vereinbar. Schließlich hatte der Gerichtshof nur einen irgendwie gearteten Bezug zum Privatleben gefordert. Der Inhalt der Informationen würde dann nur eine denkbare Möglichkeit darstellen, diesen Bezug herzustellen. Mit dem Wortlaut von Art. 8 Abs. 1 EMRK wäre diese Methode ebenfalls vereinbar. Die Straßburger Organe haben sich bewusst nie auf eine abschließende Definition des Rechts auf Privatleben festgelegt. Auch der Umgang mit Daten könnte daher unter das Privatleben subsumiert werden, etwa wenn Informationen in unverhältnismäßig großer Zahl verarbeitet werden. Da die EMRK als lebendes Instrument verstanden wird, das im 167 Siehe u. a. die zustimmende Meinung des Richters Pettiti in EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, Serie A, 82.

A. Datenschutz durch Art. 8 EMRK

97

Lichte der heutigen Umstände auszulegen ist,168 wäre eine solche Auslegung aber nicht nur möglich, sondern auch notwendig, um auf die Herausforderungen der Informationsgesellschaft reagieren zu können. Vor diesem Hintergrund erscheint eine Aufweichung der Kriterien für die Anwendung des Art. 8 EMRK auf personenbezogene Daten angebracht. Zusammenfassend lässt sich sagen, dass man in Bezug auf Art. 8 Abs. 1 EMRK bei weitem noch nicht von einem umfassenden Recht auf Datenschutz oder gar von einem Recht auf informationelle Selbstbestimmung sprechen kann.169 cc) Entwicklungstendenzen zu einem Recht auf Datenschutz Einige Zeit später finden sich in der Rechtsprechung der Konventionsorgane Hinweise darauf, dass der Bezug der Daten zum Privatleben tatsächlich in zunehmendem Maße an Bedeutung verliert. Eine Ursache ist in dem Urteil Niemietz zu sehen, in dem der Gerichtshof klargestellt hatte, dass auch Bereiche, die bisher eher der Öffentlichkeit zugeordnet worden waren – wie etwa der Beruf – durchaus vom Begriff des Privatlebens umfasst werden können. Dies führte dazu, dass ein Bezug zum Privatleben nicht mehr durch den einfachen Hinweis auf den Zusammenhang zur Öffentlichkeit abgelehnt werden konnte. Es lässt sich beobachten, dass sich die Straßburger Organe – und hier insbesondere die Kommission – in den nachfolgenden Fällen daher zu einer eingehenderen Prüfung der Beeinträchtigung des Rechts auf Privatleben veranlasst sahen. Dadurch beschleunigte sich die Herausbildung von einzelnen, besonders sensible Daten betreffenden Kategorien, die einen besonders engen Bezug zum Privatleben bzw. zu den in Art. 8 Abs. 1 EMRK aufgezählten Rechten aufweisen. Soweit eine dieser Kategorien betroffen war, vermieden die Konventionsorgane eine Erörterung des Bezugs zum Privatleben und ordneten sie lediglich dieser Gruppe zu. (1) Medizinische Daten Als eine solche Kategorie sensibler Daten sind zunächst die medizinischen Daten zu nennen. Auch wenn Art. 8 Abs. 1 EMRK auf diese Art von Daten später unproblematisch Anwendung finden sollte, war in einer frühen Entscheidung die Einordnung medizinischer Daten im Zusammenhang mit Datenschutz und Art. 8 EMRK zunächst nicht ganz eindeutig. 168 EGMR, Urteil vom 25. April 1978, Tyrer ./. Vereinigtes Königreich (App. 5856/72), Serie A 62. 169 So aber Mähring, EuR 1991, S. 373.

98

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Im Fall L. gegen Bundesrepublik Deutschland170 hatte man Daten, die im Rahmen eines medizinischen Gutachtens zur Feststellung der strafrechtlichen Verantwortlichkeit des Beschwerdeführers erhoben worden waren, in einem zivilgerichtlichen Verfahren verwendet, um dessen Prozessfähigkeit zu untersuchen. Die Kommission verweist zunächst darauf, dass seit der Rechtssache Leander der Datenschutz unter Art. 8 EMRK anerkannt ist. Anschließend stellt sie jedoch fest, dass die Heranziehung des medizinischen Gutachtens der Durchführung eines ordnungsgemäßen Verfahrens gedient habe. Außerdem sei allein dem Berichterstatter Einsicht in die Unterlagen gewährt worden, so dass das Privatleben in keiner Weise missachtet wurde und die Beschwerde als offensichtlich unbegründet abzuweisen sei. Letztendlich sind es also der Zweck der Verwendung der Daten, sowie deren vertrauliche Behandlung, die die Kommission veranlassen, einen Eingriff in Art. 8 EMRK abzulehnen. Folglich lässt sie in die Prüfung der Anwendbarkeit und des Eingriffs bereits Überlegungen einfließen, die an sich erst im Rahmen der Rechtfertigung unter Art. 8 Abs. 2 EMRK relevant geworden wären. Diese Vorgehensweise ist insofern verwunderlich, als dass der Verweis auf den Fall Leander deutlich macht, dass die Kommission sich der datenschutzrechtlichen Relevanz des Falles eindeutig bewusst war. Sie zeigt aber einmal mehr die Zurückhaltung der Konventionsorgane bei der Stellungnahme zum Datenschutz unter der EMRK. Nicht bestritten wurde die Anwendbarkeit von Art. 8 EMRK dagegen in den Fällen Z. gegen Finnland171 und M.S. gegen Schweden,172 die beide die Weitergabe von medizinischen Daten über Patienten durch Kliniken an staatliche Stellen betrafen. Aus diesem Grund verzichtet der Gerichtshof im Fall M. S. gegen Schweden auf eine detaillierte Erörterung der Anwendbarkeit von Art. 8 EMRK. Im Rahmen der Verhältnismäßigkeitsprüfung unter Abs. 2 trifft er jedoch die allgemeine Aussage: „[t]he Court will take into account that the protection of personal data is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life as guaranteed by Article 8 of the Convention“.173 Die besondere Rolle, die den medizinischen Daten im Zusammenhang mit Art. 8 Abs. 1 EMRK zukommt, geht noch deutlicher aus dem Urteil Z. gegen Finnland hervor. Dort hält der Gerichtshof fest: 170 EKMR, Entscheidung vom 13. Oktober 1988, L. ./. Bundesrepublik Deutschland, (App. 12793/87). 171 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland (App. 22009/93), Rep. 1997-I. 172 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden (App. (20837/92), Rep. 1997-IV. Zu den Fakten des Falls siehe später unter Teil 2, A.II.b). 173 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden (App. (20837/92), Rep. 1997-IV, § 41.

A. Datenschutz durch Art. 8 EMRK

99

„In this connection, the Court will take into account that the protection of personal data, not least medical data, is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life as guaranteed by Art. 8 of the Convention. Respecting the confidentiality of health data is a vital principle in the legal system of all the Contracting Parties to the convention. It is crucial not only to respect the sense of privacy of a patient but also to preserve his or her confidence in the medical profession and in the health service in general.“174

Mithin wird deutlich, dass die Verarbeitung medizinischer Daten nicht nur vor dem Hintergrund der Achtung des Rechts auf Privatleben bedenklich erscheint. Besondere Beachtung schenkt der Gerichtshof auch dem Vertrauensverhältnis zwischen Arzt und Patient. Ein Vertrauensverlust hätte zur Folge, dass Patienten ihren Ärzten keine intimen Informationen mehr anvertrauen und so entweder ihre eigene Gesundheit oder die Gesundheit anderer gefährden.175 Angesichts der hohen Sensibilität medizinischer Daten ist es keineswegs überraschend, dass ihrem Schutz auch unter der Menschenrechtskonvention sehr große Bedeutung zukommt. Gerade im medizinischen Bereich bestanden bereits lange bevor der Begriff Datenschutz geprägt wurde, datenschutzrechtliche Bestimmungen. So wird die Vertraulichkeit medizinischer Daten durch ethische Vorschriften wie den Eid des Hippokrates176 geschützt, die heute durch das Arztgeheimnis177 Niederschlag in rechtlichen Geheimschutzvorschriften178 gefunden haben. Die Bedeutung medizinischer Daten lässt sich auch der Datenschutzkonvention des Europarates entnehmen. Art. 6 der Konvention zählt die personenbezogenen Daten, die die Gesundheit betreffen, zu den „besonderen Arten von Daten“, die nur automatisch verarbeitet werden dürfen, wenn das 174 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland (App. 22009/93), Rep. 1997-I, § 95. 175 Siehe auch Sicilianos, International Protection of Personal Data: Privacy, Freedom of Information or both?, in: Sicilianos/Gavouneli (Hg.), Scientific and Technological Developments & Human Rights, S. 127. 176 Diese ärztliche Schweigepflicht gilt als die älteste Datenschutzbestimmung der Welt, abgedruckt etwa bei Deutsch/Spieckhoff, Medizinrecht, 5. Auflage, Rn. 1229. 177 Rechtliche Grundlage der ärztlichen Schweigepflicht in Deutschland ist die Berufsordnung der Ärztekammern i. V. m. den Heilberufsgesetzen der Länder. Ein Verletzung der Schweigepflicht führt etwa zur Strafbarkeit nach § 203 StGB. §§ 53 und 53a StPO und 383 Abs. 1 Nr. 6 ZPO sehen ein Zeugnisverweigerungsrecht der Ärzte vor. Außerdem enthält § 97 StPO ein Beschlagnahmeverbot für Patientendaten. 178 Zum Geheimschutz siehe Douraki, RDMC 2003, S. 257; Tinnefeld/Ehmann, Einführung in das Datenschutzrecht, S. 110 ff.; zur Abgrenzung des Geheimschutzrechts vom Datenschutzrecht siehe Kloepfer, Informationsrecht, S. 370.

100

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

innerstaatliche Recht einen geeigneten Schutz gewährleistet.179 Mit Ausnahme der Entscheidung L. gegen Bundesrepublik Deutschland hat der Schutz medizinischer Daten den Konventionsorganen folglich keine Schwierigkeiten bereitet.180 Durch ihre anerkannte Schutzbedürftigkeit fallen sie unproblematisch in den Anwendungsbereich des Rechts auf Privatleben und bilden dort eine eigene Kategorie. Die Bedeutung der Urteile zum Umgang mit medizinischen Daten geht jedoch noch darüber hinaus. Im Urteil Z. gegen Finnland übernimmt der Gerichthof erstmalig ausdrücklich die datenschutzrechtliche Terminologie und erkennt den Schutz personenbezogener Daten nicht nur als Aspekt des Privatlebens an, sondern betont zusätzlich, dass dieser von grundlegender Bedeutung für die Ausübung des Rechts auf Achtung des Privatlebens ist.181 Obwohl bereits von Richter Pettiti in seiner abweichenden Meinung im Fall Malone formuliert, erhalten damit Aussagen zum Datenschutz Einzug in die Rechtsprechung des Gerichts.182 (2) Telekommunikationsdaten Eine besondere Kategorie von Daten unter Art. 8 Abs. 1 EMRK stellen auch die Telekommunikationsdaten dar. In diesem Zusammenhang muss grundsätzlich zwischen zwei verschiedenen Arten von Daten und Informationen unterschieden werden. Zum einen besteht die Möglichkeit, Telefone abzuhören und den Inhalt der Gespräche mitzuschneiden (tapping), zum anderen kann Einsicht in die Verbindungs- bzw. Verkehrsdaten183 genommen 179 Hinweise für die Anforderungen und Ausgestaltungen der nationalen Schutzmaßnahmen enthält Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data, adopted by the Committee of Ministers on 13 February 1997 at the 584th meeting of the Ministers’ Deputies. 180 Die ärztliche Schweigepflicht ist auch Gegenstand des Verfahrens im Fall Plon (Société) ./. Frankreich, (App. 58148/00), in dem es um die Veröffentlichung von medizinischen Details über Präsident Mitterand geht. Die Sache wurde vom Gerichtshof für zulässig erklärt. EGMR, Entscheidung vom 27. Mai 2003, Plon (Société) ./. Frankreich (App. 58148/00), RUDH 2003, S. 80. 181 So nimmt der Gerichtshof auch zum ersten Mal ausdrücklich auf die Datenschutzkonvention Bezug, EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland (App. 22009/93), Rep. 1997-I, § 95. 182 Zu Recht weist Harden jedoch darauf hin, dass es zweifelhaft ist, ob die Bezugnahme auf die Datenschutz als generelle Ausweitung von Art. 8 EMRK und des Datenschutzes unter der Konvention verstanden werden kann oder ob die Aussage im Zusammenhang mit bestimmten – nämliche medizinischen – Informationen zu sehen ist. Harden, Queen’s Papers on Europeanisation No 9/2002, S. 13. 183 Siehe zu diesem Begriff Art. 2 lit. b Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privat-

A. Datenschutz durch Art. 8 EMRK

101

werden (metering; comptage), die der Betreiber des Telefonnetzes zu Abrechnungszwecken bereithält. Hinsichtlich des Abhörens von Telefongesprächen hatte der Gerichtshof bereits im Urteil Klass festgestellt, dass Gespräche den Begriffen „Privatleben“ und „Briefverkehr“ unterfallen und der Anwendungsbereich von Art. 8 Abs. 1 EMRK damit eröffnet ist. Auch im Urteil Malone erklärt der Gerichtshof den Schutzbereich des Rechts auf Privatlebens und des Briefverkehrs unproblematisch für eröffnet. Die Bestimmtheit, mit der der Gerichtshof diesen kombinierten Schutzbereich annimmt, spricht dafür, dass er hinsichtlich der Beurteilung der Telekommunikation unter Art. 8 Abs. 1 EMRK andere Maßstäbe anlegt, eine genaue Subsumtion unter den Begriff des Privatlebens aufgrund des Zusammenhangs zum Briefverkehr also nicht erforderlich ist.184 Dies stellt der Gerichtshof im Fall Halford gegen Vereinigtes Königreich185 unter Verweis auf die Fälle Klass, Malone, Huvig und mutatis mutandis den Fall Niemietz noch einmal klar: „In the Court’s view, it is clear from its case-law that telephone calls made from business premises as well as from the home may be covered by the notions of ‚private life‘ and ‚correspondence‘ within the meaning of Article 8 para. 1.“186

Auch wenn diese Aussagen des Gerichts nur die Abhörtätigkeit als solche betreffen, sind sie auch bei der Beurteilung der Speicherung der so erlangten Daten zu beachten. So stellte bereits Richter Pettiti fest, dass man das Problem des Abhörens nicht von dem der Datenbanken trennen könne, weil das Abhören für das Aufnehmen und Speichern der gewonnenen Informationen Raum biete.187 Folglich kann man davon ausgehen, dass Daten, die durch das Abhören erhoben werden, das Privatleben und die Korrespondenz betreffen und daher in den Anwendungsbereich von Art. 8 Abs. 1 EMRK fallen.188 sphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), Abl. L 201/37. 184 Vgl. auch Sudre, in: Sudre u. a. (Hg.), Les grands arrêts de la Cour européenne des Droits de L’Homme, S. 320. 185 EGMR, Urteil vom 25. Juni 1997, Halford ./. Vereinigtes Königreich, (App. 20605/92), Reports 1997-III, S. 1016. 186 EGMR, Urteil vom 25. Juni 1997, Halford ./. Vereinigtes Königreich, (App. 20605/92), Reports 1997-III, S. 1016, § 44; ebenso auch EGMR, Urteil vom 15. März 1998, Kopp ./. Schweiz, (App. 23224/94), Reports 1998 II. 187 Zustimmende Meinung des Richters Pettiti in: EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, Serie A, 82, (EuGRZ 1985, S. 25). 188 Unklar ist insoweit die Vorgehensweise des Gerichthofes im Fall Amann, in dem der Gerichtshof die Anwendbarkeit von Art. 8 Abs. 1 EMRK danach beurteilte, ob Informationen, die durch das Abhören von Telefongesprächen erlangt worden waren, das Privatleben betreffen. Allerdings ging es in dem Fall nicht um die Erhebung sondern um die Speicherung von Daten. In den Augen des Gerichts ist es un-

102

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Schwieriger gestaltet sich jedoch die Frage nach der Eröffnung des Anwendungsbereichs des Art. 8 Abs. 1 EMRK bei der Verwendung von Verkehrsdaten durch die Behörden. Im Fall Malone hatte der Beschwerdeführer unter anderem einen Eingriff in Art. 8 EMRK durch die Verwendung dieser Daten gerügt. Hinsichtlich der verwendeten Technik stellte die Kommission in ihrem Bericht zunächst fest, dass das von der Post zu Abrechnungszwecken betriebene Erfassungssystem (metering system) in der Lage ist, alle auf einem bestimmten Apparat empfangenen Gespräche zu speichern. Dabei würden jedoch lediglich die zur Post gesendeten Signale verwendet, vom Inhalt der Gespräche werde hingegen keine Kenntnis genommen.189 Die Kommission lehnt einen Eingriff in Art. 8 EMRK zwar ab, da sie die Weitergabe der Verbindungsdaten an die Polizei als nicht hinreichend bewiesen ansah, stellte aber fest: „[. . .] there appears nothing in United Kingdom law to prevent information so obtained from being passed by the Post Office to the police. In the Commission’s view, an issue would arise under Article 8 if it were shown that this happened in practice.“190

Daraus wird deutlich, dass die Kommission grundsätzlich geneigt ist, auch hinsichtlich der Weitergabe der Verkehrsdaten den Anwendungsbereich für eröffnet zu betrachten.191 erheblich, auf welche Art und Weise die Daten beschafft worden waren. Es wendet daher den Leander-Grundsatz an. EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 65. 189 EKMR, Bericht vom 17. Dezember 1982, Malone ./. Vereinigtes Königreich (App. 8691/79), Serie B 67, S. 18. 190 EKMR, Bericht vom 17. Dezember 1982, Malone ./. Vereinigtes Königreich (App. 8691/79), Serie B 67, S. 55. 191 Jedoch gehen zwei abweichende Meinungen in diesem Punkt über die von der Mehrheit der Kommissionsmitglieder vertretenen Auffassung hinaus. Aufgrund der generellen Beweisschwierigkeiten sieht Kommissionsmitglied Opsahl etwa in den fehlenden Schutzvorrichtungen gegen Missbrauch der Verkehrsdaten eine Missachtung der Pflicht des Staates, die Rechte in Art. 8 Abs. 1 EMRK zu sichern. Seiner Auffassung nach könne dies dazu führen, dass der Staat seine Verpflichtungen aus der Konvention verletzt, ohne dabei jedoch die Rechte eines Individuums zu missachten. (Seperate Opinion by Mr. Opsahl under Art. 8 of the Convention in relation to the question of telephone „metering“, Serie B 67 S. 58); Die Kommissionsmitglieder Melchior, Tenekides und Weitzel weisen darauf hin, dass es gerade Sinn und Zweck von geheimen Überwachungsmaßnahmen sei, dass die Betroffenen hiervon keine Kenntnis hätten und deren Durchführung daher naturgemäß schwer zu beweisen sei. Auch wenn solche Maßnahmen grundsätzlich unter Art. 8 Abs. 2 EMRK gerechtfertigt sein könnten, kommen sie zu dem Schluss, dass die Voraussetzungen im vorliegenden Fall nicht gegeben seien und somit eine Verletzung des Art. 8 EMRK vorliege. (Dissenting Opinion of Mr. Melchior, with which Messrs. Tenekides and Weitzel concurred, on Article 8 of the Convention in Relation to the question of telephone „metering“, Serie B, S. 59.).

A. Datenschutz durch Art. 8 EMRK

103

In einer späteren Entscheidung erklärt die Kommission dann ausdrücklich: „The surveillance by criminal investigation authorities of communication by telephone, either by tapping and recording telephone conversations or by registering other data in this area by the use of surveillance devices, does therefore constitute an interference by a public authority with the exercise of a right guaranteed under Art. 8 (1) of the Convention.“192

Mithin bestehen hinsichtlich der Verarbeitung von Telekommunikationsdaten keine Schwierigkeiten, den Schutzbereich von Art. 8 Abs. 1 EMRK als betroffen anzusehen. (3) Entscheidungen der Kommission zur Erhebung, Verarbeitung und Speicherung von Daten Abgesehen von der Verwendung medizinischer oder Telekommunikationsdaten nahm der Gerichtshof zur Erhebung, Verarbeitung und Speicherung anderer Informationen nach dem Urteil Leander lange Zeit keine Stellung. Für die Frage der Vereinbarkeit solcher Maßnahmen mit dem Recht auf Achtung des Privatlebens blieb dieses Urteil daher bis auf weiteres die Leitentscheidung. Kurze Zeit später erweiterte das Urteil Niemietz den Begriff des Privatlebens. In der Folge lässt sich in der Rechtsprechung der Kommission eine Tendenz erkennen, sich von der Koppelung an des Privatleben zu lösen und datenschutzrechtlichen Aspekten mehr Gewicht zuzumessen. Während die frühen Entscheidungen mit datenschutzrechtlichem Bezug fast ausschließlich Informationen betrafen, die durch geheime Überwachungsmaßnahmen erlangt worden waren, hatten die Straßburger Organe nun zunehmend auch über die Verwendung offen erhobener Informationen zu entscheiden. (a) Lupker gegen die Niederlande Die nur wenige Tage vor dem Niemietz-Urteil ergangene Entscheidung Lupker gegen die Niederlande193 betraf Maßnahmen der niederländischen Polizei gegen eine Gruppe von Hausbesetzern. Da man die Besetzer nicht identifizieren konnte, hatte die Polizei ein Buch mit Fotos von Verdächtigen Personen zusammengestellt, um die Bilder in Geschäften herumzuzeigen und so deren Identität zu ermitteln. In dieser Sammlung befand sich auch 192

EKMR, Entscheidung vom 14. Januar 1998, T. D. ./. die Niederlande, (App. 33127/96). 193 EKRM, Entscheidung vom 7. Dezember 1992, Lupker ./. Niederlande, (App. 18395/91).

104

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

ein Foto der Beschwerdeführerin. Da die Fotos entweder aus Unterlagen der Führerschein- bzw. Passbehörde oder aus Polizeiakten stammten, sah sich diese in ihrem Recht aus Art. 8 EMRK verletzt. Mit ihrer Beschwerde wandte sie sich gegen die Verwendung des Buches zu Ermittlungszwecken ohne ihre Zustimmung. Die Kommission stellte fest, dass die Aufnahmen nicht in einer die Privatsphäre der Beschwerdeführerin verletzenden Art und Weise aufgenommen worden waren, sie mit dem Willen des Betroffenen zu den Unterlagen der Behörde gelangt waren und darüber hinaus ausschließlich zu Identifizierung von Straftätern verwendet und nicht der allgemeinen Öffentlichkeit zur Verfügung gestellt wurden.194 Im Ergebnis lehnt sie daher eine Beeinträchtigung des Rechts auf Privatleben ab. Die Merkmale, die die Kommission zur Beurteilung einer Beeinträchtigung von Art. 8 EMRK heranzieht, unterscheiden sich damit nur geringfügig von denen im Fall X. gegen Vereinigtes Königreich195. Zwar handelte es sich im vorliegenden Fall nicht um Fotos einer öffentlichen Veranstaltung, dem setzt die Kommission jedoch die Tatsache gleich, dass die Beschwerdeführerin die Fotos den Behörden freiwillig ausgehändigt hatte. Demnach lassen nicht nur ein Bezug des Inhalts der Bilder zur Öffentlichkeit, sondern auch die willentliche Weitergabe der Bilder den Zusammenhang zum Privatleben entfallen. (b) Friedl gegen Österreich Ein ähnlicher Sachverhalt lag dem Fall Friedl gegen Österreich196 zugrunde, jedoch beurteilte die Kommission die offene Erhebung visueller Daten hier anders. Der Beschwerdeführer war während einer Demonstration zunächst fotografiert worden, anschließend hatte man seine Personalien aufgenommen. Gegenüber der Kommission hatte die Regierung versichert, dass die auf den Fotografien abgebildeten Personen anonym geblieben und die Fotos und die Daten nicht elektronisch verarbeitet worden waren. Auch sei nicht versucht worden, die Personen mit Mitteln der Datenverarbeitung zu identifizieren. 194 Die gleichen Kriterien finden sich auch in EKMR, Entscheidung vom 29. November 1993, Doorson ./. die Niederlande, (App. 20524/92). 195 EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook 1973, S. 328. 196 EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich (App. 15225/89). Der Beschwerdeführer war während einer Demonstration fotografiert worden und man hatte seine Personalien aufgenommen. Die Regierung versicherte, dass die auf den Fotografien abgebildeten Personen anonym blieben, die Fotos und die Daten nicht elektronisch verarbeitet wurden und nicht versucht wurde, die Personen mit Mitteln der Datenverarbeitung zu identifizieren.

A. Datenschutz durch Art. 8 EMRK

105

Wie schon im Fall Lupker verwendet die Kommission einen Katalog von Kriterien, die sie für einen Zusammenhang mit dem Recht auf Privatleben für maßgeblich erachtet. Neben der Frage einer Verletzung des „inner circle“ des Privatlebens im Sinne eines Eindringens der Behörden in seine Wohnung sind dies die Umstände, unter denen die Aufnahme gemacht wurde, der damit verfolgte Zweck sowie der Umgang mit den so erlangten Informationen. Anders aber als in früheren Entscheidungen hält die Kommission allein die Tatsache, dass die Aufnahmen sich auf eine öffentliche Veranstaltung bezogen und nur dazu dienten, die aktuelle Situation festzuhalten noch nicht für ausreichend, um einen Eingriff in den Schutzbereich von Art. 8 abzulehnen. Dennoch stellt sie im Ergebnis keinen Eingriff in Art. 8 EMRK fest. Dies liegt vor allem darin begründet, dass sie dem Vortrag der Regierung zur Anonymität der abgebildeten Personen, der elektronischen Verarbeitung und ihrer Identifizierung besonderes Gewicht zumisst.197 Damit zeigt sich im Vergleich zum Fall Lupker und anderen ähnlich gelagerten Fällen198 eine Fortentwicklung des Schutzes personenbezogener Daten. Wenn die Kommission betont, dass ein Eingriff in Art. 8 Abs. 1 EMRK insbesondere deshalb nicht anzunehmen sei, weil keine nachfolgende Verarbeitung der Daten – auch nicht zum Zweck der Identifizierung – stattgefunden habe, bedeutet dies im Umkehrschluss, dass sie nunmehr generell jegliche Form der Datenverarbeitung als geeignet ansieht, das Recht auf Achtung des Privatlebens zu verletzen. Es hat den Anschein, als führe sie daher eine weitere Vorraussetzung ein, um den Zusammenhang mit dem Privatleben abzulehnen: Eine Nutzung und Weiterverarbeitung der Daten darf nicht erfolgen. Damit misst die Kommission internen Prozessen, nämlich der Verarbeitung und Speicherung der Daten, erstmals größeres Gewicht zu. Die ausführliche Erörterung des Eingriffs in das Privatleben durch das Fotografieren steht in auffälligem Kontrast zu den dann folgenden Ausführungen der Kommission. Hinsichtlich der Ermittlung der Identität des Betroffenen und der Speicherung seiner persönlichen Daten stellt sie lediglich kurz fest, dass die Vernehmung und die anschließende Speicherung der Daten, obwohl sie während einer öffentlichen Veranstaltung vorgenommen worden waren, einen engen Bezug zum Privatleben des Betroffenen aufwiesen und daher einen Eingriff in das Privatleben darstellten.199 Da eine Ver197 EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich, (App. 15225/89), §§ 49, 50. 198 EKMR, Entscheidung vom 7. Dezember 1992, Lupker ./. Niederlande, (App. 18395/91); EKMR, Entscheidung vom 12. Oktober 1973, X. ./. Vereinigtes Königreich, (App. 5877/72), Yearbook XVI (1973), S. 328. 199 EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich, (App. 15225/89), § 52.

106

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

nehmung des Betroffenen stattgefunden habe, könne man davon ausgehen, dass es sich bei den gespeicherten Daten um „Informationen über Handlungen, Verhalten und Persönlichkeit“200 des Betroffenen handelte. Dennoch verzichtet die Kommission darauf, dies explizit festzustellen, was darauf hindeutet, dass sie ihre in Leander aufgestellten Kriterien eher großzügig und somit datenschutzfreundlich interpretiert. Einen Eingriff in Art. 8 Abs. 1 EMRK nimmt sie an, sofern ein Anhaltspunkt dafür besteht, dass mehr als nur der Name und die Anschrift des Betroffenen gespeichert wird. Insgesamt gewinnt man bei Betrachtung der Entscheidung Friedl den Eindruck, dass die Kommission nunmehr die Beeinträchtigungen, die durch die spätere automatische Verarbeitung von Daten für die Rechte des Einzelnen entstehen können, bei ihren Entscheidungen mit berücksichtigt. Auch hier zeigen sich die Auswirkungen des Niemietz-Urteils. Während nach dem zum Zeitpunkt der Entscheidung X. gegen Vereinigtes Königreich201 vorherrschenden Verständnis ein behördeninterner Vorgang – wie die Aufbewahrung von ursprünglich öffentlich frei verfügbaren Informationen zum Zwecke der Identifizierung der Betroffenen – in anderen Fällen unter dem Aspekt des Privatlebens unbeachtlich war, konnte die Kommission diese Position später nicht ohne weiteres aufrechterhalten und war folglich gezwungen, ihre Rechtsprechung anzupassen und weitere Kriterien zur Einordnung unter das Recht auf Privatleben zu entwickeln. (c) Campion gegen Frankreich Die Anpassung an die Fortentwicklung der Rechtsprechung zum Recht auf Privatleben verlief jedoch nicht problemlos. Dies zeigt sich in einem Fall, in dem überprüft wurde, ob das Fotografieren in einer Radarfalle mit Art. 8 EMRK vereinbar ist.202 Bei der Untersuchung der Frage, ob das Anfertigen der Aufnahmen, die den Fahrer am Steuer seines PKW zeigen, einen Eingriff in das Privatleben bedeutet, stellte die Kommission zunächst fest, dass sich der Beschwerdeführer zum Zeitpunkt der Aufnahme auf einer öffentlichen Straße befand. Dabei hielt sie es für unbeachtlich, dass es möglich war, ihn anhand des Kennzeichens des Fahrzeugs zu identifizieren. Entscheidend sei vielmehr, dass die Aufnahme weder veröffentlicht noch für andere Zwecke verwendet wurde.203 200 So die Formulierung der EKMR, Bericht vom 17. Mai 1985, Leander ./. Schweden, (App. 9248/81), Serie B 99, § 56. 201 EKMR, Entscheidung vom 12. Oktober 1973, X ./. Vereinigtes Königreich, (App. 5877/72), Yearbook 1973, S. 328. 202 EKMR, Entscheidung vom 6. September 1995, Arnaud Campion ./. Frankreich (App. 25547/94).

A. Datenschutz durch Art. 8 EMRK

107

Mithin wendet die Kommission die gleichen Kriterien wie im Fall Friedl an, wobei sie jedoch übersah, dass dieser Fall anders gelagert war. Im Fall Friedel konnte man argumentieren, dass durch das Fotografieren des Betroffenen bei Handlungen in der Öffentlichkeit der Anwendungsbereich des Rechts auf Privatleben noch nicht eröffnet war und es daher entscheidend auf die nachfolgende Verwendung der Aufnahmen ankam. Im Fall Campion zeigten die Aufnahmen hingegen den Betroffenen zusammen mit einem Nummernschild – und somit nicht lediglich eine unbekannte Person in der Öffentlichkeit, sondern eine anhand des Kennzeichens jederzeit zu identifizierende Person. Obwohl die Kommission bei der Ermittlung des Bezugs zum Privatleben neben dem rein räumlichen Kriterium der Öffentlichkeit auch die nachfolgende Verwertung der Informationen berücksichtigt, erscheint es im Ergebnis unter datenschutzrechtlichen Aspekten nicht angemessen, einen solchen Fall aus dem Anwendungsbereich des Art. 8 Abs. 1 EMRK auszuschließen. (d) Tsavachidis gegen Griechenland Gegenstand der Entscheidung Tsavachidis204 waren erneut geheime Überwachungsmaßnahmen. Der Beschwerdeführer, ein Zeuge Jehovas, hatte eine umfassende Überwachung durch den griechischen Geheimdienst wegen seiner religiösen Tätigkeiten gerügt. Die Kommission präzisiert zunächst ihre Aussage im Fall Friedl und hält fest, dass allein die Tatsache, dass eine Tätigkeit in der Öffentlichkeit stattfindet oder kein Interesse an ihrer Geheimhaltung besteht, diese nicht aus dem Bereich des Privatlebens herausfallen lässt. Vielmehr müsse die Frage, ob eine in der Öffentlichkeit vorgenommene Handlung vom Konzept des Privatlebens erfasst werde, aufgrund der Art der Handlung beurteilt werden. Daher würden unter Umständen öffentliche Auftritte bekannter Persönlichkeiten nicht vom Schutzbereich des Art. 8 Abs. 1 EMRK erfasst, während die Beobachtung von in der Öffentlichkeit durchgeführten privaten Aktivitäten eines Einzelnen, sowie die Speicherung und Verarbeitung derart erlangter Informationen einen Eingriff darstellen könnten.205 Anschließend stellt die Kommission fest, dass die gesammelten Informationen unter anderem den Glauben des Be203

„[L]a Commission relève que la photographie dont se plaint le requérant a été prise sur la voie publique, alors qu’il circulait en voiture, dans un but de preuve et d’identification. Rien n’indique que la photographie ait été portée à la connaissance du public ni utilisée à d’autres fins que celle des poursuites dont le requérant a fait l’objet.“ EKMR, Entscheidung vom 6. September 1995, Arnaud Campion ./. Frankreich (App. 25547/94). 204 EKMR, Bericht vom 28. Oktober 1997, Gabriel Tsavachidis ./. Griechenland, (App. 28802/95).

108

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

schwerdeführers sowie seine Rolle in der religiösen Bewegung und daher das Privatleben beträfen und darüber hinaus auch das Ergebnis einer geplanten Überwachungsaktion (watching) seines Lebens gewesen seien.206 Im Ergebnis bejaht sie daher einen Eingriff in das Recht auf Privatleben.207 (e) Herbecq gegen Belgien Wiederum die offene visuelle Überwachung betraf der Fall Herbecq gegen Belgien.208 Die im Fall Friedl erkennbare Tendenz zur behutsamen Ausweitung des Anwendungsbereiches des Art. 8 Abs. 1 EMRK bestätigt sich hier jedoch zunächst nicht. Da die Videoüberwachung im belgischen Recht nicht geregelt war, machte der Beschwerdeführer geltend, dass er jederzeit ohne sein Wissen überwacht werden könne und daher in seinem Recht auf Privatleben verletzt sei. Die Kommission wies die Beschwerde als offensichtlich unbegründet zurück, stellte in ihrer Begründung aber klar: 205 EKMR, Bericht vom 28. Oktober 1997, Gabriel Tsavachidis ./. Griechenland, (App. 28802/95), § 47, „[I]t follows that the fact that an activity of an individual occurs in a public place or is not intended to be kept secret does not necessarily make such an activity a matter outside the notion of private life in Art. 8 para. 1 of the Convention. Whether such an activity falls within the concept of private life or not must be judged on the basis of the nature of the activity itself. Thus, while Article 8 para. 1 of the Convention might not protect public appearances of well known figures which are intended to attract attention, the right to respect for private life would be interfered with if State agents were to follow the personal activities which an individual conducts in the open, record them and/or keep all relevant information.“. 206 „[T]he report contains a collection of information about the applicant’s personal life, such as his religious beliefs, his position within a religious movement, premises over which he exercised control and the activities therein. The Commission considers that there can be no doubt that the collection of this was the result of an organised operation of surveillance – ‚watching‘- of the applicant’s life mounted by a State authority. It follows that there was an interference with the applicant’s right to respect for his private life.“ EKMR, Bericht vom 28. Oktober 1997, Gabriel Tsavachidis ./. Griechenland, (App. 28802/95), § 48. 207 Anders jedoch die Kommissionsmitglieder Herndl, Conforti und Bîrsan in ihrer teils zustimmenden meist aber abweichenden Meinung, die auf die freie Zugänglichkeit der Informationen abstellen und keine Verletzung von Art. 8 EMRK sehen. „While the report mentions the applicant’s name, gives some particulars about a religious movement and contains some details on the premises in the city of Kilkis, over which the movement and the applicant exercised control, and the activities which took place there, this information was by its very nature potentially accessible to everybody. It was, as we have already said, more or less in the public domain. In our view it follows that this information did not belong to the ‚private‘ sphere and, as a result, the collection and putting on paper of this type of information could not amount to an interference with the applicant’s rights under Art. 8 of the Convention.“ 208 EKMR, vom 14. Januar 1998, Herbecq ./. Belgien (App. 32201/98).

A. Datenschutz durch Art. 8 EMRK

109

„Les faits susceptibles d’être observés ne peuvent donc essentiellement être que des comportements publics. Le requérant n’a pas non plus démontré de manière plausible que des comportements privés commis en public auraient pu faire l’objet d’une quelconque surveillance.“209

Nachdem man die Kommissionsentscheidung im Fall Friedl noch so verstehen konnte, dass unabhängig von der Art der in der Öffentlichkeit vorgenommenen Handlung ein Eingriff in das Recht auf Privatleben grundsätzlich dann bejaht werden kann, wenn Informationen über diese Handlung anschließend einem elektronischen Datenverarbeitungssystem zugeführt wurden, lässt sich eine solche Interpretation nach der Entscheidung Herbecq wohl kaum aufrechterhalten. Neben der Verarbeitung und Speicherung kommt es, wie die Betonung von „private Aktivitäten“ (comportements privés) zeigt, entscheidend auf einen Bezug zum Privatleben an. (f) Bewertung Festzuhalten ist zunächst, dass visuelle Informationen durchaus vom Recht auf Achtung auf Privatleben erfasst werden; sie werden ebenso behandelt wie jegliche andere Art von Informationen. Insofern verwundert es nicht, dass die Kommission – in entsprechender Anwendung der Grundsätze aus dem Urteil Leander – den Bezug zum Privatleben meist über den Inhalt der Abbildungen herzustellen versucht. Dies führt zu langen Begründungsketten. Legt man die von den Straßburger Organen in der Rechtssache Leander entwickelten Kriterien zugrunde, hängt die Frage, ob durch die Fotografien eine Beeinträchtigung der Rechte aus Art. 8 Abs. 1 EMRK erfolgt, vom Inhalt der Fotografien ab. Soweit die Aufnahmen die betroffenen Personen aber in der Öffentlichkeit zeigten, ist der Anwendungsbereich des Rechts auf Privatleben nicht ohne weiteres eröffnet. In der Folge des Niemietz-Urteils finden sich dann in der Entscheidung Friedl zunächst Anzeichen für eine Ausweitung des Rechts auf Achtung des Privatlebens im Zusammenhang mit personenbezogenen Daten. Bemerkenswert ist jedoch, dass die Kommission in den dann folgenden Fällen zu ihrer ursprünglichen Linie zurückkehrt. Obwohl die Niemietz-Entscheidung eine großzügigere Interpretation des Privatlebens ermöglicht, orientiert sie sich also weiterhin an den Vorgaben durch den Fall Leander. So betont sie in den Entscheidung Tsavachidis und Herbecq, dass die jeweilige in der Öffentlichkeit vorgenommene Handlung privater Natur sein muss und hält folglich daran fest, dass der Inhalt der Informationen (bei visuellen Daten also die abgebildete Handlung) einen Bezug zum Privatleben aufweisen muss. Allerdings lassen sich Anhaltspunkte dafür, wann eine in der Öffent209

EKMR, vom 14. Januar 1998, Herbecq ./. Belgien (App. 32201/98).

110

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

lichkeit vorgenommene Handlung privater Natur ist, in den Begründungen der Kommission nur schwerlich finden. Indem sie lediglich an die Art der Handlung anknüpft, übersieht die Kommission außerdem, dass auch die Erwartungen, die der Einzelne hinsichtlich der Berücksichtigung seiner Privatsphäre hat, durchaus beachtenswert sein können.210 Es erscheint daher fragwürdig, ob der über den Inhalt hergestellte Bezug der Daten zum Privatleben weiterhin alleiniges Kriterium für eine Anwendung des Art. 8 EMRK sein kann.211 Vielmehr stellt sich erneut die Frage, ob eine fehlende unmittelbare Verbindung zum Privatleben, also ein Mangel in der Qualität der Daten, durch eine bestimmte Quantität oder die Formen der Verarbeitung ausgeglichen werden kann. (4) Erhebung, Verarbeitung und Speicherung von Daten in der Rechtsprechung des Gerichtshofes Abgesehen von den medizinische Daten betreffenden Fällen, bot sich dem Gerichtshof lange Zeit keine Gelegenheit, zu der Erhebung, Verarbeitung und Speicherung persönlicher Daten im Rahmen des Art. 8 EMRK Stellung zu nehmen. Als der EGMR schließlich doch aufgefordert war, sich mit der Vereinbarkeit solcher – meist geheim durchgeführter – Maßnahmen mit der Konvention zu beschäftigen, nutzte er dies für eine bemerkenswerte Fortbildung seiner Rechtsprechung. (a) Amann gegen die Schweiz Das erste Urteil in dieser Reihe ist Amann gegen die Schweiz.212 Ein Aspekt des Falls betraf die Aufnahme persönlicher Daten in ein Sicherheitsregister. Der Beschwerdeführer, ein Schweizer Geschäftsmann, importierte Enthaarungsgeräte in die Schweiz und veröffentlichte Werbeanzeigen in Magazinen. Als eine Kundin aus der damaligen sowjetischen Botschaft in Bern telefonisch ein Gerät bestellte, wurde der Anruf vom Polizeidienst der Bundesanwaltschaft abgehört. Nachdem der polizeiliche Geheimdienst Erkundigungen eingeholt hatte, legte die Bundesanwaltschaft eine Karteikarte für das Sicherheitskartenregister über den Beschwerdeführer an, in der Herr Amann als Kontaktperson zur sowjetischen Botschaft bezeichnet wurde. 210 Kritisch auch de Schutter, Rev. trim. dr. h. 2001, S. 137 (157), der hier einen Anwendungsbereich für das in der US-amerikanischen Rechtsprechung anerkannte Prinzip der „legitimate expectation of privacy“ sieht. 211 Eine Lockerung dieses Kriteriums fordert auch Cameron, National Security and Human Rights, S. 185. 212 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz (App. 27798/95), Reports 2000-II.

A. Datenschutz durch Art. 8 EMRK

111

Nachdem im Jahr 1990 die Schweizer Öffentlichkeit über die Existenz des Sicherheitsregisters informiert worden war, ersuchte unter anderem der Beschwerdeführer um Einsichtnahme in die Karteikarte. Als ihm daraufhin eine Kopie seiner Karte übermittelt wurde, auf der jedoch zwei Textpassagen geschwärzt worden waren, bemühte er sich vergeblich um Offenlegung des ungeschwärzten Dokuments. Vor dem EGMR macht der Beschwerdeführer geltend, dass das Abhören des Telefonats sowie das Anlegen und das Führen einer Karteikarte im nationalen Sicherheitsregister sein Recht auf Privatleben aus Art. 8 EMRK verletze. Bei der Frage nach einem Eingriff in den Schutzbereich von Art. 8 EMRK nimmt der Gerichtshof zunächst Bezug auf seine Entscheidungen in den Sachen Leander und Niemietz und stellt allgemein fest, dass die Speicherung von Daten, die das Privatleben betreffen, in den Anwendungsbereich des Art. 8 Abs. 1 EMRK fallen und dass vom Begriff des Privatlebens auch berufliche Tätigkeiten erfasst werden können. Richtungweisend sind die dann folgenden Ausführungen, in denen das Gericht auf die Datenschutzkonvention des Europarates verweist. Durch deren Vorschriften sieht er seine durch die vorgenannten Urteile begründete weite Auslegung des Begriffs des Privatlebens im Zusammenhang mit persönlichen Daten bestätigt. Schließlich sei es Zweck der Konvention „im Hoheitsgebiet jeder Vertragspartei [. . .] sicherzustellen, dass [die Rechte des Einzelnen] und Grundfreiheiten, insbesondere sein Recht auf Achtung des Persönlichkeitsbereichs, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden“ (Art. 1) und zu diesen personenbezogenen Daten zählten auch „jede zur automatischen Verarbeitung erfasste Gesamtheit von Informationen“.213 Die auf der Karteikarte vermerkten Informationen, „A identified as a contact with the Russian embassy“ und „A does business of various kinds with the A. company“214 beträfen unzweifelhaft das Privatleben des Beschwerdeführers, und Art. 8 EMRK sei daher anwendbar.215 213 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz (App. 27798/95), Reports 2000-II, § 65; „The broad interpretation corresponds with that of the Council of Europe’s Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data, [. . .] whose purpose is ‚to secure in the territory of each Party for every individual [. . .] respect for his rights and fundamental freedoms, and in particular his right to privacy, with regard to automatic processing of personal data relating to him‘ (Article 1), such personal data being defined as ‚any information relating to an identified or identifiable individual‘ (Article 2).“ EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz (App. 27798/95), Reports 2000-II, § 66. 214 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz (App. 27798/95), Reports 2000-II, § 67.

112

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Streng genommen bestätigt die Entscheidung Amann lediglich die vorangegangene Rechtsprechung und bringt zunächst keine entscheidende Ausweitung des Schutzbereiches des Art. 8 Abs. 1 EMRK. Durch den Verweis auf die Datenschutzkonvention demonstriert der Gerichtshof aber, dass eine weite Auslegung des Schutzbereichs, die das Niemietz-Urteil ermöglicht hatte, mit anerkannten datenschutzrechtlichen Prinzipien übereinstimmt und daher auch in diesem konkreten Fall zulässig ist. Gleichwohl bedeutet dies nicht, dass das Gericht sich zugleich auch die Definitionen der Datenschutzkonvention inhaltlich zu eigen macht. Dennoch ist das Urteil im Fall Amann von herausragender Bedeutung. Obwohl der Gerichtshof auf die Datenschutzkonvention bereits in einem früheren Urteil Bezug genommen hatte,216 verweist er erstmalig schon in der materiellen Prüfung auf ein datenschutzrechtliches Instrument außerhalb des Kontextes der Menschenrechtskonvention. Zwar hatte Richter Pettiti bereits im Jahr 1984 in seiner abweichenden Meinung zum Urteil Malone gefordert, die Regelungen der Datenschutzkonvention als Maßstab für den Umgang mit personenbezogenen Daten unter der EMRK heranzuziehen,217 jedoch geht das Gericht erst jetzt, über 15 Jahre später, auf diesen Vorschlag ein. Zudem handelt es sich bei dem Urteil nicht um eine vereinzelte Entscheidung. Es bildet lediglich den Ausgangspunkt für eine rasante Weiterentwicklung des Datenschutzes unter Art. 8 EMRK. (b) Rotaru gegen Rumänien Nur wenige Monate später erging ein weiteres wichtiges datenschutzrechtliches Urteil des EGMR. Im Fall Rotaru gegen Rumänien218 machte der Beschwerdeführer Rotaru Rechte, die nach rumänischem Recht Verfolgten des kommunistischen Regimes zukommen, vor einem nationalen Gericht geltend. Gegenstand der Beweisführung in diesem Verfahren waren politische Aktivitäten des Beschwerdeführers betreffende Informationen, die ursprünglich aus Archiven des ehemaligen rumänischen Sicherheitsdienstes Securitate stammten und später in den Besitz des heutigen Geheimdienstes übergegangen waren. Obwohl sich diese geheimdienstlichen Informationen letztendlich als falsch herausstellten, waren Klagen gegen ihre Verwendung vor den nationalen Gerichten nur bedingt erfolgreich gewesen. In seiner Be215 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz (App. 27798/95), Reports 2000-II, § 67. 216 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Reports 1997 – I, S. 322. 217 Vgl. Teil 2, A.I.2.b)aa)(5). 218 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V.

A. Datenschutz durch Art. 8 EMRK

113

schwerde vor dem EGMR machte der Beschwerdeführer unter anderem auch eine Verletzung von Art. 8 EMRK geltend, da der Geheimdienst sein Privatleben betreffende falsche Informationen weiterhin verwahrte und jederzeit verwenden konnte. In dem Verfahren vor dem Straßburger Gericht brachte die rumänische Regierung zunächst vor, dass der Beschwerdeführer durch seine politischen Aktivitäten konkludent auf sein Recht auf „Anonymität“, das dem Recht auf Privatleben inhärent sei, verzichtet habe. Sowohl bei den Unterlagen, die auf Befragungen der Polizei beruhten, als auch bei den Strafakten handele es sich daher um öffentliche Informationen.219 Das Gericht folgt dieser Argumentation jedoch nicht. Statt dessen nimmt es in seiner Urteilsbegründung zunächst die Argumentation aus Amann wieder auf, durch die es die weite Auslegung des Begriffs des Privatlebens aus Niemietz durch die Datenschutzkonvention bestätigt sieht und führt diese dann sogar weiter: „Moreover public information can fall within the scope of private life where it is systematically collected and stored in files held by the authorities. That is all the truer where such information concerns a person’s distant past.“220

Der Gerichtshof greift damit den bereits von der Kommission in der Entscheidung Friedl angedeuteten, aber dann nicht mit aller Konsequenz weiterverfolgten Ansatz auf: Auch ursprünglich frei verfügbare und öffentlich zugängliche Informationen können unter gewissen Umständen vom Anwendungsbereich des Rechts auf Privatleben erfasst werden und zwar insbesondere dann, wenn sie systematisch gesammelt und gespeichert werden. Im Gegensatz zur Kommission hält der Gerichthof es dann für unwesentlich, ob diese Informationen zusätzlich in der Öffentlichkeit ausgeführte „private“ Handlungen betreffen. (c) P. G. und J. H. gegen das Vereinigte Königreich Im Urteil des Gerichtshofs in der Sache P. G. und J. H. gegen Vereinigtes Königreich221 knüpft der Gerichtshof an die in Amann und Rotaru ge219 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 42; „By deciding to engage in political activities and have pamphlets published, the applicant had impliedly waived his right to the ‚anonymity‘ inherent in private life. As to his questioning by the police and his criminal record, they were public information.“ 220 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 43. 221 EGMR, Urteil vom 25. September 2001, P. G. and J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX.

114

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

troffenen Feststellungen an. Die britischen Behörden hatten den Hinweis erhalten, dass die Beschwerdeführer einen Überfall auf einen Geldtransporter planten. Daraufhin führten sie verschiedene Überwachungsmaßnahmen durch. Die Wohnung der Verdächtigen wurde visuell überwacht, versteckte Abhöreinrichtungen installiert und ein aufgeschlüsselter Verbindungsnachweis über die von dem Telefonanschluss geführten Gespräche bei der Telefongesellschaft angefordert. Um einen Stimmenvergleich durchführen zu können, wurden nach der Festnahme Gespräche der Beschwerdeführer in ihren Zellen abgehört und aufgezeichnet. Während die Überwachungsmaßnahmen in der Wohnung der Verdächtigen unbestritten einen Eingriff in das Privatleben der Betroffenen darstellten, bezweifelte die britische Regierung dies hinsichtlich der Abhörmaßnahmen im Polizeigebäude. Ihrer Auffassung nach sollten durch die Aufnahmen keine privaten oder sonst in irgendeiner Form bedeutsamen Informationen gewonnen werden. Die akustische Qualität der Stimme sei aber nicht dem Privatleben zuzuordnen, sondern vielmehr ein öffentliches (allgemeines), äußerliches Merkmal. Insbesondere hätten die Beschwerdeführer in dieser Situation nicht erwarten können, dass man ihnen eine Privatsphäre zubilligt.222 Dieser Argumentation folgt der Gerichtshof jedoch nicht. Er verweist auf die Rechtsprechung in Niemietz, Friedl und Burkhartz223 und kommt zu dem Schluss, dass es auch im öffentlichen Kontext eine Sphäre geben könne, die in Bereich des Privatlebens falle: „There is therefore a zone of interaction of a person with others, even in a public context, which may fall within the scope of ‚private life‘. [. . .]“224 222 „[T]he use of listening devices in the cells and when the applicants were being charged did not disclose any interference, as these recordings were not made to obtain any private or substantive information. The aural quality of the applicant’s voices was not part of private life but was rather a public, external feature. [. . .] The applicants could have had no expectations of privacy in that context.“, EGMR, Urteil vom 25. September 2001, P. G. and J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX, § 54. 223 In diesem Fall ging es um das Recht, den eigenen Namen wählen zu können. Zu der Frage, ob dieses Recht in den Anwendungsbereich von Art. 8 EMRK fällt, nimmte der Gerichtshof Bezug auf seine Niemietz-Rechtsprechung und stellt fest: „Article 8 of the Convention does not contain any explicit provisions on names. As a means of personal identification and of linking to a family, a person’s name none the less concerns his or her private and family life. The fact that the society and the State have an interest in regulating the use of names does not exclude this, since these public-law aspects are compatible with private life conceived of as including, to a certain degree, the right to establish and develop relationships with other human beings, in professional or business contexts as in others.“ EGMR, Urteil vom 22. Februar 1994, Burghartz ./. Schweiz, (App. 16213/90), Serie A, 280-B, § 24.

A. Datenschutz durch Art. 8 EMRK

115

Jedoch existiert in den Augen des Gerichts kein eindeutiges Kriterium für die Beantwortung der Frage, wann eine solche Interaktion mit anderen Menschen vom Recht auf Privatleben geschützt wird. Vielmehr seien bei der Beurteilung eine Reihe von Faktoren zu berücksichtigen. An dieser Stelle greift der Gerichtshof das von der Regierung vorgebrachte Argument auf und bestätigt, dass die Erwartungen, die eine Person an die gewährleistete Privatsphäre stellt, ein wichtiger, wenn auch nicht allein ausschlaggebender Faktor sei. Schließlich begäben sich Menschen durchaus wissentlich oder sogar willentlich in Bereiche, über die auf allgemeine Weise berichtet wird oder die aufgezeichnet werden: „Since there are occasions where individuals knowingly or intentionally involve themselves in activities which are or may be reported in a public manner, a person’s reasonable expectations as to privacy may be a significant, though not necessarily conclusive factor.“

Auch wenn der Gerichthof es also nicht für ausgeschlossen hält, dass allein die Erwartungshaltung des Einzelnen hinsichtlich der Wahrung seiner Privatsphäre den Anwendungsbereich des Rechts auf Privatleben eröffnen kann, sieht er aber auch in diesem Fall die systematische oder dauerhafte Aufzeichnung als das letztlich entscheidende Element: „A person who walks down the street will, inevitably, be visible to any member of the public who is also present. Monitoring by technological means of the same public scene is of similar character. Private life considerations may arise however once any systematic or permanent record comes into existence of such material from the public domain“225

Nach diesem Verweis auf das Urteil Rotaru und damit zusammenhängend auch auf die Datenschutzkonvention, führt das Gericht das Urteil Amann an. Es betont, dass dort die Speicherung der Daten einen Eingriff in das Recht auf Privatleben darstellten, obwohl die Akten keine sensiblen Informationen enthielten und wohl auch niemals verwendet worden waren. Anschließend zieht der Gerichtshof weitere Parallelen zu bereits entschiedenen Fällen. So wird auf die Entscheidung der Kommission in Fall Friedl hingewiesen, in der man es für wichtig befand, dass die in der Öffentlichkeit aufgenommenen Fotos nicht zur Identifizierung verwendet wurden. Darüber hinaus habe das Gericht in einer Vielzahl von Entscheidungen festgestellt, dass das Mitschneiden von Telefongesprächen einen Eingriff in Art. 8 EMRK darstelle. Auch wenn das Gericht zugibt, dass es in diesen Fällen meist darauf ankam, Kenntnis vom Inhalt des Gesprächs zu erlangen, hält der EGMR es nicht für ausgeschlossen, dass eine Aufnahme zur Herstel224

EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./.Vereinigte Königreich, (App. 44787/98), Reports 2001-IX, § 56. 225 EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigte Königreich, (App. 44787/98), Reports 2001-IX, § 57.

116

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

lung von Stimmproben ebenfalls in den Anwendungsbereich des Rechts auf Privatleben fällt. „A permanent record has nonetheless been made of the person’s voice and it is subject to a process of analysis directly relevant to identifying that person in the context of other personal data. Though it is true that when being charged the applicants answered formal questions in a place where police officers were listening to them, the recording and analysis of their voices on this occasion must still be regarded as concerning the processing of personal data about the applicants.“226 [Hervorhebung durch den Verfasser].

Bemerkenswert ist vor allem aber die Schlussfolgerung des Gerichts: „The Court concludes therefore that the recording of the applicant’s voices [. . .] discloses an interference with their right to respect for private life within the meaning of Art. 8 § 1 of the Convention.“227

Erstmalig wird in einem Urteil des EGMR damit ein unmittelbarer Zusammenhang zwischen der Verarbeitung personenbezogener Daten und einem Eingriff in das Recht auf Privatleben hergestellt. Nicht mehr erforderlich ist die Herstellung eines Bezuges des Inhalts der Informationen zum Privatleben. Gleichzeitig wird deutlich, dass der seit Amann immer wiederkehrende Verweis auf Artikel 2 der Datenschutzkonvention nicht nur von deklaratorischer Bedeutung ist. Zwar beruft sich das Gericht an dieser Stelle nicht ausdrücklich auf diese Vorschrift, aber es subsumiert eindeutig unter deren Voraussetzungen: Die Tonaufnahmen werden in Verbindung mit anderen Daten unmittelbar zur Identifizierung verwendet. Daher handele es sich bei der Aufnahme und Analyse der Aufzeichnungen um die Verarbeitung personenbezogner Daten im Sinne von Art. 2 lit. a der Datenschutzkonvention. Darüber hinaus vermittelt der EGMR den Eindruck, als diene seine ausführliche Begründung des Vorliegens eines Eingriffs in Art. 8 EMRK nicht nur dazu, der Lösung des Falles dienliche Parallelen zu vorangegangenen Entscheidungen zu finden. Vielmehr hat es den Anschein, als bemühe er sich, seine Aussagen in Einklang zu früheren Urteilen und Kommissionsentscheidungen zu bringen. In den Augen des Gerichtshofes bedeutet die Anerkennung der systematischen bzw. dauerhaften Speicherung als Voraussetzung für einen Eingriff in das Recht auf Privatleben keine Abkehr von der bisherigen Praxis der Konventionsorgane, so dass eine ausdrückliche Änderung seiner Rechtsprechung nicht erforderlich ist. Dies zeigt, dass der Gerichtshof um ein stringentes Konzept bei der Bewertung von datenschutz226

EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigte Königreich, (App. 44787/98), Reports 2001-IX, § 60. 227 EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./.Vereinigte Königreich, (App. 44787/98), Reports 2001-IX, § 60.

A. Datenschutz durch Art. 8 EMRK

117

rechtlich relevanten Fällen bemüht ist und dass die Entwicklung des Datenschutzes unter Art. 8 EMRK mit diesen Urteilen gerade erst begonnen hat. (d) Peck gegen Vereinigtes Königreich Der Aspekt der Erwartungshaltung des Betroffenen hinsichtlich seiner Privatsphäre findet sich auch in dem ersten Urteil des Gerichts zu Überwachungsmaßnahmen wieder, die nicht heimlich sondern in aller Öffentlichkeit durchgeführt wurden. Im Fall Peck gegen Vereinigtes Königreich228 ging es um die Weitergabe und Veröffentlichung von Filmmaterial aus einer öffentlichen Überwachungskamera. Der Beschwerdeführer hatte nachts auf offener Straße versucht, sich mit einem Küchenmesser die Pulsadern aufzuschneiden. Kurz zuvor war er, bereits mit dem Messer in der Hand, von einer Überwachungskamera aufgezeichnet worden; der Selbstmordversuch selbst wurde jedoch nicht gefilmt. Der Betreiber des Überwachungssystems veranlasste das Eingreifen der Polizei, woraufhin der Beschwerdeführer gerettet wurde. Das Filmmaterial wurde später im Fernsehen ausgestrahlt und die Standbilder veröffentlicht, wobei die Identität des Beschwerdeführers entweder gar nicht oder nicht in ausreichendem Maße unkenntlich gemacht wurde. In seiner Entscheidung bestätigt der Gerichthof zunächst seine Aussage in P. G. und J. H. gegen das Vereinigte Königreich und macht unmissverständlich deutlich, dass es prinzipiell unerheblich ist, ob die Daten Ergebnis geheimer oder offener Überwachungsmaßnahmen sind. Auch die offene Erhebung von visuellen Daten könne unproblematisch in den Anwendungsbereich von Art. 8 EMRK fallen, wenn Personen in der Öffentlichkeit entweder systematisch gefilmt oder die Aufnahmen dauerhaft gespeichert würden. Die Kernaussage des Falles ist jedoch ein andere. So weist Gericht darauf hin, dass es dem Beschwerdeführer in diesem Fall gerade nicht um die systematische oder dauerhafte Speicherung der Aufnahmen sondern um die Weitergabe der Daten an die Fernsehsender ging. Es nimmt daher Bezug auf die ähnlich gelagerten Fälle Lupker und Friedl und wendet anschließend die darin entwickelten Kriterien auf den vorliegenden Fall an. Auch in diesen Fällen ging es um mehr oder weniger „freiwillig“ zur Verfügung gestellte Bilder, die von den Behörden für andere Zwecke verwendet wurden. Da bei der Herstellung der Aufnahmen offenbar kein Eingriff in die häusliche Privatsphäre des Beschwerdeführers erfolgt war, beschäftigt sich das Gericht zunächst mit der Frage, wie der Inhalt der Aufnahmen zu beurteilen 228 EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98).

118

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

sei. Zwar habe sich der Beschwerdeführer auf einer öffentlichen Straße aufgehalten, da dies aber nicht im Zusammenhang mit einer öffentlichen Veranstaltung geschehen sei, könne er nicht als Person des öffentlichen Lebens bezeichnet werden. Weiterhin berücksichtigt das Gericht, dass der Vorgang nachts stattfand und sich der Beschwerdeführer in einem stark verwirrten Zustand befand. Als letztlich wohl ausschlaggebendes Argument sieht es aber die Verbreitung durch die Medien an. Insbesondere die Ausstrahlung durch das Fernsehen habe dazu geführt, dass der Beschwerdeführer der Beobachtung in sehr viel stärkerem Maße ausgesetzt war, als dies normalerweise durch Passanten oder die Sicherheitsüberwachung229 geschehen könne. Da dies für den Beschwerdeführer zum Zeitpunkt der Aufnahme in keiner Weise vorhersehbar war, kommt der Gerichtshof zu dem Ergebnis, dass durch die Veröffentlichung der Bilder in das Recht auf Privatleben eingegriffen wurde. (e) Perry gegen Vereinigtes Königreich Der Fall Perry230 betraf die heimliche Erstellung von Videoaufzeichnungen zum Zwecke der Identifikation. Der Beschwerdeführer war wegen des Verdachts, mehrere bewaffnete Raubüberfälle auf Taxifahrer begangen zu haben, festgenommen worden. Nachdem er einer Gegenüberstellung zur Identifikation zugestimmt hatte, setzte man ihn zunächst wieder auf freien Fuß. Noch bevor die Gegenüberstellung stattfinden konnte, beging er jedoch weitere Überfälle und entzog sich allen weiteren Versuchen der Polizei, ihn zu überführen. Nachdem er, schließlich in Untersuchungshaft befindlich, eine Gegenüberstellung erneut verweigert hatte, beschloss die Polizei, zur Identifizierung des Beschuldigten heimlich eine Videoaufzeichnung herzustellen. Nachdem dieses Vorhaben von der zuständigen Person genehmigt worden war, brachte man den Beschwerdeführer vom Gefängnis auf ein Polizeirevier. Er war darüber informiert worden, dass dies zum Zwecke der Identifizierung und weiterer Vernehmungen geschehen sollte. Beim Betreten des Polizeireviers war er von einer Überwachungskamera gefilmt worden, die man vorher so justiert hatte, dass der Beschwerdeführer gut darauf zu erkennen war. Nachdem der Beschwerdeführer eine Gegenüberstellung erneut verweigert hatte, griff die Polizei auf das Material der Überwachungskamera zurück, um seine Täterschaft nachzuweisen. Aufgrund des Videomaterials konnte er identifiziert werden und wurde in der Folge zu fünf Jahren Haft verurteilt. Als eine Berufung zum Court of Appeal und 229

Wie etwa im Fall Herbeq, siehe dazu Teil 2, A.I.2.b)cc)(3)(e). EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 63737/00). 230

A. Datenschutz durch Art. 8 EMRK

119

eine Nichtzulassungsbeschwerde zum House of Lords erfolglos blieb, legte Herr Perry Beschwerde vor dem EGMR ein. Er machte geltend, durch die Videoaufnahmen in seinem Recht auf Achtung des Privatlebens aus Art. 8 EMRK verletzt worden zu sein, da es sich bei dem Polizeigebäude nicht um einen öffentlichen Bereich handelte und die Aufnahme zudem keine Routineaufnahme war, weil man an der Kamera besondere Einstellungen vorgenommen hatte. Der Gerichtshof ordnet den Sachverhalt zunächst in seine bisherige Rechtsprechung ein. So bestätigt er unter anderem seine Aussage aus dem Fall Peck, dass in der Verwendung einer Überwachungskamera nicht per se eine Beeinträchtigung des Rechts auf Privatleben zu sehen ist.231 Anschließend stellt er jedoch fest, dass im vorliegenden Fall nicht nur besondere Einstellungen an der Kamera vorgenommen worden waren, sondern die Aufnahmen auch den Zeugen und in der Gerichtsverhandlung gezeigt worden war. Dem Gerichthof stellt sich daher die Frage: „whether this use of the camera and footage constituted a processing or use of personal data of a nature to constitute an interference with respect for private life.“232

In diesem Zusammenhang stellt er fest, dass der Beschwerdeführer sich ausdrücklich geweigert hatte, an einer Gegenüberstellung zur Identifikation teilzunehmen. Zudem habe er, unabhängig davon, ob er von der Existenz der Überwachungskamera wusste, nicht damit rechnen müssen, innerhalb des Polizeigebäudes zum Zwecke der Identifikation gefilmt zu werden. Die Maßnahme gehe auch über die normale Verwendung einer Überwachungskamera hinaus, was unter anderem dadurch deutlich werde, dass neben einer Genehmigung auch ein Monteur erforderlich war, um die gewünschten Aufnahmen herzustellen. Dies veranlasst den Gerichthof zu dem Schluss, dass: „The permanent recording of the footage and its inclusion in a montage for further use may therefore be regarded as the processing or collecting of personal data about the applicant.“233

Schließlich entkräftet der Gerichthof das von der Regierung vorgebrachte Argument, dass die Herstellung der Aufnahmen lediglich zu Zwecken der Identifizierung erfolgt war und daher in entsprechender Anwendung der Kommissionsentscheidung im Fall Lupker nicht als Verstoß gegen das 231 EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 63737/00), § 40. 232 EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 63737/00), § 40. 233 EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 63737/00), § 41.

120

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Recht aus Art. 8 Abs. 1 EMRK gewertet werden dürfe. Die Fälle seien insofern nicht vergleichbar, als dass die Fotografien im Fall Lupker den Behörden freiwillig überlassen worden waren, wohingegen die Videoaufzeichnungen von Herrn Perry ohne sein Wissen hergestellt wurden.234 Im Ergebnis bejaht der Gerichtshof daher einen Eingriff in das Recht auf Achtung des Privatlebens. (5) Bewertung Die dargestellten Urteile haben wesentliche Neuerungen für die Beurteilung des Datenschutzes unter Art. 8 EMRK gebracht. Obwohl sie alle die Erhebung und Speicherung persönlicher Daten betreffen, lassen sie sich in zwei Gruppen einordnen, die unterschiedliche Schwerpunkte betreffen. Die Urteile Amann und Rotaru stehen exemplarisch für die dauerhafte Speicherung von Daten, in den Urteilen P. G. und J. H. gegen das Vereinigte Königreich, Peck gegen das Vereinigte Königreich und Perry gegen das Vereinigte Königreich geht es um die systematische Erhebung bzw. Verarbeitung von Daten mit Hilfe aufwendiger technischer Mittel. Einen weiteren, wesentlich offensichtlicheren Unterschied stellt die Art der gespeicherten Daten dar. Während Amann und Rotaru die Speicherung gewöhnlicher Informationen zum Gegenstand haben, stellt sich in den anderen Fällen die Frage, inwieweit auch Audio- bzw. visuelle Daten vom Recht auf Privatleben erfasst werden. Voranzustellen ist, dass sich vor allem die Urteile Amann und Rotaru in auffälliger Weise von vorangegangenen, den Datenschutz betreffenden Entscheidungen unterscheiden. Aufgrund der Schwierigkeiten bei der Bestimmung des Schutzbereichs von Art. 8 EMRK, die dazu führten, dass die Frage des Betroffenseins des Schutzbereiches und des Eingriffes oftmals nicht zu trennen waren, gingen die Straßburger Organe bisher überwiegend bei der Prüfung des Eingriffs auf die Anwendbarkeit von Art. 8 EMRK ein. Nun behandelt der EGMR dieses Problem erstmalig explizit unter dem Aspekt der Anwendbarkeit von Art. 8 EMRK. Die Prüfung des Eingriffs und der Rechtfertigung betrachtet er hingegen als Unterpunkte der „Vereinbarkeit mit Artikel 8“.235 Jedoch handelt es sich hierbei nicht um eine dauerhafte Änderung des Aufbaus. Schon im Urteil P. G. und J. H. kehrt der Gerichtshof zu dem zweiteiligen Prüfungsschema von Eingriff und Rechtfertigung zurück. 234

EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 63737/00), § 42. 235 „Compliance with Article 8“ EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, vor § 68.

A. Datenschutz durch Art. 8 EMRK

121

(a) Weites Verständnis des Bezugs zum Privatleben – Der Vergleich mit der Datenschutzkonvention Hervorzuheben ist weiterhin, dass die Entscheidungen sehr ähnlich strukturiert sind. Ausgangspunkt bildet jeweils das Urteil Leander, in dem festgestellt wurde, dass die Speicherung von das Privatleben betreffenden Daten in den Anwendungsbereich des Art. 8 Abs. 1 EMRK fällt. So bestätigt er im Fall Amann unter Verweis auf Niemietz, dass der Begriff des Privatlebens nicht zu eng ausgelegt werden darf und grundsätzlich sowohl die Beziehungen zu anderen Menschen als auch geschäftliche Tätigkeiten erfasst. Anschließend betont der Gerichtshof, dass sich diese Auslegung in Übereinstimmung mit der Datenschutzkonvention befinde. Besonderes Augenmerk legt er auf den Zweck dieses Instruments, der als „to secure [. . .] in particular his right to privacy with regard to automatic processing of personal data relating to him“236

beschrieben wird.237 Obwohl durch die Bezugnahme auf die Datenschutzkonvention der Eindruck entstehen könnte, dass der Gerichtshof im Urteil Amann seine bisherige Rechtsprechung in Bezug auf die Verarbeitung personenbezogener Daten ändert, wird bei genauerer Betrachtung deutlich, dass es sich letztendlich nur um eine Ergänzung bzw. Bestätigung der Niemietz-Rechtsprechung handelt. Da der nach dem Leander-Urteil erforderliche Bezug zum Privatleben weiterhin über den Inhalt der Daten hergeleitet wird, dient der Verweis auf die Datenschutzkonvention wohl eher der Bekräftigung der Schlussfolgerung aus dem Niemietz-Urteil, nach der es dem Gerichtshof möglich ist, auch nicht sensible Daten als „das Privatleben betreffend“ zu bezeichnen. Gleichwohl besteht der Verdacht, dass der EGMR zugleich eine exakte Subsumtion der in dem Fall betroffenen Daten unter den vagen Begriff des Privatlebens vermeiden möchte. An sich wäre es nämlich erforderlich gewesen, die im Sicherheitsregister gespeicherten Informationen mit der sehr weiten Niemietz-Rechtsprechung in Übereinstimmung zu bringen. Während man die Eigenschaft als Kontaktperson der russischen Botschaft noch als vom Privatleben erfasst sehen könnte, erscheint dies hinsichtlich des Unterhaltens von Geschäftsbeziehungen mit der A.-Company schwieriger. Da sich die Aussage des Gerichthofes in Niemietz auf den Begriff des Privatlebens ganz allgemein bezieht, hätte der EGMR durch eine Subsumtion dieser Merkmale unter das Privatleben zugleich 236

EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 65. 237 Diesbezüglich ist zunächst zu bemerken, dass auch wenn in der Konvention der Begriff „right to privacy“ verwendet wird, die französische Fassung vom „droit à la vie privée“ spricht. Es ist also davon auszugehen, dass die unterschiedlichen Begriffe nicht bewusst gewählt worden sind.

122

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Maßstäbe für andere zwar Artikel 8, nicht jedoch die Aufbewahrung und Verarbeitung von Informationen betreffende Fälle gesetzt. Dadurch wäre er Gefahr gelaufen, den generellen Anwendungsbereich des Art. 8 EMRK über das gewollte Maß hinaus auszudehnen. Dies konnte der Gerichtshof durch den Rückgriff auf die Datenschutzkonvention vermeiden. In Verbindung mit ihrem Schutzzweck bewirkt der Hinweis auf den Wortlaut von Art. 2 der Datenschutzkonvention, in dem personenbezogene Daten als „jede Information über eine bestimmte oder bestimmbare natürliche Person“ bezeichnet werden, dass der Gerichtshof gleichsam eine lex specialis zur Niemietz-Rechtsprechung hinsichtlich der Verarbeitung persönlicher Daten schafft. Die Tatsache, dass die Datenschutzkonvention zum Schutz des Privatlebens grundsätzlich jede Information über eine Person in ihren Regelungsbereich mit einbezieht, macht deutlich, dass sie auch Daten umfasst, die keinen spezifischen Bezug zum Privatleben des Betroffenen aufweisen. Damit ist sie weiter gefasst als die Regel, die der Gerichtshof mit seiner Leander- und Niemietz-Rechtsprechung aufgestellt hat. Wenn man dann außerdem berücksichtigt, dass die Konvention ausdrücklich auch den Schutz des Privatlebens bezweckt, so impliziert dies, dass hinsichtlich der Verarbeitung persönlicher Daten striktere Regelungen erforderlich sind, um das Recht auf Achtung des Privatlebens zu gewährleisten. In jedem Fall ist aber der Schluss zulässig, dass die Niemietz-Rechtsprechung im Bereich des Datenschutzes eher großzügig angewandt werden sollte. Einen Anhaltspunkt dafür, dass der Gerichtshof sich im Fall Amann tatsächlich von diesen Erwägungen leiten ließ, bietet seine weitere Vorgehensweise. In knappen Worten stellt er fest, dass es sich bei den Informationen über die Funktion als Kontaktperson der russischen Botschaft und die Geschäftsbeziehungen „unzweifelhaft um das Privatleben betreffende Details handelt“238 und verzichtet auf eine genauere Analyse der gespeicherten Informationen. Nur so ist es möglich, dass im Ergebnis die Speicherung nicht sensibler Informationen239 in den Anwendungsbereich von Art. 8 EMRK fällt. Letztendlich muss man aber sagen, dass der Gerichtshof mit dem Urteil Amann eine Grenze erreicht hat. Es erscheint nicht mehr einsichtig, warum der EGMR weiterhin daran festhält, den in Leander geforderten Bezug zum Privatleben über den Inhalt der Daten herzustellen, wenn infolge der Niemietz-Rechtsprechung anscheinend ohnehin jedwede Information dieses 238

„The Court finds that those details undeniably amounted to data relating to the applicant’s „private life“ and that, accordingly, Article 8 is applicable to this complaint also.“; EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz (App. 27798/95), Reports 2000-II, §§ 66, 67. 239 Dies gibt der Gerichtshof selbst zu, vgl. EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, Rn. 57.

A. Datenschutz durch Art. 8 EMRK

123

Kriterium erfüllt. Es liefe auf dasselbe Ergebnis hinaus, wenn der Gerichtshof den Schutzbereich von Art. 8 Abs. 1 EMRK immer dann für eröffnet erklären würde, wenn personenbezogene Daten i. S. d. Datenschutzkonvention betroffen sind. (b) Bezug zum Privatleben durch die Art und Weise der Verarbeitung – Systematische Speicherung Die Notwendigkeit, die bisherige Rechtsprechung zu überdenken, zeigen die Ausführungen des Gerichts im Fall Rotaru. Hier war die Qualität der Daten, insbesondere durch das von der rumänischen Regierung vorgebrachte Argument des Verzichts auf Anonymität, besonders zweifelhaft. Auch wenn die Niemietz-Rechtsprechung es durchaus zulässt, solche Informationen dennoch dem Privatleben zuzuordnen, wäre das Gericht auch an dieser Stelle aufgefordert gewesen, zu dieser Frage explizit Stellung zu nehmen. Eine Stellungnahme vermeidet der Gerichthof wiederum, indem er nach dem Verweis auf die Datenschutzkonvention feststellt: „Moreover, public information can fall within the scope of private life where it is systematically collected and stored in files held by authorities. That is all the truer where such information concerns a person’s distant past.“240

Auf den ersten Blick sieht es so aus, als folge der Gerichtshof der gleichen Vorgehensweise wie im Fall Amann. Betrachtet man diese Aussage jedoch im Zusammenhang mit der Kernaussage der Leander-Entscheidung und den Berichten der Kommission in Friedl und Tsachividis, wonach sich die Frage der Anwendbarkeit von Art. 8 EMRK nach dem Inhalt der betroffenen Daten beantwortet, erhält man den Eindruck als sei der EGMR bereit, sich von diesem Konzept zu lösen. Persönliche Daten fallen nicht mehr nur ausschließlich dann in den Schutzbereichs des Art. 8, wenn der Inhalt der Daten einen Bezug zum Privatleben aufweist, von Bedeutung ist nunmehr auch von wem und auf welche Art und Weise die Daten erhoben und gespeichert wurden.241 Auch diese Betrachtungsweise ist jedoch mit der Kernaussage des Urteils Leander vereinbar. Schließlich hatte der EGMR lediglich gefordert, dass die Daten das Privatleben betreffen, also einen Bezug zu ihm aufweisen müssen. Dass dies ausschließlich über den Inhalt der Daten geschehen kann, hat der Gerichthof hingegen nie ausdrücklich festgestellt. Letztendlich bleibt also die formelhafte Grundaussage242 des Leander-Urteils vom Urteil Rotaru unberührt, da ein irgendwie gearteter Bezug zum 240

EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 43. 241 Vehement gegen eine solche Entwicklung spricht sich Richter Bonello in seiner abweichenden Meinung zum Fall Rotaru aus.

124

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Privatleben auch weiterhin erforderlich ist.243 Dies entspricht auch der Aussage der Kommission im Fall Friedl, in dem der Zusammenhang zwischen den eine öffentliche Veranstaltung betreffenden Informationen und der dann folgenden Verarbeitung der Daten erstmals angesprochen wurde. Wie bereits dargestellt, lässt sich Friedl dahingehend interpretieren, dass Informationen, die öffentliche Begebenheiten betreffen (Information relating to public incidents), durch die Art ihrer Verwendung oder Speicherung in den Anwendungsbereich des Rechts auf Privatleben fallen können. Das Urteil im Fall Tsachavidis schränkt diese Auslegung allerdings wieder ein, indem es von persönlichen Handlungen in der Öffentlichkeit (personal activities conducted in the open) spricht. Im Urteil Rotaru werden nun ausdrücklich auch öffentliche Informationen (public information) in den Schutzbereich des Privatlebens miteinbezogen, wenn sie auf die genannte Weise verarbeitet werden. Damit scheint die Aussage aus dem Fall Tsachavidis überholt. Wenn Handlungen in der Öffentlichkeit beobachtet und die so erlangten Informationen gespeichert und archiviert werden, handelt es sich dabei um öffentliche Informationen, da sie ursprünglich von jedermann zu beobachten waren. Es kommt also nicht mehr darauf an, ob sie außerdem auch zu den „personal activities“ gezählt werden können. Zu bemerken ist allerdings, dass sich das Stadium, in dem sich der Datenverarbeitungsprozess im Fall Rotaru befindet, erheblich von dem in den Fällen Friedl und Tsachavidis unterscheidet. Dies erklärt, warum der Gerichtshof betont, dass die betroffenen Informationen eine weit zurückliegende Vergangenheit betreffen. Durch institutionalisierte Formen der Datenverarbeitung bleiben solche Informationen jederzeit abrufbar. Einstmals öffentliche Handlungen und Vorgänge können daher, wenn sie dokumentiert und über einen langen Zeitraum verwahrt werden, zunehmend privater werden und so in den Anwendungsbereich des Art. 8 EMRK fallen. Damit geht der Gerichtshof in Rotaru noch einen entscheidenden Schritt weiter als in Amann. Er nimmt nicht nur Bezug auf die Datenschutzkonvention sondern nähert sich ihr auch inhaltlich an, indem er jede Information vom Recht auf Achtung des Privatlebens geschützt sieht, sofern sie nur systematisch erfasst und gespeichert wird. Wenn die Datenschutzkonvention mit dem generellen Schutz aller personenbezogener Daten bei automatischer Verarbeitung auch wesentlich weiter gefasst ist, werden die Unterschiede im Anwendungsbereich bei pragmatischer Betrachtung immer geringer. Nach der Rechtsprechung des Gerichtshofes sind unter den genann242 „[T]hat the storing of information relating to an individual’s private life in a secret register and the release of such information comes within the scope of Art. 8 § 1; so das Gericht mit Bezug auf § 48 des Leander-Urteil, EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 43. 243 Davon geht wohl auch Sudre aus, RUDH 2001, S. 193.

A. Datenschutz durch Art. 8 EMRK

125

ten Voraussetzungen nunmehr öffentliche und private Informationen und damit die von Art. 2 lit. a der Datenschutzkonvention erfassten personenbezogenen Informationen geschützt. Weiterhin kommt die in Rotaru vorgenommene Einschränkung, dass öffentliche Daten nur dann erfasst sind, wenn sie systematisch erhoben oder gespeichert werden, der Beschränkung der Anwendbarkeit der Datenschutzkonvention auf automatisch verarbeitete Daten sehr nahe. Gemäß Art. 2 lit. c Datenschutzkonvention umfasst die automatische Verarbeitung das Speichern von Daten, die Durchführung logischer und/oder rechnerischer Operationen mit diesen Daten sowie das Verändern, Löschen, Wiedergewinnen oder Bekanntgeben von Daten, soweit diese Tätigkeiten ganz oder teilweise mit Hilfe automatischer Verfahren durchgeführt werden. Geht man davon aus, dass heutzutage zur Datenverarbeitung und Speicherung fast ausschließlich automatische Verfahren Anwendung finden, stellt allein das Kriterium der systematischen Anwendung einen Unterschied dar. Offen bleibt aber, wann man von einer solchen systematischen Erhebung sprechen kann. Im Ergebnis lässt sich festhalten, dass das Urteil Rotaru den Begriff des Privatlebens hinsichtlich des Umgangs mit Daten sehr stark ausdehnt.244 Im Ergebnis kommt dies einer Änderung der Rechtsprechung in Bezug auf den Schutz persönlicher Daten gleich. Aus dogmatischer Sicht wäre es möglich – wenn nicht sogar vorzugswürdig – gewesen, bei der Frage der Anwendbarkeit von Art. 8 EMRK sofort auf die den Schutz des Privatlebens bezweckende Datenschutzkonvention zu verweisen. Ihrem Schutzzweck lässt sich entnehmen, dass jeder Umgang mit Informationen und Daten eine potentielle Gefahr für das Privatleben darstellen kann. Vor diesem Hintergrund wäre es sinnvoll, in datenschutzrechtlich relevanten Fällen einen weiten Schutzbereich des Rechts auf Privatleben anzunehmen und ihn nicht von vornherein einzuschränken. Im Ergebnis wäre es damit nicht nur überflüssig, die Urteile Leander und Niemietz unterstützend heranzuziehen, die Lösung würde auch der zunehmenden Bedeutung des Datenschutzes gerecht. Abschließend kann man aber sagen, dass das Urteil zumindest einen Schritt245 zu einem sorgfältigeren Umgang mit den Problemen des Datenschutzes unter der EMRK darstellt.

244

Vgl. Sudre, RUDH 2001, S. 192. Zurückhalten hinsichtlich des Fortschritts, den das Urteil für den Datenschutz unter der EMRK bedeutet, auch de Schutter, Rev. trim. dr. h. 2001, S. 181, der das Urteil als vorhersehbar bezeichnet. 245

126

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

(c) Die Erwartungshaltung des Betroffenen Es wurde bereits festgestellt, dass es für die Eröffnung des Anwendungsbereiches von Art. 8 Abs. 1 EMRK grundsätzlich keinen Unterschied macht, ob es sich um herkömmliche Daten oder Bild- bzw. Tondaten handelt. Folglich kann man in entsprechender Anwendung der Leander- und Rotaru-Kriterien davon ausgehen, dass Art. 8 EMRK dann Anwendung findet, wenn sich entweder der Inhalt der Aufnahme bzw. Abbildung auf das Privatleben bezieht oder es sich um eine systematische oder dauerhafte Aufzeichnung handelt. Jedoch zeigt sich in den jüngsten Urteilen des EGMR zu den Bild- und Tondaten, dass solche Kriterien für diese besondere Art der Informationen nicht ohne weiteres passen. Schwierig gestaltete sich die Herstellung des Bezugs zum Privatleben etwa im Fall P. G. und J. H. gegen Vereinigtes Königreich, da zur Herstellung der Stimmproben Aufzeichnungen von Gesprächen verwendet worden waren, die die Beschuldigten im Beisein von Polizeibeamten geführt hatten, so dass deren Inhalt nur schwerlich als privat bezeichnet werden konnte. An dieser Stelle erwähnt der Gerichtshof erstmalig die Erwartungshaltung des Betroffenen. Bei der Beurteilung, ob Informationen über ein in der Öffentlichkeit sichtbares Verhalten dem Schutz des Rechts auf Privatleben unterfallen, betrachtet er sie als ein signifikantes, wenn auch nicht unbedingt entscheidendes Merkmal. Es zeigt sich, dass neben dem Inhalt der Daten und der systematischen Erhebung oder Speicherung durchaus noch weitere Elemente existieren können, durch die – wenn auch unter Umständen nur bei Vorliegen weiterer Voraussetzungen – der erforderliche Bezug zum Privatleben hergestellt werden kann. Die Bedeutung der Erwartungshaltung des Betroffenen bestätigt sich im Urteil Peck. Es deutet sich an, dass sie neben den Leander- und Rotaru-Kriterien eine weitere Voraussetzung zur Herstellung des Bezugs zum Privatleben darstellt. Diese Ausweitung war notwendig, weil sich erneut nicht ohne weiteres anhand der bekannten Kriterien ein Zusammenhang zum Privatleben herstellen ließ. So hätte der EGMR bei einem Zurückgreifen auf die Grundsätze aus Friedl und Herbecq einen Eingriff in das Recht auf Achtung des Privatlebens wegen des Bezugs zur Öffentlichkeit an sich ablehnen müssen. Um den durch das Recht auf Achtung des Privatlebens gewährleisteten Schutz dennoch auf das Weiterleiten der Daten zu erstrecken, grenzt der Gerichtshof den vorliegenden Fall jedoch von den vorangegangenen ab. Er betont, dass der Beschwerdeführer unter den besonderen Umständen nicht als „public figure“ bezeichnet werden könne,246 was zeigt, dass er geneigt ist, weniger strenge Maßstäbe als im Fall Friedl anzusetzen. Zusätz246 EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98), § 62.

A. Datenschutz durch Art. 8 EMRK

127

lich führt der Gerichthof an, dass der Beschwerdeführer durch die Veröffentlichung des gespeicherten Videomaterials in viel stärkerem Maße der Beobachtung ausgesetzt war als im Falle der bloßen Betrachtung oder Überwachung. Er trägt damit der Tatsache Rechnung, dass durch moderne technische Möglichkeiten immer wieder neue Bedrohungen für den Datenschutz und damit das Recht auf Achtung des Privatlebens entstehen. Durch seine Ausführungen entwickelt der EGMR aber nicht nur ausdrücklich den Datenschutz als Aspekt des Privatlebens weiter, zugleich trägt die Entscheidung im Fall Peck auch zur Konturierung des allgemeinen Begriffs des Privatlebens bei. Obwohl sich der Gerichthof erneut nicht auf eine Definition festlegt, enthält die Entscheidung doch einen weiteren Anhaltspunkt für die Abgrenzung zwischen Privatleben und Öffentlichkeit. Als Orientierungshilfe dient das Verhalten bzw. die Fähigkeit einer Person. Soweit Handlungen von Mitmenschen ohne weitere Hindernisse registriert und beobachtet werden können, liegt kein Eingriff in das Privatleben vor. Es erscheint einleuchtend, dass ein Recht auf Privatleben nicht vor der Wahrnehmung der eigenen Person durch andere schützen kann. Daher setzt der Gerichtshof die Überwachung durch technische Mittel zunächst grundsätzlich der Beobachtung einer Person auf der Straße durch einen Passanten gleich. Anders ist dies jedoch zu beurteilen, wenn staatliche Stellen sich Hilfsmitteln bedienen, durch die nicht nur menschliche Schwächen bei der Wahrnehmung oder dem Erinnerungsvermögen ausgeglichen,247 sondern – wie im Falle des detailgetreuen Festhaltens und Speicherns von Verhaltensweisen auf Video – sogar bei weitem überstiegen werden. Dies berücksichtigt der Gerichtshof, wenn er, unmittelbar nachdem er auf die Erwartung des Einzelnen hinsichtlich dessen Privatsphäre verweist, auf die systematische oder dauerhafte Aufzeichnung öffentlichen Materials eingeht. In so einem Fall kann auch eine an sich harmlose Beobachtung zu einer Beeinträchtigung des Privatlebens führen. Auch im Fall Perry stellt der Gerichtshof entscheidend auf die Erwartungshaltung des Betroffenen ab. So merkt er an, dass Herr Perry unabhängig davon, ob er die Überwachungskamera überhaupt bemerkt hatte, jedenfalls nicht damit gerechnet hatte, dass das Filmmaterial später zum Zwecke der Identifikation und als Beweismittel vor Gericht verwendet werden würde. Erst diese Feststellung veranlasst ihn zu dem Schluss, dass die dauerhafte Speicherung der Daten und die Herstellung einer Bildmontage zur weiteren Verwendung eine Verarbeitung oder Erhebung personenbezogener Daten darstellt. Präziser formuliert handelt es sich um eine Verarbeitung oder Erhebung auf eine das Privatleben beeinträchtigende Art und Weise.248 247 Ähnlich auch Austin, Privacy and the Question of Technology, Law and Philosophy Bd. 22 (2003), S. 123.

128

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Zusammenfassend kann man sagen, dass man die Erhebung und Verarbeitung von Bild- und Tondaten anhand der bekannten Leander- und RotaruKriterien anscheinend nur schwer dem Recht auf Privatleben zuordnen kann. Gerade die technischen Mittel, die zur Herstellung dieser Daten angewendet werden sind es jedoch, die durchaus zu einer Beeinträchtigung dieses Rechts führen können. Diese Schwierigkeiten haben den Gerichtshof aber nunmehr veranlasst zu untersuchen, ob nicht durch die Art und Weise der Erhebung oder der nachfolgenden Verwendung der Daten der erforderliche Zusammenhang zu Art. 8 EMRK hergestellt werden kann. (d) Ergebnis In der jüngeren Rechtsprechung des Gerichthofes lassen sich folglich mehrere neue Kriterien erkennen, mit deren Hilfe das Gericht zu bestimmen versucht, wann sich Daten auf das Privatleben einer Person im Sinne der Leander-Formel beziehen. Zunächst steht seit dem Urteil Amann fest, dass es sich bei den sich auf das Privatleben beziehenden Daten nicht notwendiger Weise um sensible Daten handeln muss. Orientierungspunkt ist vielmehr die weite Definition der personenbezogenen Daten in Art. 2 der Datenschutzkonvention. Aus der Rotaru-Entscheidung ergibt sich, dass auch öffentliche Informationen vom Privatleben erfasst werden, wenn sie systematisch gesammelt und von den Behörden gespeichert werden. Später wird dieser Leitzsatz dahingehend leicht abgewandelt, dass diese beiden Voraussetzungen nicht mehr kumulativ vorliegen müssen, sondern der Anwendungsbereich des Rechts auf Achtung des Privatlebens auch im Falle einer systematischen oder dauerhaften Speicherung von Daten in Betracht kommen kann.249 Offensichtlich ist die Beurteilung jedoch im Falle visueller bzw. akustischer Daten weitaus schwieriger. Dies veranlasst den Gerichtshof, die Existenz weiterer Voraussetzungen zu verlangen. Im Urteil P. G. und J. H. gegen Vereinigtes Königreich wurde die Herstellung einer dauerhaften Aufnahme im Sinne der Rotaru-Rechtsprechung für unter das Privatleben fallend angesehen, weil anhand dieser Stimmprobe eine Identifizierung mög248

Dies kommt auch in dem Urteil zum Ausdruck: „The Question is whether this use of the camera and footage constituted a processing or use of personal data of a nature to constitute an interference with respect for private life.“, EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 62737/00), § 40. 249 „Private life considerations may arise however once any systematic or permanent record comes into existence of such material from the public domain.“, EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX, § 57.

A. Datenschutz durch Art. 8 EMRK

129

lich wurde. Der Fall Peck schließlich führt – wie schon P. G. und J. H. gegen Vereinigtes Königreich andeutet – das Kriterium der Erwartungshaltung des Betroffenen ein. Schließlich stellt der Gerichthof im Fall Perry ausdrücklich fest, dass auch die Art und Weise der Verarbeitung der Daten einen Bezug zum Privatleben begründen kann. Die Zusammenschau zeigt zudem, dass die in Amann und Rotaru aufgestellten Grundsätze inzwischen auch auf Fälle Anwendung finden, die keine geheimen Überwachungsmaßnahmen betreffen.250 Dabei ist jedoch zu beachten, dass die Urteile zu offen erhobenen Daten bisher ausschließlich visuelle Daten betrafen und somit die Friedl-Kriterien als zusätzliches Erfordernis heranzuziehen waren. Es ist aber zu vermuten, dass diese Grundsätze auch heranzuziehen sind, wenn es um offen erhobene gewöhnliche Daten geht. Damit lässt sich, auch wenn die gängigen Interpretationsmethoden zu beachten sind und die Fälle in ihrem jeweiligen Kontext gesehen werden sollten, eine eindeutige Tendenz zur Anerkennung des Inhalts der Amann und Rotaru Rechtsprechung als allgemeine Prinzipien erkennen. dd) Datenschutz als eigenständiges Element des Rechts auf Privatleben Als Eingangs die Frage aufgeworfen wurde, ob der Datenschutz – neben anderen Bereichen, wie etwa dem Umweltschutz251 – inzwischen als eigenständiges Element des Rechts auf Privatleben anerkannt werden kann, deutete vieles auf eine positive Antwort hin. Schließlich hatten bereits mehrere Autoren ohne weitere Begründung ein solches Prinzip anerkannt.252 Angesichts der zögerlichen Entwicklung, die der Datenschutz unter Art. 8 EMRK genommen hat, scheint dieses Ergebnis dennoch überraschend. Schließlich lässt sich erst seit dem Urteil Leander eine zunehmende Bereitschaft der Konventionsorgane erkennen, sich dieses aktuellen Themas anzunehmen. Zugleich ist der Datenschutz in der älteren Rechtsprechung aber untrennbar eng mit dem Privatleben verbunden. Daten sind nur dann ge250 Anders aber noch Harden, Openess and Data Protection in the European Union, Queen’s Papers on Europeanisation No 9/2002, S. 14, der vor einer Überbewertung dieser Fälle warnt. 251 Vgl. EGMR, Urteil vom 21. Februar 1990, Powell u. Rayner, (App. 9310/81), Serie A 172, § 40; EGMR, Urteil vom 9. Dezember 1994, López Ostra ./. Spanien, (App. 16798/90), Serie A 303-C, § 51; EGMR, Urteil vom 2. Oktober 2001, Hatton u. a. ./. Vereinigtes Königreich, (App. 36022/97), § 97; dazu auch Degagné, AJIL 89 (1995), S. 271. 252 Vgl. Grabenwarter, Europäische Menschenrechtskonvention, § 22 Rn. 23; Meyer-Ladewig, Hk-EMRK, Art. 8 Rn. 11; wohl auch Kloepfer, Datenschutz als Grundrecht, S. 49.

130

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

schützt, wenn sich der Inhalt auf das Privatleben bezieht. Streng genommen konnte man zum damaligen Zeitpunkt lediglich vom Schutz privater Informationen sprechen, der gegebenenfalls als eigenständiger Aspekt des Privatlebens anerkannt werden kann. Von einem Recht auf Datenschutz nach heutigem Verständnis war ein solches Recht aber weit entfernt. Eine Wende markiert dann allerdings der zunehmende Schutz auch öffentlicher Daten, der infolge der Niemietz-Rechtsprechung möglich wurde. Jedoch ist dieser „Datenschutz“ auch weiterhin eng an den Begriff des Privatlebens gekoppelt. Eine Weiterentwicklung findet folglich auch künftig nur in dem Maße statt, in dem auch der Begriff des Privatlebens eine Ausweitung erfährt. Von Datenschutz als eigenständigem Element des Rechts auf Achtung des Privatlebens kann daher erst seit der Amann und RotaruRechtsprechung die Rede sein. In diesen Urteilen werden Kriterien anerkannt, durch die eine Beurteilung des Datenschutzes unter der EMRK erstmalig unabhängig von der jeweils gerade vorherrschenden Auffassung vom allgemeinen Begriff des Privatlebens möglich ist. Der Fall Rotaru bietet hierfür ein augenscheinliches Beispiel, da auch öffentliche Informationen vom Schutzbereich des Art. 8 Abs. 1 EMRK erfasst werden, wenn sie nur hinreichend lange gespeichert werden. Eine Prüfung, ob diese Informationen trotz ihrer Öffentlichkeit das Privatleben betreffen, ist nicht erforderlich. Zwar wird der Bezug zum Privatleben, wie bereits erwähnt, nicht vollständig obsolet, da sich die Privatheit der Informationen gleichsam aus der Tatsache ergibt, dass sie unter normalen Umständen etwa aufgrund eines langen dazwischen liegenden Zeitraums der menschlichen Kenntnis entzogen sind und nur durch die Archivierung später wieder nutzbar gemacht werden können. Dennoch ist hierin eine Loslösung des Datenschutzes vom Privatleben und eine Ausformung als eigenständiges Element zu sehen, da diese Vorgehensweise gerade deswegen konstruiert wurde, um datenschutzspezifischen Problemen gerecht zu werden. Auch zeigen die nachfolgenden Fälle, dass der EGMR diese Kriterien keineswegs als abschließend betrachtet. Folglich kann man den Datenschutz tatsächlich seit kurzer Zeit als ein durch die Rechtsprechung herausgebildetes eigenständiges Element des Rechts auf Privatleben begreifen.

ee) Recht auf Informationelle Selbstbestimmung in Art. 8 EMRK Vor dem Hintergrund des Sondervotums des Richters Pettiti im Fall Malone, in dem er ausführlich zu Fragen des Datenschutzes Stellung nahm, hatte man festgestellt, dass Art. 8 Abs. 1 EMRK noch kein Recht auf informationelle Selbstbestimmung, wie es vom Bundesverfassungsgericht im Volkszählungsurteil aus den Art. 1 Abs. 1, Art. 2 Abs. 1 GG entwickelt

A. Datenschutz durch Art. 8 EMRK

131

wurde,253 gewährt.254 Seitdem inzwischen durch das Urteil Pretty255 die persönliche Autonomie als ein allen von Art. 8 Abs. 1 EMRK garantierten Rechten zugrunde liegendes Prinzip anerkannt ist, stellt sich jedoch erneut die Frage, inwieweit man inzwischen von einem in Art. 8 EMRK enthaltenen Recht auf informationelle Selbstbestimmung sprechen kann. Der Wortlaut der entscheidenden Passage des Urteils Pretty ist hier wenig aufschlussreich. Dort heißt es, dass das Prinzip der persönlichen Autonomie bei der Auslegung von Art. 8 EMRK zu berücksichtigen ist.256 Es hat den Anschein, als habe das Gericht mit „interpretation of its guarantees“ bewusst eine möglichst allgemein gehaltene Formulierung gewählt. Geht man von einem engen Verständnis aus, ist die persönliche Autonomie nur bei der Interpretation der vier explizit in Art. 8 Abs. 1 EMRK aufgezählten Rechte, also dem Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Korrespondenz relevant. Begreift man den Datenschutz lediglich als untergeordneten Teilaspekt des Rechts auf Privatleben, wäre das Element der Selbstbestimmung folglich nur mittelbar zu berücksichtigen. Dies zeigt sich, wenn man die persönliche Autonomie in einer Situation einbeziehen möchte, wie sie dem Fall Leander zugrunde liegt. Da sich der Inhalt der Informationen auf das Privatleben bezieht, könnte man hier argumentieren, dass dem Betroffenen ein Recht zugesprochen werden kann, über den Umgang mit diesen Informationen jederzeit frei entscheiden zu können.257 Es ist jedoch zweifelhaft, ob eine solche Situation mit derjenigen vergleichbar ist, die das Gericht zu der Entscheidung im Fall Pretty bewogen hat und vor deren Hintergrund die Aussage zur persönlichen Autonomie zu betrachten ist. Dort stellte es fest: 253 Zur Entwicklung dieses Grundrechts etwa Holznagel, Das Grundrecht auf informationelle Selbstbestimmung, in: Pieroth (Hg.) Verfassungsrecht und soziale Wirklichkeit in Wechselwirkung, S. 29 ff. 254 Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 136, siehe dazu auch Teil 2, A.I.2.a)aa)(2). 255 EGMR, Urteil vom 29. April 2002, Pretty ./. Vereinigtes Königreich, (App. 2346/02), Reports 2002-III. 256 „[T]he notion of personal autonomy is an important principle underlying the interpretation of its guarantees.“, EGMR, Urteil vom 29. April 2002, Pretty ./. Vereinigtes Königreich, (App. 2346/02), Reports 2002-III, § 61. 257 Anders wäre dies jedoch etwa im Fall Friedl zu beurteilen. Mangels eines Bezugs zum Privatleben, wurden die Fotografien von Herrn Friedl nicht vom Recht auf Privatleben erfasst. Dementsprechend fehlt es an einem Anknüpfungspunkt für das Prinzip der persönlichen Autonomie, so dass der abgebildete Beschwerdeführer keine Möglichkeit hat, den Umgang mit der Aufnahme zu kontrollieren, EKMR, Entscheidung vom 19. Mai 1994, Friedl ./. Österreich, (App. 15225/89), zu den Hintergründen des Falls siehe unter Teil 2, A.I.2.b)cc)(3)(b).

132

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

„In the sphere of medical treatment, the refusal to accept a particular treatment might, inevitably, lead to a fatal outcome, yet the imposition of medical treatment, without the consent of a mentally competent adult patient, would interfere with a person’s physical integrity in a manner capable of engaging the rights protected under Article 8 § 1 of the Convention.“

Angesichts der langsamen und zögerlichen Entwicklung, die der Datenschutz unter Art. 8 EMRK genommen hat, ist nicht anzunehmen, dass der Gerichtshof in einem die Verarbeitung persönlicher Daten betreffenden Fall ebenso entschieden hätte. Es ist nur schwer vorstellbar, dass man in der Weitergabe von einfachen personenbezogenen Daten, ohne die Zustimmung des Betroffenen ohne weiteres eine Verletzung des Rechts auf Privatleben gesehen hätte, wenn diese keinen Bezug zum Privatleben aufweisen. Im Gegensatz dazu ist die im Fall Pretty relevante körperliche Integrität schon seit langem ein anerkannter Aspekt des Privatlebens.258 So scheint die Herausbildung eines Rechts als weitgehend eigenständige Kategorie unter dem Recht auf Privatleben zunächst Voraussetzung zu sein, um anschließend ein Element der Selbstbestimmung zu etablieren. Dementsprechend ist anzunehmen, dass der Gerichtshof im Falle der Verwendung von das Privatleben betreffenden Daten ohne die Zustimmung des Betroffenen sehr viel eher von einem Recht auf Selbstbestimmung bzw. persönlicher Autonomie ausgegangen wäre. Jedoch entspräche ein solches auf den relativ unbestimmten Bereich der privaten Daten beschränktes Recht kaum den Anforderungen, die an ein umfassendes Recht auf informationelle Selbstbestimmung, wie es etwa vom BVerfG gewährt wird, zu stellen sind. Jedoch zeigen die dargestellten jüngsten Entwicklungen in der Rechtsprechung des Gerichtshofes, dass der enge Bezug zum Privatleben zunehmend in der Auflösung begriffen ist und sich Art. 8 EMRK mehr und mehr auch zu einem Recht auf Schutz personenbezogner Daten entwickelt. Die langsame Anerkennung eines solchen Rechts als weitgehend eigenständige Kategorie würde dann nur einen ersten Schritt zur Entwicklung eines umfassenden Rechts auf informationelle Selbstbestimmung darstellen. 3. Ergebnis Die dargestellten Entscheidungen zeigen die Entwicklung, die der Schutz personenbezogener Daten unter Art. 8 EMRK bisher genommen hat. Der Ansatzpunkt für ein Recht auf Schutz vor Gefahren, die dem Einzelnen 258 Vgl. EGMR, Urteil vom 26. März 1985, X und Y ./. the Netherlands, Serie A 191, § 22; Reid, Practitioners Guide to the European Convention of Human Rights, S. 323; Russo, in Pettiti/Decausy/Imbert, Art. 8 § 1, S. 308; Grabenwarter, Europäische Menschenrechtskonvention, § 22 Rn. 7.

A. Datenschutz durch Art. 8 EMRK

133

durch die Erhebung und Verarbeitung von Daten drohen, ist vor allem im Recht auf Privatleben zu sehen. Dieses Recht hat verschiedene Ausprägungen erfahren, die teilweise als selbständige Teilaspekte des Rechts auf Achtung des Privatlebens anerkannt sind.259 Dazu zählt inzwischen auch der Datenschutz. Dementsprechend fällt das geheime Erheben von Daten, die einen Bezug zum Privatleben aufweisen oder die offene Erhebung ohne die Einwilligung des Betroffenen in den Schutzbereich des Rechts auf Privatleben. Dabei ist die Voraussetzung des Bezuges zum Privatleben weit auszulegen. In der neueren Rechtsprechung deutet sich zudem an, dass die persönliche Autonomie bei der Auslegung aller in Art. 8 EMRK enthaltenen Rechte zu beachten ist. Auch wenn das in Art. 8 Abs. 1 EMRK angesiedelte Recht auf Datenschutz zum jetzigen Zeitpunkt noch nicht als umfassendes Recht auf informationelle Selbstbestimmung verstanden werden kann, ist zu betonen, dass es noch in der Entwicklung begriffen ist260 und es daher nicht ausgeschlossen erscheint, dass es in seiner Bedeutung weiter zunehmen wird.

II. Eingriffe in Art. 8 EMRK Die Bestimmung des Eingriffs ist stets auf den Schutzbereich bezogen.261 Wegen der dadurch verursachten Wechselwirkung zwischen dem Eingriff und dem Anwendungsbereich des Grundrechts, lassen bereits die Ausführungen über den Anwendungsbereich von Art. 8 Abs. 1 EMRK weitreichende Schlüsse hinsichtlich der Beeinträchtigungen des Rechts auf Privatleben im Zusammenhang mit dem Datenschutz zu. Dennoch soll im Folgenden kurz auf die durch die Rechtsprechung der Straßburger Organe anerkannten Eingriffe eingegangen werden. 1. Eingriffshandlungen Art. 8 Abs. 2 ERMK lässt sich entnehmen, dass ein Eingriff eine Maßnahme voraussetzt, die die Ausübung des Rechts auf Achtung des Privatlebens einschränkt.262 Dies bedeutet also, dass durch den Eingriff nicht das 259

Siehe etwa die Einteilung bei Grabenwarter, § 22 Rn. 5. Raum für Entwicklung der Rechte des Art. 8 Abs. 1 EMRK und insbesondere des Rechts auf Achtung des Privatlebens sieht auch Jacobs/White, European Convention on Human Rights, S. 217. 261 Weber-Dürler, VVDStRL 57 (1998), S. 82; Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 44. 262 Duffy, YEL 1982, S. 201; zu Fragen des Eingriffs allgemein Tomuschat, What is a breach of the ECHR?, in: Lawson/de Blois, Essays in Honour of Henry G. Schermers Vol. III, S. 316 ff. Holoubek, DVBl. 1997, 1031. 260

134

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Privatleben, sondern lediglich der Anspruch auf Achtung dieses Bereichs betroffen ist.263 Im Gegensatz etwa zum deutschen Recht hat sich zur EMRK keine Einriffsdogmatik entwickelt, vielmehr verfolgen die Straßburger Organe auch hier eine kasuistische Vorgehensweise.264 Dabei ist unerheblich, ob die Beeinträchtigung durch Gesetz erfolgt oder rein faktisch ist,265 und auch die Dauer der Einschränkung hat keinen Einfluss auf die Feststellung einer Eingriffshandlung.266 Zudem können mittelbare Grundrechtsbeeinträchtigungen einen Eingriff darstellen.267 Im Datenschutzrecht von besonderer Bedeutung ist schließlich, dass eine Eingriffshandlung auch dann zu bejahen ist, wenn die Maßnahme ohne Befehl und Zwang durchgesetzt wird,268 denn bei der Datenverarbeitung ist ein Zwangscharakter oftmals nicht gegeben.269 Hinweise darauf, auf welche Art und Weise in das Recht auf Datenschutz eingegriffen wird, enthalten die Datenschutzinstrumente. So sind bei der Verarbeitung, (also der Speicherung, der Durchführung logischer und/oder rechnerischer Operationen, dem Verändern, Löschen, Wiedergewinnen oder Bekanntgeben) personenbezogener Daten270 die Grundsätze in Bezug auf die Qualität der Daten271 zu beachten. 263 Vgl. Evers, Schutz des „Privatlebens“ durch Art. 8 MRK und durch das Grundrecht auf Datenschutz, in: Adamovich/Ludwig/Perntahler (Hg.), Auf dem Weg zur Menschenwürde und Gerechtigkeit, Festschrift für Hans R. Klecatsky, Bd. 1, S. 182. Hierin zeigt sich, dass der Eingriffsbegriff einen Bezug zum Privatleben nicht voraussetzt und damit einer Lockerung dieses Prinzips nicht entgegensteht. 264 Weber-Dürler, in: VVDStRL 57 (1998), S. 87; Ehlers, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 2 VII 4, Rn. 32. 265 EGMR, Urteil vom 21. Februar 1975, Golder, (App. 4451/70), Serie A 18, § 26: „[H]indrance in fact can contravene the Convention just like a legal impediment.“; a. A. Villiger, Handbuch der Europäischen Menschenrechtskonvention, Rn. 542. 266 EGMR, Urteil vom 21. Februar 1975, Golder, (App. 4451/70), Serie A 18, § 26: „[H]indering the effective exercise of a right may amount to a breach of that right even if the hindrance is of a temporary character.“ 267 A. A. Villiger, Handbuch der Europäischen Menschenrechtskonvention, Rn. 542. 268 Evers, Schutz des „Privatlebens“ durch Art. 8 MRK und durch das Grundrecht auf Datenschutz, in: Adamovich/Ludwig/Perntahler (Hg.), Auf dem Weg zur Menschenwürde und Gerechtigkeit, Festschrift für Hans R. Klecatsky, Bd. 1, S. 186; vgl. auch Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 45. 269 Auf die Besonderheiten des Eingriffs in ein Grundrecht auf Datenschutz weist Hufen im Zusammenhang mit dem deutschen Grundrecht auf informationelle Selbstbestimmung hin, Schutz der Persönlichkeit und Recht auf informationelle Selbstbestimmung, in: Badura/Dreier (Hg.), Festschrift 50 Jahre Bundesverfassungsgericht, S. 117. 270 Vgl. Art. 2 lit. c Datenschutzkonvention. 271 Art. 5 Datenschutzkonvention, vgl. auch oben unter Teil 1, B.III.2.

A. Datenschutz durch Art. 8 EMRK

135

a) Das Gewinnen von Informationen Durch das Gewinnen und Sammeln von Informationen kann in das Recht aus Art. 8 Abs. 1 EMRK eingegriffen werden. So stellte der Gerichtshof im Fall Klass fest, dass die geheime Überwachung und Aufnahme von Telefongesprächen einen Eingriff in Art. 8 EMRK darstellt.272 Im Fall Malone nahm der Gerichtshof einen Eingriff in Art. 8 EMRK an, weil die „Registrierung“ (metering) der Telekommunikationsdaten zum Zusammenstellen von Verzeichnissen diente und diese Informationen ohne die Zustimmung des Betroffenen an die Polizei weitergegeben wurden.273 Im Fall Kopp bestätigt das Gericht, dass das Überwachen von Telefongesprächen einen Eingriff in das Recht aus Art. 8 EMRK darstellt, unabhängig davon, ob die dabei gewonnenen Aufnahmen anschließend auch tatsächlich verwendet werden.274 b) Speichern und Verwenden von Informationen Auch das Speichern von Informationen und die spätere Verwendung der Daten stellt einen Eingriff in Art. 8 EMRK dar. So erklärt der Gerichtshof in Leander: „Both the storing and the release of such information, which were coupled with a refusal to allow Mr. Leander an opportunity to refute it, amounted to an interference with his right to respect for private life as guaranteed by Art. 8 § 1.“275

Dabei handelt es sich bei der Speicherung und der Weitergabe der Informationen jeweils um eigenständige Eingriffe.276 Die Weitergabe von Daten 272 EGMR, Urteil vom 6. September 1978, Klass ./. Bundesrepublik Deutschland, (App. 5029/71), Serie A 28, § 41. Auch in einer Vielzahl anderer Fälle wurden in dem Überwachen und Aufzeichnen von Telefongesprächen Eingriffe in Art. 8 EMRK gesehen, vgl. EGMR, Urteil vom 24. April 1990, Kuslin ./. Frankreich, (App. 11801/85), Serie A 176-A, § 26; EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 45. 273 EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, (App. 8691/79), Serie A 82, § 84. 274 EGMR, Urteil vom 25. März 1998, Kopp ./. Schweiz, (App. 23224/94), Reports 1998 II, § 53: „Interception of telephone calls constitutes ‚interference by a public authority‘, within the meaning of Article 8 § 2, with the exercise of a right guaranteed to the applicant under paragraph 1 (see, among other authorities, the Malone v. the United Kingdom judgment of 2 August 1984, Series A no. 82, p. 30, § 64, and the above-mentioned Halford judgment, p. 1017, § 48 in fine). The subsequent use of the recordings made has no bearing on that finding.“; so auch später EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 70. 275 EGMR, Urteil vom 26. März 1987, Leander, (App. 9248/81), Serie A 116, § 48.

136

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

war auch Gegenstand der Untersuchungen im Fall M. S. gegen Schweden.277 Die behandelnde Klinik hatte vertrauliche Krankenakten über die Beschwerdeführerin ohne deren Kenntnis an eine andere öffentliche Einrichtung, die Sozialversicherungsstelle, weitergeleitet. Hierzu waren öffentliche Stellen, zu denen auch die Klinik gehörte, nach schwedischem Recht – ungeachtet der Kenntnis oder Zustimmung des Patienten – unter bestimmten Umständen verpflichtet. Obwohl die Akten weiterhin vertraulich behandelt wurden, stellte das Gericht fest, dass die darin enthaltenen Informationen einem größeren Kreis von Angestellten des öffentlichen Dienstes zur Kenntnis gelangten. Weiterhin seien die in der Krankenakte gespeicherten Daten im Zusammenhang mit der medizinischen Behandlung in der Klinik erhoben und gespeichert worden, während die Weiterleitung an die Sozialversicherungsstelle einem gänzlich anderen Zweck, nämlich der Überprüfung des Entschädigungsanspruches gegen den Versicherungsträger, gedient habe. Der EGMR kommt daher zu dem Schluss, dass in der Weitergabe der Daten ein Eingriff in Art. 8 EMRK zu erblicken ist.278 Dieses Ergebnis korrespondiert mit dem in Art. 5 lit. b der Datenschutzkonvention festgehaltenen Zweckbindungsgrundsatz, nach dem personenbezogene Daten, die automatisch verarbeitet werden, für festgelegte und rechtmäßige Zwecke gespeichert sein müssen und nicht so verwendet werden dürfen, dass es mit diesem Zweck unvereinbar ist. Weiterhin müssen gemäß Art. 5 lit. e Datenschutzkonvention personenbezogene Daten so aufbewahrt werden, dass der Betroffene nicht länger identifiziert werden kann, als es der Zweck der Speicherung erfordert. Hinsichtlich der Speicherung von DNA hatte die Kommission etwa festgestellt, dass ein Zeitraum von elf Monaten nicht unangemessen lang sei, wenn die Daten zu Ermittlungen in einem Mordfall benötigt würden.279 Folglich dürfen personenbezogene Daten ohne die Zustimmung des Betroffenen nur für festgelegte Zwecke und innerhalb eines angemessenen Zeitraums verwendet werden. Andernfalls liegt ein Eingriff in Art. 8 Abs. 1 EMRK vor.280 276 Insofern ist der Wortlaut der Französischen Fassung deutlicher: „Tant leur mémorisation que leur communication, assorties du refus d’accorder à M. Leander la faculté de les réfuter, portaient atteinte à son droit au respect de sa vie privée, garanti par l’article 8 par. 1.“ 277 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 2083792), Reports 1997-IV, siehe dazu auch später unter Teil 2, A.III.2.c)cc)(4). 278 So auch EKMR, Entscheidung vom 22. Mai 1995, Andersson ./. Schweden, (App. 20022/92), DR 81-A, 15 (20) und EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 76. 279 EKMR, Entscheidung vom 1. Juli 1992, Williams ./. Vereinigtes Königreich, (App. 19404/92). 280 Vgl. Sicilianos, International Protection of Personal Data, in: Sicilianos/Gavouneli (Hg.), Scientific and Technological Developments & Human Rights, S. 128.

A. Datenschutz durch Art. 8 EMRK

137

c) Verweigerung der Auskunft, Recht auf Einsichtnahme Art. 8 der Datenschutzkonvention sieht umfangreiche Rechte des Betroffenen hinsichtlich der Kenntnis der Existenz von automatisierten Dateien bzw. Datensammlungen vor und gewährleistet unter Umständen ein Recht auf Auskunft.281 Jedoch ist dieses Recht keinesfalls absolut. So macht das Urteil Gaskin282 deutlich, dass ein Anspruch auf Offenlegung des Inhalts von Akten nur im Einzelfall anzunehmen ist und ein Recht auf Auskunft über die übliche Verwendung nicht ohne weiteres angenommen werden kann; „However, the Commission notes at the outset that neither the Convention in general nor Art. 8 in particular grant a right that public authorities should provide general information on the administrative practise in general concerning disclosures of specific personal data.“283

Im konkreten Fall hatte die Behörde angegeben, dass die den Beschwerdeführer betreffenden Akten der Stadtverwaltung keinerlei Angaben über seinen Aufenthalt in einer psychiatrischen Klinik enthielten und daher keine derartigen Informationen an Dritte weitergegeben werden konnten. Da der Beschwerdeführer nicht das Gegenteil beweisen konnte, wurde die Beschwerde als unbegründet abgewiesen. 2. Vorliegen einer Eingriffshandlung Die Frage, ob im Einzelfall tatsächlich ein Eingriff vorliegt, kann insbesondere bei geheimen Abhörmaßnahmen schwierig zu beantworten sein. So bemerkte der Gerichtshof bereits im Urteil Klass, dass auch abstrakte Eingriffsmaßnahmen284 unter Umständen dem Eingriffsbegriff genügen, da der Betroffene geltend machen könne, dass er durch die bloße Existenz geheimer Maßnahmen oder solche Maßnahmen gestattender Gesetze Opfer einer Konventionsverletzung geworden sei. Dabei müsse er nicht behaupten, dass derartige Maßnahmen tatsächlich gegen ihn getroffen worden sind.285 Später schränkt der Gerichtshof dies jedoch offensichtlich ein, indem er verlangt, dass eine geheime Überwachung zumindest mit hinreichender Wahrscheinlichkeit (reasonable likelihood) angenommen können werden muss. So hält der Gerichtshof im Fall Halford fest: 281

Siehe dazu „positive obligations“ Teil 2, A.IV. Siehe dazu Teil 2, A.IV. 283 EKMR, Entscheidung vom 11. Dezember 1986, W. ./. Bundesrepublik Deutschland, (App. 11696/85). 284 Siehe dazu Wildhaber/Breitenmoser in: IntKomm, Art. 8 Rn. 47. 285 EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/ 71), Serie A 28, § 34. 282

138

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

„[t]he evidence justifies the conclusion that there was a reasonable likelihood that calls made by Ms Halford from her office were intercepted by the Merseyside police [. . .]. This interception constituted an ‚interference by a public authority‘, within the meaning of Article 8 para. 2, with the exercise of Ms Halford’s right to respect for her private life and correspondence.“286

Zu beachten ist an dieser Stelle auch, dass die Frage des Eingriffs eng mit der Begründung der Opfereigenschaft, bei der es sich gem. Art. 34 EMRK um eine Zulässigkeitsvoraussetzung handelt,287 verknüpft ist.288 Jedoch ist davon auszugehen, dass der EGMR das Vorliegen dieser Voraussetzung bei geheimen Überwachungsmaßnahmen regelmäßig annehmen wird.289

III. Einschränkungen Wie die Mehrzahl der Konventionsrechte gewährt Art. 8 EMRK kein absolutes Recht, sondern enthält in seinem Abs. 2 Möglichkeiten der Einschränkung. Die durch Art. 8 Abs. 1 EMRK gewährten Rechte werden also nicht schrankenlos gewährleistet. Damit wird dem Gedanken Rechnung getragen, dass jeder menschliche Freiheitsanspruch schon wegen der gleichen Freiheit des Mitmenschen notwendige Grenzen in sich trägt.290 Hier zeigt sich eine deutliche Parallele zu den datenschutzrechtlichen Vorschriften. Da 286

EGMR, Urteil vom 25. Juni 1997, Halford ./. Vereinigtes Königreich, (App. 20605/92), Reports 1997-III, § 48; wohl auch EKMR, Entscheidung vom 6. Juli 1988, Hilton ./. Vereinigtes Königreich, (App. 12015/86), DR 57, 108. 287 Vgl. Peters, Einführung in die Europäische Menschenrechtskonvention, S. 239. 288 Die Opfereigenschaft ist anzunehmen, wenn der Beschwerdeführer betroffen und beschwert (affected and aggrieved) ist, vgl. EKMR, Entscheidung von 5. März 1986, Akdogan ./. Bundesrepublik Deutschland, (App. 11394/85). Siehe dazu auch Rogge, The „victim“ requirement in Art. 25 of the European Convention of Human Rights, in: FS Wiarda, S. 539; ders. in IntKomm, Art. 25, Rn. 207, Villiger, Handbuch der Europäischen Menschenrechtskonvention, Rn. 102. Wildhaber/Breitenmoser bezeichnen das Vorliegen eines Eingriffs daher auch als das materielle, in Art. 8 Abs. 1 EMRK selbst angelegte Gegenstück zu der für die Beschwerdebefugnis vorausgesetzten Opfereigenschaft, in: IntKomm, Art. 8, Rn. 42. 289 Nach Auffassung des Gerichtshofes bestünde andernfalls die Gefahr, dass Art. 8 EMRK in weitem Maße unwirksam werden könne. Da eine geheime Überwachungsmaßnahme der überwachten Person nicht bekannt sei, könne eine Person ohne weiteres in einer der Konvention widersprechenden Weise behandelt oder sogar des durch diesen Artikel garantierten Rechts beraubt werden, ohne es zu wissen und sei somit auch nicht in der Lage, Rechtsmittel einzulegen. Letztendlich könne ein von der Konvention gewährleistetes Recht aber nicht dadurch beseitigt werden, dass der Betroffene sich in Unkenntnis befinde. Daher sei für Personen, die potentiell von einer geheimen Überwachung betroffen sind, ein Beschwerderecht herzuleiten. EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/ 71), Serie A 28, § 36. 290 Berka, ÖZÖRV 37 (1986/87), S. 71.

A. Datenschutz durch Art. 8 EMRK

139

es sich bei diesen nur um eine Ausgestaltung des Grundrechts in einem speziellen Bereich handelt, enthalten sie ebenfalls Ausnahmen und Möglichkeiten der Einschränkung. 1. Die Einschränkung nach datenschutzrechtlichen Grundsätzen Eine Einschränkbarkeit der in den Art. 5, 6 und 8 der Datenschutzkonvention enthaltenen datenschutzrechtlichen Grundsätzen sieht Art. 9 Datenschutzkonvention vor. Nach Art. 9 Abs. 2 der Datenschutzkonvention kann eine Vertragspartei von den oben genannten Artikeln abweichen, wenn dies durch ihr Recht vorgesehen ist und in einer demokratischen Gesellschaft eine notwendige Maßnahme – zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit sowie der Währungsinteressen des Staates oder zur Bekämpfung von Straftaten (lit. a) – oder zum Schutz des Betroffenen oder der Rechte und Freiheiten Dritter (lit. b) ist. Darüber hinaus erlaubt Art. 9 Abs. 3, dass die Rechte nach Art. 8 b–d (also diejenigen, die zum zusätzlichen Schutz dem Betroffenen ein Recht auf Forderung nach Bestätigung, Mitteilung, Berichtigung oder Löschung der Daten bzw. ein Rechtsmittel gewähren) durch Gesetz für automatisierte Dateien bzw. Datensammlungen eingeschränkt werden können, die Zwecken der Statistik oder der wissenschaftlichen Forschung dienen, wenn offensichtlich keine Gefahr besteht, dass der Persönlichkeitsbereich der Betroffenen beeinträchtigt wird. Folglich werden Ausnahmen und Einschränkungen von den Datenschutzprinzipien zur Verwirklichung von Interessen des Staates oder der Betroffenen bzw. Dritter zugelassen.291 Damit entspricht die Vorschrift, die den jeweiligen zweiten Absätzen der Art. 8, 9, 10 und 11 der EMRK nachgebildet ist,292 weitestgehend293 den in 291

Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 468. CoE, Explanatory Report, point 55 ff.; Hondius, NILR 1983, S. 117; Henke, Die Datenschutzkonvention des Europarates, S. 148; Bergmann, Grenzüberschreitender Datenverkehr, S. 147. 293 Die Vorschrift des Art. 9 Abs. 2 Datenschutzkonvention ist insoweit weiter als Art. 8 Abs. 2 EMRK, als dass sie auch Einschränkungen zum Schutze der Währungsinteressen des Staates erlaubt. Bei diesen Interessen handelt es sich vor allem um die Steuerveranlagung, Zölle und Devisen. Da die Strafverfolgung in diesen Fällen jedoch schon von dem Merkmal „Bekämpfung von Straftaten“ erfasst wird, muss man annehmen, dass diese Variante die Errichtung eines Informationssystems zur Überwachung des Verhaltens von einzelnen Bürgern gestatten soll. Vgl. Hondius, NILR 1983, S. 117. 292

140

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Art. 8 Abs. 2 EMRK vorgesehenen Einschränkungsmöglichkeiten.294 Ein augenfälliger Unterschied zu Art. 8 Abs. 2 EMRK besteht jedoch darin, dass die Datenschutzkonvention keine Einschränkungsmöglichkeiten zum Schutze der Gesundheit oder der Moral vorsieht.295 2. Die Einschränkung nach Art. 8 Abs. 2 EMRK Gemäß Art. 8 Abs. 2 EMRK296 kann ein Eingriff in den Schutzbereich von Art. 8 Abs. 1 EMRK dann gerechtfertigt sein, wenn der Eingriff gesetzlich vorgesehen ist, ein legitimes Ziel verfolgt und in einer demokratischen Gesellschaft notwendig ist. Als Ausnahme zu einem in der Konvention gewährten Recht muss die Vorschrift eng ausgelegt werden.297 a) Gesetzlich vorgesehen Ein Eingriff ist gesetzlich vorgesehen, wenn eine ausreichende gesetzliche Basis im innerstaatlichen Recht besteht.298 Wann eine solche Rechtsgrundlage als ausreichend angesehen werden kann, lässt sich anhand der Praxis der Konventionsorgane nachvollziehen. aa) Gesetzliche Grundlage Zunächst bedarf ein Eingriff in eines der in Art. 8 Abs. 1 EMRK genannten Rechtsgüter einer gesetzlichen Grundlage im innerstaatlichen Recht. Welche Anforderungen an die Gesetzesgrundlage zu stellen sind, wurde durch die Rechtsprechung genauer bestimmt. Festzuhalten ist, dass die Formulierung „in acordance with the law“299 bzw. „prévue par loi“ einen autonomen, vom innerstaatlichen Recht unabhängigen Gesetzesbegriff ent294

Dazu im Einzelnen sogleich unter Teil 2, A.III.2. Zu den Ausnahmevorschriften im Einzelnen siehe die ausführliche Darstellung bei Henke, Die Datenschutzkonvention des Europarates, S. 148 ff. 296 Auf die allgemeinen Schrankenregelungen der Art. 15–17 EMRK soll an dieser Stelle nicht weiter eingegangen werden. 297 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 47. 298 Meyer-Ladewig, Hk-EMRK, Art. 8 Rn. 38; van Dijk/van Hoof, Theory and Practice of the European Convention of Human Rights, S. 766. 299 Anders der Wortlaut der ähnlichen Schranken in Art. 9, 10 und 11 EMRK, in denen es „prescribed by law“ bzw. „prévues par la loi“ heißt. Der Gerichthof hat jedoch festgestellt, dass beide Schrankenregelungen inhaltlich gleich ausgelegt werden, siehe EGMR, Urteil vom 25. März 1983, Silver ./. Vereinigtes Königreich, (App. 5947/72 u. a.), Serie A 61, § 85. 295

A. Datenschutz durch Art. 8 EMRK

141

hält.300 Weiterhin gehen die Konventionsorgane bei der Auslegung des Begriffs von einem weiten Verständnis aus. So werden von dem Begriff „loi“ bzw. „law“ auch Vorschriften des ungeschriebenen Rechts301 und untergesetzliche Vorschriften302 erfasst. Dementsprechend hat der Gerichtshof mehrfach betont, dass nicht nur Gesetze im formellen Sinne, sondern auch materielle Gesetze von Art. 8 Abs. 2 EMRK erfasst werden.303 Berücksichtigt wird zudem die Rechtsprechung nationaler Gerichte.304 Neben der Zulässigkeit einer Eingriffsmaßnahme nach innerstaatlichem Recht prüfen die Konventionsorgane auch deren tatsächliche Übereinstimmung mit der Rechtsgrundlage. In ständiger Rechtsprechung haben sie jedoch die Subsidiarität ihrer Überprüfungsbefugnis festgestellt. In erster Linie sei es Sache der hierfür besonders qualifizierten nationalen Behörden und Gerichte, das innerstaatliche Recht auszulegen und anzuwenden.305 Wo die Grenzen dieser Kontrollbefugnis im Einzelnen zu ziehen sind, ist aber schwierig zu beurteilen.306 300

Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 528. EGMR, Urteil vom 26. April 1979, Sunday Times ./. Vereinigtes Königreich, (App. 6538/74), Serie A 30, § 47, in dem der Gerichtshof festgestellt hatte, dass auch die Regeln des Common Law unter den Begriff „law“ zu subsumieren seien. Siehe dazu EGMR, Urteil vom 28. Oktober 1994, Murray ./. Vereinigtes Königreich, (App. 14310/88), Serie A, 300-A, § 88. 302 EGMR, Urteil vom 18. Juni 1971, de Wilde, Ooms und Versyp ./. Belgien, (App. 2832/66 u. a.), Serie A 12, § 93. 303 EGMR, Urteil vom 24. April 1990, Huvig ./. Frankreich, (App. 11105/84), Serie 176-B, § 28, EGMR, Urteil vom 24. April 1990, Kruslin ./. Frankreich, (App. 11801/85), Serie A 176-A, § 28. 304 Der Gerichtshof hat im Fall Huvig ./. Frankreich festgestellt: „In a sphere covered by the written law, the ‚law‘ is the enactment in force as the competent courts have interpreted it in the light, if necessary, of any new practical developments.“ Er würdigte damit, dass die französischen Gerichte und insbesondere auch der Cour de Cassation schon seit vielen Jahren bestimmte Vorschriften des Strafprozessrechts als Rechtsgrundlage für die Überwachung von Telefongesprächen durch einen officier de police judiciaire anerkannt hatten, obwohl sich dies aus dem Wortlaut der Vorschrift nicht ohne weiteres ergab; EGMR, Urteil vom 24. April 1990, Huvig ./. Frankreich, (App. 11105/84), Serie A 176-B, § 28. 305 EGMR, Urteil vom 30. März 1989, Chappell ./. Vereinigtes Königreich, (App. 10461/83), Serie A 152-A, § 54; EGMR, Urteil vom 24. April 1990, Kruslin ./. Frankreich, (App. 11801/85), Serie A 176-A, § 39; EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 52; EGMR, Urteil vom 17. Juli 2003, Craxi ./. Italien (Nr. 2), (App. 25337/94). 306 So beschäftigten sich die Straßburger Organe im Fall Chappell ausführlich mit der Frage, ob eine Durchsuchung von der Rechtsgrundlage gedeckt war. Der EGMR ließ zunächst offen, ob die Grundlage der Maßnahme in der impliziten Kompetenz des britischen Gerichts oder im Common Law zu sehen war und prüfte dann eingehend, ob die Anordnung und Durchführung im vorliegenden Fall rechtmäßig gewesen war; EGMR, Urteil vom 30. März 1989, Chappell ./. Vereinigtes 301

142

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Ein Beispiel für eine eingehende Überprüfung einer innerstaatlichen Rechtsgrundlage durch den EGMR bietet der Fall Kopp gegen die Schweiz. Darin beschäftigte sich der Gerichtshof mit der gesetzlichen Grundlage für geheime Überwachungsmaßnahmen.307 Nach den Schweizer Vorschriften über die Überwachung der Fernmeldeanschlüsse von Drittpersonen sind Personen, denen ein Zeugnisverweigerungsrecht zusteht, von der Überwachung auszuschließen. Obwohl dem Beschwerdeführer in seiner Eigenschaft als Anwalt ein solches Zeugnisverweigerungsrecht zustand, hatten die Schweizer Behörden die Telefonüberwachung angeordnet. In dem Verfahren vor dem Gerichtshof rechtfertigte die Schweizer Regierung dies unter Berufung auf eine im Schrifttum vertretene Auffassung und die Rechtsprechung des Bundesgerichts, wonach die Privilegien der rechtsberatenden Berufe nur auf Tätigkeiten Anwendung fänden, die im engen Zusammenhang mit der Ausübung des Anwaltsberufs stünden. Das Telefon des Beschwerdeführers war jedoch im Rahmen von staatsanwaltschaftlichen Ermittlungen gegen seine Frau und nicht wegen seiner Tätigkeit als Anwalt angezapft worden. Dies führte die Regierung zu dem Schluss, dass der Eingriff von der gesetzlichen Grundlage gedeckt war. Der Gerichtshof wies diese Argumentation jedoch zurück. Er betont, dass das Abhören und andere Formen der Überwachung von Telefongesprächen einen schwerwiegenden Eingriff in das Privatleben darstelle und daher auf eine besonders präzise gesetzliche Vorschrift gestützt werden müsse. Auch wenn das Erfordernis eines Bezugs zur anwaltlichen Tätigkeit ein in der Rechtsprechung allgemein anerkanntes Prinzip sei, würden Telefongespräche zwischen Rechtsanwälten und Klienten doch grundsätzlich geschützt. Das innerstaatliche Recht schreibe aber nicht eindeutig vor, wie, durch wen und unter welchen Voraussetzungen darüber entschieden werde, ob ein solches Gespräch geführt wird. Im Ergebnis lasse das Schweizer Recht – ob geschrieben oder ungeschrieben – den Umfang und die Art des den Behörden eingeräumten Ermessens nicht ausreichend erkennen.308 Auch im Urteil Amann309 bestanden Zweifel am Bestehen einer die Anforderungen des Art. 8 Abs. 2 EMRK erfüllenden gesetzlichen Grundlage. Die einschlägigen Vorschriften des Schweizer Rechts enthielten keine ausKönigreich, (App. 10461/83), Serie A 152, § 52 ff. Eine materielle Prüfung war zuvor auch durch mehrere Kommissionsmitglieder in einer abweichenden Meinung erfolgt, während die Kommissionsentscheidung selbst nur eine oberflächliche Prüfung enthält; EKMR, Entscheidung vom 14. Oktober 1987, Serie B 142, § 102 ff., und die abweichende Meinung des Kommissionsmitglieds Frowein, unterstützt durch Trechsel, Busuttil, Schermers und Vandenberghe. 307 Zu den Besonderheiten bei geheimen Überwachungsmaßnahmen siehe unter Teil 2, A.III.2.a)dd)(2). 308 EGMR, Urteil vom 25. März 1998, Kopp ./. Schweiz, (App. 23224/94), Reports 1998-II, §§ 72–75.

A. Datenschutz durch Art. 8 EMRK

143

drückliche Ermächtigung zum Anlegen einer Karteikarte im nationalen Sicherheitskartenregister. Der Gerichtshof vermied aber eine eingehende Prüfung, indem er feststellte, dass die Regelung nicht vorhersehbar und schon aus diesem Grund nicht gesetzlich vorgesehen war.310 Ein neueres Beispiel für die Auseinandersetzung mit der gesetzlichen Grundlage bietet das Urteil im Fall Craxi gegen Italien.311 Im Verlaufe staatsanwaltlicher Ermittlungen – unter anderem wegen des Verdachts der Korruption – gegen den ehemaligen italienischen Premierminister Craxi, waren dessen Telefongespräche abgehört worden. Eine Niederschrift der Mitschnitte dieser Gespräche gelangte zu den Akten der Staatsanwaltschaft und wurde während einer öffentlichen mündlichen Verhandlung im Gerichtssaal verlesen. Herr Craxi rügte unter anderem, dadurch in seinen Rechten aus Art. 8 Abs. 1 EMRK verletzt worden zu sein. Das italienische Recht sehe vor, dass die Niederschriften zunächst zu den Akten des Gerichts gelangen müssten, um einerseits der Verteidigung eine Stellungnahme zu ermöglichen und um andererseits solche Passagen herauszustreichen, die für die Verhandlung irrelevant sind. Der Gerichtshof untersucht zunächst die entsprechende Vorschrift der italienischen Strafprozessordnung und kommt zu dem Ergebnis, dass die Vorschrift bezwecke, Informationen, die für das gerichtliche Verfahren ohne Bedeutung seien, herauszufiltern, um das Recht auf Achtung des Privatlebens und der Korrespondenz des Betroffenen zu schützen. Anschließend prüft er die Entscheidung des nationalen Gerichts nach, das mit dieser Sache befasst war. Dieses hatte angenommen, dass die betreffende Vorschrift grundsätzlich nur bei Abhörmaßnahmen Anwendung finde, die im Rahmen einer Voruntersuchung stattgefunden haben. Da die Maßnahme im vorliegenden Fall jedoch erst nach Eröffnung des Verfahrens angeordnet worden war, erklärte es sie als mit den prozessualen Vorschriften vereinbar. Der EGMR kommt jedoch zu einem anderen Ergebnis, indem er feststellt, dass die Rechtsgrundlage, auf die die Behörden ihre Abhörmaßnahmen gestützt hatten, vorsah, dass die entsprechende prozessuale Vorschrift zum Schutz des Betroffenen „wenn möglich“ auch nach Abschluss des Vorverfahrens beachtet werden solle. Da das nationale Gericht in seinem Urteil aber in keiner Weise darauf eingegangen war, warum es im vorliegende Fall unmöglich gewesen sei, die Schutzvorschriften anzuwenden, schloss er, dass der Eingriff nicht gesetzlich vorgesehen war.312 309 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 75. 310 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 75. 311 EGMR, Urteil vom 17. Juli 2003, Craxi ./. Italien (Nr. 2), (App. 25337/94). 312 EGMR, Urteil vom 17. Juli 2003, Craxi ./. Italien (Nr. 2), (App. 25337/94), § 80 ff.

144

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Trotz der gründlichen Prüfung der Vereinbarkeit mit der Rechtsgrundlage im Fall Craxi lässt sich in der Rechtsprechung des Gerichts aber keine allgemeine Tendenz zur Einmischung in die Kompetenzen der nationalen Gerichte erkennen. Vielmehr bezieht sich der Gerichtshof auch in neueren Urteilen meist auf die Entscheidungen nationaler Gerichte, ohne eine eigene materielle Prüfung vorzunehmen.313 bb) Anforderungen an die Qualität des Gesetzes Jedoch hat die Rechtsprechung zusätzliche Kriterien für das Erfordernis der gesetzlichen Grundlage geschaffen und damit das Merkmal genauer ausgestaltet. Die bloße Existenz einer gesetzlichen Grundlage reiche demnach schon deshalb nicht aus, weil das Merkmal seinen Ursprung im Rechtsstaatsprinzip habe.314 Dementsprechend wird in den Teilsatz „vom Gesetz vorgesehen“ hineingelesen, dass das innerstaatliche Recht den durch Art. 8 Abs. 1 EMRK garantierten Rechten einen gewissen Schutz gegenüber willkürlichen Eingriffen der öffentlichen Gewalt gewähren muss.315 Der Aspekt der Willkür findet sich in den Ausführungen der Straßburger Organe zur gesetzlichen Grundlage – wenn auch an verschiedenen Stellen – immer wieder. Diesem „Willkürverbot“ wird dann Rechnung getragen, wenn das Gesetz für den Bürger zugänglich und vorhersehbar ist.316 Aber auch praktische Erwägungen haben zur Einführung eines regulativen Elementes geführt. Durch die Anwendung des weiten Gesetzesbegriffs werden viele Eingriffe zunächst von Art. 8 Abs. 2 EMRK erfasst. Um den Anwendungsbereich der Schranken nicht zu weit auszudehnen, sind die Konventionsorgane um eine Einschränkung bemüht. Zusätzlich zu den formalen Kriterien verlangt der Gerichtshof daher, dass das Gesetz die genannten qualitativen Merkmale, Zugänglichkeit und Vorhersehbarkeit, erfüllt.317 313 Siehe etwa EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX, § 61. ff.; EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98), § 66; EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 62737/00), § 47. 314 EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, (App. 8691/79), Serie A 82, § 67. 315 Dies ergebe sich schon aus Gegenstand und Ziel von Art. 8 EMRK, siehe dazu EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, (App. 8691/79), Serie A 82, § 67. 316 EGMR, Urteil vom 26. April 1979, Sunday Times ./. Vereinigtes Königreich, (App. 6538/74), Serie A 30, § 49; EGMR, Urteil vom 20. Mai 1999, Rekvenyi ./. Ungarn, (App. 25390/94), Reports 1999-III. 317 EGMR, Urteil vom 21. Februar 1975, Golder ./. Vereingtes Königreich, (App. 4451/70), Serie A 18 § 34; EGMR, Urteil vom 25. März 1983, Silver ./. Vereinigtes

A. Datenschutz durch Art. 8 EMRK

145

cc) Die Zugänglichkeit des Gesetzes Die Zugänglichkeit des Gesetzes erfordert, dass der Bürger in einer den Umständen nach hinreichenden Weise erkennen kann, welche Vorschriften auf einen gegebenen Fall anwendbar sind.318 Dies ist regelmäßig dann der Fall, wenn der Rechtsakt veröffentlicht worden ist.319 Das Urteil Leander 320 ist eine der wenigen Entscheidungen mit datenschutzrechtlichem Bezug, in der sich der Gerichtshof mit der Frage der Zugänglichkeit eines Gesetzes auseinandersetzt. Überprüft wurde die Gesetzesqualität der Rechtsgrundlage für die Speicherung und Verarbeitung der Daten in dem geheimen Polizeiregister. Die Verarbeitung der Daten von Herrn Leander beruhte auf der Personnel Control Ordinance, einer Verordnung, die einen Ermessensspielraum enthält, und daher ihrerseits durch Anweisungen der Regierung näher ausgestaltet ist. Der Gerichtshof stellte fest, dass nur eine dieser Anweisungen veröffentlicht worden war und somit als zugänglich betrachtet werden konnte. Insgesamt betrachtet wirft die Zugänglichkeit des Gesetzes aber meist keine großen Probleme auf. Von größerer praktischer Relevanz ist daher die Frage, ob eine gesetzliche Regelung auch vorhersehbar ist. dd) Die Vorhersehbarkeit des Gesetzes Die Vorhersehbarkeit der gesetzlichen Grundlage ist ein weiteres Element, das den Bürger vor der Willkür des Staates schützen soll. Vorhersehbar ist ein Gesetz, wenn es hinreichend bestimmt gefasst ist, so dass der Bürger sein Verhalten danach richten kann.321 Königreich, (App. 5947/72 u. a.), Serie A 61, § 90; EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, Serie A 82 § 67; EGMR, Urteil vom 24. März 1988, Olsson ./. Schweden (Nr. 1); (App. 10465/83), Serie A 130, § 57; EGMR, Urteil vom 24. April 1990, Kruslin ./. Frankreich, (App. 11801/85), Serie A, § 30; EGMR, Urteil vom 24. April 1990, Huvig ./. Frankreich, (App. 11105/84), Serie A 176-B, § 29; EGMR, Urteil vom 17. Juli 2003, Perry ./. Vereinigtes Königreich, (App. 63737/00), § 45. 318 EGMR, Urteil vom 26. April 1979, Sunday Times ./. Vereinigtes Königreich, (App. 6538/74), Serie A 30, § 47 ff.; Grabenwarter, Europäische Menschenrechtskonvention, § 18 Rn. 10; Matscher, Der Gesetzesbegriff der EMRK, in: Adamovich/Kobzina, (Hg.), Der Rechtsstaat in der Krise, FS Loebenstein, S. 113 m. w. N. 319 Siehe dazu der Fall EGMR, Urteil vom 25. März 1983, Silver ./. Vereinigtes Königreich, (App. 5947/72 u. a.), Serie A 61, § 87, in dem der Gerichtshof zwar dem britischen Prison Act und der Gefängnisordnung, nicht hingegen den nicht veröffentlichten Verfügungen und Richtlinien der Behörde Gesetzesqualität zusprach. 320 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116 § 55, zu den Einzelheiten des Falls siehe oben unter A.I.2.b)aa)(6). 321 EGMR, Urteil vom 26. April 1979, Sunday Times ./. Vereinigtes Königreich, (App. 6538/74), Serie A 30, § 49; EGMR, Urteil vom 25. März 1983, Silver ./. Ver-

146

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

(1) Eingeschränkte Vorhersehbarkeit durch Ermessen Die Frage nach der Vorhersehbarkeit stellt sich vor allem bei Vorschriften, die einen Ermessensspielraum einräumen. Hierzu stellte der Gerichtshof fest, dass ein Gesetz, das einen Ermessensspielraum einräumt, dessen Umfang bestimmen muss,322 während der vom Gesetz verlangte Bestimmtheitsgrad vom behandelten Gegenstand abhängt.323 So wurde die Personnel Control Ordinance im Fall Leander vom Gerichthof als vorhersehbar charakterisiert, obwohl die Vorschrift den Behörden ein weites Ermessen hinsichtlich der Art der in dem Polizeiregister gespeicherten Informationen einräumte. Die Verordnung enthielt jedoch eindeutige und detaillierte Vorschriften über die Herausgabe von Informationen, wie etwa eine Aufzählung der Behörden, an die diese Informationen weitergeleitet werden dürfen, sowie Regelungen über das Verfahren und die Umstände, die bei einer Weitergabe zu beachten sind.324 Behördliches Ermessen war auch Gegenstand des Urteils im Fall M. S. gegen Schweden.325 Die Vorschrift, die Kliniken zur Herausgabe von Krankenakten ermächtigte, sah vor, dass nur solche Informationen herausgegeben werden durften, die auch tatsächlich angefordert worden waren.326 In ihrem Ersuchen an die Klinik hatte die Behörde nur diejenigen medizinischen Daten angefordert, die eine Rückenverletzung der Beschwerdeführerin im Jahre 1981 betrafen. Die Klinik hatte jedoch Unterlagen bis zum Jahr 1986 herausgegeben. Nach Auffassung der Beschwerdeführerin war die Klinik damit über das Ersuchen der Sozialversicherungsstelle hinauseinigtes Königreich, (App. 5947/72 u. a.), Serie A 61, § 87; Meyer-Ladewig, HkEMRK, Art. 8, Rn. 38. 322 „A law which confers discretion must indicate the scope of that discretion. However, the Court has already recognised the impossibility of attaining absolute certainty in the framing of laws and the risk that the search for certainty may entail excessive rigidity.“, EGMR, Urteil vom 25. März 1983, Silver ./. Vereinigtes Königreich, (App. 5947/72 u. a.), Serie A 61, § 88. 323 „[The citizen] must be able – if need be with appropriate advice – to foresee, to a degree that is reasonable in the circumstances, the consequences which a given action may entail.“ EGMR, Urteil vom 26. April 1979, Sunday Times ./. Vereinigtes Königreich, (App. 6538/74), Serie A 30, § 49. 324 „Explicit and detailed provisions as to what information may be handed out, the authorities to which information may be communicated, the circumstances in which such communication may take place and the procedure to be followed by the National Police Board when taking decisions to release information.“, EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 55. 325 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Rep. 1997-IV. 326 „Only data requested should be produced“, EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Reports 1997-IV, § 36.

A. Datenschutz durch Art. 8 EMRK

147

gegangen, so dass diese Daten nicht mehr von der Anfrage der Behörde gedeckt waren. Der Gerichtshof folgte dieser Ansicht jedoch nicht. Er vertritt die Auffassung, dass sich der Umfang der Verpflichtung zur Herausgabe der Akten entscheidend nach der Relevanz der Informationen bestimme. Auf den Wortlaut des Gesuchs komme es hingegen nicht an.327 (2) Sonderfall geheime Überwachungsmaßnahmen In der Rechtsprechung der Konventionsorgane zu der Vereinbarkeit von Ermessensspielräumen mit dem Prinzip der Vorhersehbarkeit nimmt eine Kategorie von Fällen eine besondere Rolle ein. Diese betrifft vom Staat durchgeführte geheime Überwachungsmaßnahmen. Wenn der Staat derartige Maßnahmen durchführt, stellen sich besondere Probleme der Vorhersehbarkeit. Die Heimlichkeit der Maßnahmen soll es dem Staat ermöglichen, in den Besitz von ihm sonst unzugänglichen Informationen zu kommen. Da der Bürger von der Durchführung der Maßnahme aber regelmäßig keine Kenntnis hat, ist es ihm meist nicht möglich, sein Verhalten entsprechend anzupassen. Hierzu stellte der Gerichtshof im Fall Malone fest, dass die Anforderungen hinsichtlich der Vorhersehbarkeit, wenn sie speziell die Kommunikationsüberwachung zu Erkenntniszwecken der Polizei betreffen, andere seien, als wenn das Gesetz selbst Einschränkungen für das Verhalten des Einzelnen vorsehe. Insbesondere könne das Verlangen nach Vorhersehbarkeit nicht bedeuten, dass es dem Einzelnen ermöglicht werden solle, vorauszusehen, ob und wann die Gefahr einer Überwachung seines Telefonverkehres durch die Behörden besteht, damit er sein Verhalten demgemäß bestimmen kann.328 Allerdings hatte man damit lediglich negativ festgestellt, was hinsichtlich der Vorhersehbarkeit nicht gefordert werden kann. Positive Kriterien für Gesetze zur Regelung der Telefonüberwachung formulierte der Gerichtshof erst in den Fällen Huvig und Kruslin. Das innerstaatliche Recht müsse nicht nur die Kategorien von Personen bestimmen, deren Telefongespräche abgehört werden dürfen – auch müsse festgelegt sein, bei welchen Arten von Straftaten eine solche Maßnahme in Frage komme. Darüber hinaus müsse 327

EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Reports 1997-IV, § 37. 328 „Undoubtedly [. . .], the requirements of the Convention, notably in regard to foreseeability, cannot be exactly the same in the special context of interception of communications for the purposes of police investigations as they are where the object of the relevant law is to place restrictions on the conduct of individuals.“, EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, (App. 8691/ 79), Serie A 82, § 67.

148

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

die Vorschrift eine zeitliche Begrenzung der Maßnahme und das Verfahren bei der Zusammenstellung eines zusammenfassenden Berichts der abgehörten Gespräche enthalten. Schließlich sei es erforderlich, auch die Umstände zu benennen, unter denen die Aufzeichnungen gelöscht und die Tonbänder vernichtet werden können oder müssen.329 Als nicht vorhersehbar stufte der Gerichtshof im Fall Valenzuela Contreras gegen Spanien330 die Anordnung einer telefonischen Überwachungsmaßnahme durch einen Richter ein, da als einzige Rechtsgrundlage die spanische Verfassung diente. Obwohl der Richter sich mangels einer Durchführungsbestimmung bemüht hatte, die Voraussetzungen des Eingriffs entsprechend der in Huvig und Kruslin geforderten Kriterien festzulegen, erachtete der Gerichtshof sie als nicht gesetzlich vorgesehen.331 Ausführlich ging der Gerichtshof auf die Frage des Ermessens auch im Fall Amann ein. Die Vorschriften, auf die sich die Schweizer Behörden beim Anzapfen des Telefons des Beschwerdeführers beriefen,332 waren in seinen Augen nicht hinreichend eindeutig und detailliert: „[Article 1] contains no indication as to the persons concerned by such measures, the circumstances in which they may be ordered, the means to be employed or the procedures to be observed.“333

Diese Kriterien finden sich in der Rechtsprechung des Gerichtshofes immer wieder.334 Aus ihnen lassen sich daher konkrete Leitlinien für den Inhalt innerstaatlicher Abhörgesetze ablesen.

329 EGMR, Urteil vom 24. April 1990, Huvig ./. Frankreich, (App. 11105/84), Serie A 176-B, § 34; EGMR, Urteil vom 24. April 1990, Kruslin ./. Frankreich, (App. 11801/85), Serie A 176-A, § 35. 330 EGMR, Urteil vom 30. Juli 1998, Valenzuela Contreras ./. Spanien, (App. 27671/95), Reports 1998-V. 331 EGMR, Urteil vom 30. Juli 1998, Valenzuela Contreras ./. Spanien, (App. 27671/95), Reports 1998-V, § 61. 332 Art. 1 des Dekrets des Bundesrates vom 29.4.1958 über den Polizeidienst der Bundesanwaltschaft sowie § 17 Abs. 3 der Bundestrafprozessordnung. 333 EGMR, Urteil vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, § 58. 334 Siehe etwa EGMR, Urteil vom 30. Juli 1998, Valenzuela Contreras ./. Spanien, Reports 1998-V, § 46; EGMR, Urteil vom 18. Februar 2003, Prado Bugallo ./. Spanien, (App. 58496/00), § 31 ff.; vgl. auch die Urteile zur Überwachung der Korrespondenz, EGMR, Urteil vom 15. November 1996, Domenichini ./. Italien, (App. 15943/90), Reports 1996-V, § 32; EGMR, Urteil vom 15. November 1996, Calogero Diana ./. Italien, (App. 15211/89), Reports 1996-V, § 32.

A. Datenschutz durch Art. 8 EMRK

149

(3) Mindestanforderungen für Vorschriften zum Erheben und Speichern von Daten Auch für Vorschriften, die das Sammeln und Speichern von Daten gestatten, hat der Gerichtshof Mindestanforderungen formuliert. Die Rechtsgrundlage, auf die sich die Regierung im Fall Rotaru berief, gestattete den Behörden, Daten von Bedeutung für die nationale Sicherheit zu sammeln, zu speichern und zu benutzen. Gestützt auf diese Vorschrift hatte das mit der Sache befasste rumänische Gericht die Rechtmäßigkeit der Verwahrung der Archive der ehemaligen Staatssicherheit durch den Geheimdienst festgestellt. In den Augen des EGMR fehlte es der Rechtsgrundlage jedoch an der Vorhersehbarkeit, weil die Grenzen der Befugnisse zur Informationssammlung und Verarbeitung nicht festgelegt waren. So bemängelt er fehlende Regelungen zu der Frage, welche Art von Informationen gespeichert und für welche Zwecke die Daten verwendet werden dürfen und welches Verfahren dabei beachtet werden muss. Große Bedeutung maß der Gerichtshof auch dem Fehlen einer Bestimmung über das zulässige Höchstalter der Informationen und die Zeitspanne, innerhalb der sie verwendet werden durften, bei. Auch die Rechte des Betroffenen waren nicht berücksichtigt worden.335 ee) Ergebnis Insgesamt lässt sich festhalten, dass aus datenschutzrechtlicher Sicht die Vorhersehbarkeit einer Regelung das wichtigste Kriterium bei der Beurteilung einer gesetzlichen Grundlage darstellt. So hat der Gerichtshof in seiner Rechtsprechung einen Katalog von Schutzmaßnahmen entwickelt, die das innerstaatliche Recht zu gewährleisten hat. Diese Schutzvorschriften enthalten insbesondere Regelungen zur Ausgestaltung des Verfahrens.336 Dabei macht es keinen wesentlichen Unterschied, ob es um die offene oder geheime Erhebung oder Speicherung von Daten geht. So muss das innerstaatliche Recht die Art der zu speichernden Informationen bezeichnen, Regelungen hinsichtlich des zulässigen Alters und der zulässigen Höchstdauer der Aufbewahrung der Daten treffen, die Personen, die zur Einsicht in die 335

EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 57. 336 Auf das in gesicherter Rechtsprechung festgestellte Erfordernis einer Rechtsgrundlage für das Verfahren weist schon Matscher hin. Danach bedürften nicht nur die materiellen Voraussetzungen der Zulässigkeit einer gesetzlichen Grundlage, sondern auch die Modalitäten der Ausübung des Eingriffsrechts. Matscher, Der Gesetzesbegriff der EMRK, in: Adamovich/Kobzina, (Hg.), Der Rechtsstaat in der Krise, FS Loebenstein, S. 107.

150

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Daten befugt sind, bezeichnen und die Umstände nennen, unter denen die erhobenen Daten gelöscht bzw. vernichtet werden müssen.337 Weiterhin ist anzumerken, dass sich der Gerichtshof ebenso wie bei der Prüfung der Übereinstimmung der jeweiligen Maßnahme mit nationalem Recht auch bei der Beurteilung des Ermessensspielraums unter Umständen sehr eingehend mit nationalen Vorschriften beschäftigt. Dabei setzt er sich augenscheinlich über den Grundsatz hinweg, dass er die Auslegung des nationalen Rechts durch die nationalen Gerichte zu respektieren hat.338 Er läuft so stetig Gefahr, dass das Verfahren den Charakter einer abstrakten Normenkontrolle annimmt. Besonders augenfällig ist diese Tendenz bei der Durchführung geheimer Überwachungsmaßnahmen.339 Eine Normenkontrolle wird jedoch durch die Konvention eigentlich nicht zugelassen. Normalerweise beschränkt der Gerichtshof seine Prüfung daher auf die Frage, ob die Maßnahme im konkreten Fall eine Konventionsverletzung bedeutete und ob dies auch zum Nachteil des Beschwerdeführers geschah.340 Bei geheimen Überwachungsmaßnahmen kommt es aber auf den Bezug zur Person des Beschwerdeführers nicht an.341 Die Opfereigenschaft gemäß Art. 34 EMRK wird in diesen Fällen bereits durch das Bestehen eines Gesetzes begründet.342 In Verbindung mit dem ausführlichen Katalog von Mindestanforderungen, die an Abhörmaßnahmen zu stellen sind, führt dies zu einer beachtlichen Einflussmöglichkeit der Konvention auf das nationale Recht. 337 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 57. 338 Zu diesem Grundsatz Jacobs, The European Convention of Human Rights, S. 202; Merrills/Robertson, Human Rights in Europe, S. 218. 339 Siehe auch Breitenmoser, Der Schutz der Privatsphäre gemäß Art. 8 EMRK, S. 73. 340 „It is not the function of the Court to elaborate a general theory of the limitations admissible in the case of convicted prisoners, nor even to rule in abstracto on the compatibility of Rules [. . .] with the Convention. Seized with a case which has its origin in a petition presented by an individual, the Court is called upon to pronounce itself only on the point whether or not the application of those Rules in the present case violated the Convention [. . .].“, EGMR, Urteil vom 21. Februar 1975, Golder ./. Vereingtes Königreich, (App. 4451/70), Serie A 18, § 39. 341 In einem gewissen Maße erkennt dies auch der Gerichtshof. Auf den Vorwurf, dass er nicht abstrakt über die Vereinbarkeit nationaler Vorschriften mit der Konvention zu urteilen habe, entgegnet er, dass eine gewisse Abstraktion bei der Prüfung, ob eine Maßnahme gesetzlich vorgesehen sei, unvermeidbar sei. Schließlich müsse er die Vereinbarkeit der zum jeweiligen Zeitpunkt geltenden nationalen Vorschriften mit dem Rechtsstaatsprinzip überprüfen. Nichtsdestotrotz gehe es um die Frage der Qualität des nationalen Gesetzes, das im konkreten Fall Anwendung finde. EGMR, Urteil vom 24.04.1990, Huvig ./. Frankreich, (App. 11105/84), Serie A 176-B, § 31. 342 EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, Serie A 28, § 39.

A. Datenschutz durch Art. 8 EMRK

151

b) Legitimes Ziel Soweit der Gerichtshof festgestellt hat, dass der Eingriff vom Gesetz vorgesehen ist, muss zudem erörtert werden, ob die Maßnahme auch einen legitimen Zweck verfolgt. Die zulässigen Ziele werden in Art. 8 Abs. 2 EMRK abschließend343 aufgezählt. Dabei handelt es sich um die nationale oder öffentliche Sicherheit, das wirtschaftliche Wohl des Landes, die Aufrechterhaltung der Ordnung, die Verhütung von Straftaten, den Schutz der Gesundheit oder der Moral und den Schutz der Rechte und Freiheiten anderer.344 Eine abschließende Definition der sich zum Teil überschneidenden Ziele hat der Gerichtshof bis heute nicht vorgenommen.345 Insgesamt kann man jedoch sagen, dass er sie sehr großzügig interpretiert346 und den nationalen Behörden diesbezüglich einen großen Beurteilungsspielraum gewährt.347 Dies hat zur Folge, dass eine Eingrenzung der Eingriffsziele meist erst im Rahmen der Verhältnismäßigkeitsprüfung (in einer demokratischen Gesellschaft notwendig) stattfindet.348 Daher soll auch hier auf die Ziele im Einzelnen erst im Rahmen der Frage der Verhältnismäßigkeit eingegangen werden. Eine Ausnahme bildet jedoch der Fall Z. gegen Finnland.349 Hier setzt sich der EGMR ausführlich mit der Frage auseinander, ob gewisse Maßnah343 Wildhaber/Breitenmoser in: Intkomm, Art. 8, Rn. 595; Mock, RUDH 1998, S. 244. 344 In der englischen Fassung heißt es: „[I]n the interest of national security, public safety, the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.“ Die französische Fassung spricht von: „ [L]a sécurité national, la sûreté publique, le bien-être économique du pays, la défense de l’ordre, la prévention des infractions pénales, la protection des la santé ou de la morale, ou à la protection des droits et libertés d’autrui“. 345 Eine Übersicht über die Rechtsprechung zu den legitimen Zielen findet sich bei Kempees, „Legitimate aims“ in the case-law of the European Court of Human Rights, in: Mahoney u. a. (Hg.), Mélanges à la mémoire de Rolv Ryssdal, S. 659. 346 So hat der EGMR die Rechtfertigung eines Eingriffs soweit ersichtlich bisher kaum an der Wahl eines legitimen Ziels scheitern lassen, vgl. aber EGMR, Urteil vom 22. Februar 1994, Burghartz ./. Schweiz, (App. 16213/90), Serie A 280-B, § 28. 347 Vgl. Peters, Einführung in die Europäische Menschenrechtskonvention, S. 24. Dementsprechend begegnen die Staaten bei der Darlegung des mit der jeweiligen Maßnahme verfolgten Zieles meist keinen Problemen. Vgl. Kilkelly, Human Rights Handbook No. 1, The Right to Respect for Private and Family Life, S. 30. 348 Wildhaber/Breitenmoser sprechen insofern von einer Verlagerung der Eingrenzung des Gesetzesvorbehalts, in: IntKomm, Art. 8, Rn. 596. 349 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Rep. 1997-I.

152

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

men der finnischen Behörden einem legitimen Zweck dienten. Der Ehemann der Beschwerdeführerin hatte zahlreiche Sexualverbrechen begangen. Ebenso wie seine Frau war er HIV-positiv und setzte so seine Opfer wissentlich der Gefahr einer Ansteckung aus. In dem gegen ihn eingeleiteten Strafverfahren machte die Beschwerdeführerin von ihrem Zeugnisverweigerungsrecht Gebrauch. Die Behörden sahen sich daher veranlasst, medizinische Unterlagen über den Angeklagten und die Beschwerdeführerin zu beschlagnahmen und den Ermittlungsakten beizufügen. Nach Abschluss des Verfahrens ordnete das Gericht an, die Akten zehn Jahre unter Verschluss zu halten. Der Antrag der Verfahrensbeteiligten, die Verschlusspflicht zu verlängern, wurde abgelehnt und eine Kurzfassung des Urteils wurde veröffentlicht. Mit ihrer Beschwerde vor dem EGMR wandte sich die Beschwerdeführerin unter anderem gegen die Beschlagnahme der sie betreffenden medizinischen Unterlagen, die Veröffentlichung der Gerichtsakten bereits nach zehn Jahren und die Nennung ihres Namens und medizinischer Details in dem Urteil. Sie machte geltend, dass den sie betreffenden medizinischen Daten keine für das Strafverfahren gegen ihren Ehemann wesentliche Bedeutung zukam. Diesem Argument maß der Gerichtshof jedoch kein großes Gewicht zu, da es auf einer ex post Beurteilung der Situation beruhe. Dementsprechend stellt er fest, dass: „[w]hat matters is whether, at the time when the contested measures were taken, the relevant authorities sought to achieve a legitimate aim.“350

Anschließend untersucht er, ob die Maßnahmen tatsächlich den von der Regierung vorgebrachten Zielen, nämlich dem Schutz der Rechte und Freiheiten anderer bzw. der Verhütung von Straftaten, dienten. Hinsichtlich der Anordnung des Gerichts, die Akten lediglich für zehn Jahre unter Verschluss zu halten, stellt der Gerichthof fest, dass sie durchaus der Stärkung des öffentlichen Vertrauens in die Arbeit des Gerichts und damit dem Schutz der Rechte und Freiheiten anderer diene. Anders als die Regierung und die Kommission ist er allerdings der Auffassung, dass ein legitimer Zweck der Maßnahme nicht zugleich auch in der Verhütung von Straftaten liegt.351 Zweifel hat der EGMR weiterhin, ob die Bekanntgabe des Namens und der medizinischen Informationen einem der in Art. 8 Abs. 2 EMRK aufgezählten Gründe diente. Da er die Maßnahme aber ohnehin als unverhältnismäßig erachtet, lässt er die Frage an dieser Stelle offen. Auch wenn es sich bei diesem Urteil um einen Einzelfall handelt, zeigt es doch, dass das Merkmal des legitimen Zwecks keine Makulatur ist. 350

EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Reports 1997-I, § 74. 351 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Reports 1997-I, § 77.

A. Datenschutz durch Art. 8 EMRK

153

c) Verhältnismäßigkeit des Eingriffs In der überwiegenden Anzahl der Fälle spielt die Frage nach dem Zweck der Maßnahme jedoch keine große Rolle. Den Schwerpunkt der Rechtfertigungsprüfung bildet eindeutig die Verhältnismäßigkeit. Hinweise darauf, was bei dieser Prüfung im Einzelnen zu beachten ist, lassen sich der Rechtsprechung der Konventionsorgane entnehmen. Bereits vorab anzumerken ist jedoch, dass der Gerichtshof den innerstaatlichen Behörden einen weiten Beurteilungsspielraum (margin of appreciation) zubilligt. aa) Necessary in a democratic society Der Wortlaut von Art. 8 Abs. 2 EMRK spricht davon, dass der Eingriff aufgrund der vorgenannten Ziele „in einer demokratischen Gesellschaft notwendig“ (necessary in a democratic society) sein muss.352 In den Augen der Konventionsorgane ist ein Eingriff dann in einer demokratischen Gesellschaft notwendig, wenn ein dringendes gesellschaftliches Bedürfnis (pressing social need) für die Grundrechtseinschränkung angenommen werden kann und die Maßnahme verhältnismäßig zum legitimen Ziel ist.353 Dieses Kriterium stellt das Herzstück des durch Art. 8 EMRK vorgesehenen Schutzmechanismus dar354 und entspricht weitgehend dem im öffentlichen Recht der Mitgliedstaaten anerkannten Grundsatz der Verhältnismäßigkeit.355 So spricht der Gerichtshof im Zusammenhang mit der Verhältnismäßigkeit davon, dass: „[i]nherent in the whole of the Convention is a search for a fair balance between the demands of the general interest of the community and the requirements of the protection of the individual’s fundamental rights.“356 352 Bzw. „nécessaire dans une société démocratique“. Zur Demokratieklausel im Einzelnen siehe Hailbronner, Einschränkung von Grundrechten in einer demokratischen Gesellschaft, in: Bernhardt/Geck,/Jaenicke/Steinberger (Hg.), Festschrift für Hermann Mosler, S. 359 ff. 353 „The phrase necessary in a democratic society’ means that, to be compatible with the Convention, the interference must, inter alia, correspond to a ‚pressing social need‘ and be ‚proportionate to the legitimate aim pursued‘.“ St. Rspr., z. B. EGMR, Urteil vom 25. März 1983, Silver ./. Vereinigtes Königreich, (App. 5947/72 u. a.), Serie A 61; EGMR, Urteil vom 8. Februar 1991, Moustaquim ./. Belgien, (App. 12313/86), Serie A 193; EGMR, Urteil vom 19. Oktober 1992, Open Door and Dublin Well Women ./. Irland, (App. 14234/88 u. 14235/88), Serie A 246. 354 Mock, RUDH 1998, S. 244. 355 Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 660; Grabenwarter, Europäische Menschenrechtskonvention, § 18 Rn. 14. 356 EGMR, Urteil vom 7. Juli 1989, Soehring ./. Vereinigtes Königreich, (App. 14038/88), Serie A 161, § 89.

154

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Im Vergleich zur Verhältnismäßigkeitsprüfung im deutschen Recht weist die Vorgehensweise des Gerichtshofes jedoch einige Besonderheiten auf. So wird etwa die Eignung der Maßnahme schon implizit unter dem Gesichtspunkt der Verfolgung eines legitimen Ziels durch die nationalen Behörden untersucht.357 Auch eine ausdrückliche Prüfung der Erforderlichkeit nimmt der Gerichtshof nicht vor. Jedoch setzt er sich im Rahmen der Abwägung der betroffenen Interessen zunehmend häufig damit auseinander, ob den Behörden ein gleichgeeignetes, milderes Mittel zur Verfügung gestanden hätte.358 Bereits in seiner frühen Rechtsprechung hat der Gerichtshof jedoch darauf hingewiesen, dass bei der Beurteilung der Frage, wann ein solch dringendes Bedürfnis angenommen werden kann, also der Entscheidung über die Notwendigkeit des Eingriffs, den nationalen Behörden ein Beurteilungsspielraum einzuräumen ist.359 bb) Margin of Appreciation Dieser Beurteilungsspielraum360 ist Ausdruck eines judicial self-restraint der Konventionsorgane und hat seine Wurzeln im innerstaatlichen öffentlichen Recht.361 Er umfasst zum einen die Auswahl des Mittels und zum 357

Siehe etwa EGMR, Urteil vom 2. August 1984, Malone ./. Vereinigtes Königreich, (App. 8691/79), Serie A 82 § 81; EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland (App. 22009/93), Reports 1997-I, § 77. 358 So etwa in EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98), § 80. 359 Zur Rechtfertigung unter Art. 10 Abs. 2 EMRK vgl. EGMR, Urteil vom 12. Dezember 1976, Handyside ./. Vereinigtes Königreich, (App. 5493/72), Serie A 24, § 48. Noch früher hatte bereits die Kommission im Rahmen der allgemeinen Schrankenbestimmung des Art. 15 EMRK einen margin of appreciation festgestellt, EKRM, Entscheidung vom 13. April 1960, Lawless ./. Irland, (App. 332/57), § 90. Dies hatte der Gerichtshof in seinem anschließenden Urteil aufgenommen, siehe EGMR, Urteil vom 1. Juli 1961, Lawless ./. Irland, (App. 332/57), Serie A 3, § 28. Zu Art. 8 EMRK siehe EGMR, Urteil vom 24. März 1988, Olsson ./. Schweden (Nr. 1), (App. 20465/83), Serie A 130, § 68 und EGMR, Urteil vom 27. November 1992, Olsson ./. Schweden (Nr. 2), (App. 13441/87), Serie A 250, § 87. 360 Der EGMR nimmt keine dem deutschen Verwaltungsrecht vergleichbare Unterscheidung zwischen „Beurteilungsspielraum“ und „Ermessen“ vor. Vgl. Wildhaber/Breitenmoser in: IntKomm, Art. 8, Rn. 661, Fn. 1. 361 Zur Entwicklung des Beurteilungsspielraums die umfassenden Ausführungen bei Macdonald, The margin of Appreciation in: Macdonald/Matscher/Petzold (Hg.), The European System for the Protection of Human Rights, S. 83 und Wildhaber/ Breitenmoser in: IntKomm, Art. 8, Rn. 662 ff.; Hoffmann-Remy, Die Möglichkeiten der Grundrechtseinschränkungen nach den Art. 8–11 Abs. 2 der Europäischen Menschenrechtskonvention, S. 25; Mahoney, HRLJ 1998, S. 1; Adamovich, RTDH 1991, S. 291 ff.; Ovey, HRLJ 1998, S. 10 f.; vgl. auch Grabenwarter, Europäische

A. Datenschutz durch Art. 8 EMRK

155

anderen die Einschätzung, ob dessen Einsatz allgemein gerechtfertigt ist. Im Zusammenhang mit der Offenlegung personenbezogener Daten hat der Gerichtshof den nationalen Behörden im Fall Peck ausdrücklich einen solchen Beurteilungsspielraum zuerkannt.362 Diese Freiheit der nationalen Behörden ist jedoch nicht unbegrenzt. Die Letztentscheidungsbefugnis über die Vereinbarkeit mit Art. 8 EMRK obliegt dem EGMR. Aus der Sicht des Gerichtshofes ergibt sich so ein eng verwobenes System der Kontrolle.363 Die Bestimmung des Umfangs der margin of appreciation im Einzelfall ist äußerst schwierig. So wendet der Gerichthof die Kriterien nicht einheitlich an; der Beurteilungsspielraum variiert nicht nur „according to the circumstances, the subject matter and its background“364 sondern auch je nach dem welches der in Art. 8 Abs. 2 EMRK aufgezählten Rechtfertigungsziele betroffen ist.365 Ein Beispiel für einen besonders sensiblen Regelungsbereich findet sich im Fall Dudgeon,366 in dem der Beschwerdeführer sich gegen ein nordirisches Gesetz wandte, das homosexuelle Handlungen unter Strafe stellte. Dort hob der Gerichtshof hervor, dass: Menschenrechtskonvention, § 18 Rn. 21, der den Ursprung des Grundsatzes im Prinzip der Gewaltenteilung sieht. Vgl. auch Lawson/Schermers, Leading Cases of the ECHR, S. 39, für die die Anerkennung eines Beurteilungsspielraumes Ausdruck der Souveränität der Staaten ist. Schließlich könnten die über lange Zeit gewachsenen nationalen Strukturen nicht ohne weiteres plötzlich durch europäische Standards ersetzt werden. Der margin of appreciation diene daher demselben Zweck wie das in Art. 3 EGV verankerte Subsidiaritätsprinzip. Es soll zu einer schrittweisen Bildung europäischer Rechts- und Moralbegriffe kommen. Vgl. auch Engel, ÖZÖRV 1986, S. 275. 362 „In cases concerning the disclosure of personal data, the Court has also recognised that a margin of appreciation should be left to the competent national authorities in striking a fair balance between the relevant conflicting public and private interests. EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98), § 76. 363 „[T]he domestic margin of appreciation thus goes hand in hand with European supervision.“; EGMR, Urteil vom 12. Dezember 1976, Handyside ./. Vereinigtes Königreich, (App. 5493/72), Serie A 24, § 49; EGMR, Urteil vom 23. Februar 1993, Funke ./. France, (App. 10828/884), Serie A 256-A, § 55; EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98), § 66. 364 EGMR, Urteil vom 28. November 1984, Rasmussen ./. Dänemark, (App. 877/79), Serie A 87, § 40; EGMR, Urteil vom 20. September 1994, Otto-Preminger-Institut ./. Österreich, (App. 13470/87), Serie A 295-A, § 50. Siehe auch die Beispiele bei Ovey, HRLJ 1998, S. 10 ff. 365 EGMR, Urteil vom 26. April 1979, Sunday Times ./. Vereinigtes Königreich, (App. 6538/74), Serie A 30, § 59; EGMR, Urteil vom 22. Oktober 1981, Dudgeon ./. Vereinigtes Königreich, Serie A, 45, § 52; Vgl. auch Brems, ZaÖRV 56 (1996), S. 257. 366 EGMR, Urteil vom 22. Oktober 1981, Dudgeon ./. Vereinigtes Königreich, (App. 7525/76), Serie A 45.

156

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

„not only the aim of the restriction but also the nature of the activities involved will affect the scope of the margin of appreciation. The present case concerns a most intimate aspect of private life. Accordingly, there must exist particularly serious reasons before interference on the part of the public authorities can be legitimate for the purposes of paragraph 2 of Article 8.“367

Grundsätzlich kann man festhalten, dass den Staaten in Rechtsgebieten, die sich in Veränderung befinden ein erweiterter Beurteilungsspielraum zukommt,368 während etwa die landesinterne Uneinheitlichkeit zu einer Erhöhung der Kontrolldichte führen kann.369 Im Bereich des Privatlebens kann man außerdem davon ausgehen, dass, je intimer der betroffene Bereich der Privatsphäre ist, der Freiraum des Staates bei der Verhältnismäßigkeitsprüfung desto enger zu beurteilen ist.370 Ob inzwischen auch im Bereich des Datenschutzes verallgemeinerungsfähige Aussagen hinsichtlich der Beurteilung der Verhältnismäßigkeit getroffen werden können, soll im Folgenden untersucht werden. Dabei muss jedoch beachtet werden, dass die Beurteilung stark vom Einzelfall abhängt und somit nur begrenzt zur Ableitung allgemeiner Prinzipien dienen kann.371 cc) Beispiele aus der Rechtsprechung Einige Fälle mit datenschutzrechtlichem Bezug weisen hinsichtlich der Verhältnismäßigkeitsprüfung keine besonderen Schwierigkeiten auf. Jedoch 367 EGMR, Urteil vom 22. Oktober 1981, Dudgeon ./. Vereinigtes Königreich, (App. 7525/76), Serie A 45, § 52 (Hervorhebung durch den Verfasser). 368 Siehe dazu etwa die Entwicklung bei der Beurteilung der Geschlechtsanpassung EGMR, Urteil vom 30. Juli 1998, Sheffield und Horsham ./. Vereinigtes Königreich (App. 22985/93; 23390/94), Reports 1998-V, §§ 57, 58; EGMR, Urteil vom 11. Juli 2002, I ./. Vereinigtes Königreich (App. 25680/94), §§ 72, 73. 369 Vgl. Kühling, Die Kommunikationsfreiheit als europäisches Gemeinschaftsgrundrecht, S. 178. 370 So Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 694 u. a. mit Verweis auf EGMR, Urteil vom 22. Oktober 1981, Dudgeon ./. Vereinigtes Königreich, (App. 7525/76), Serie A 45, § 52; EGMR, Urteil vom 12. Dezember 1976, Handyside ./. Vereinigtes Königreich, (App. 5493/72), Serie A 24, § 49; EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/71), Serie A 28, §§ 42, 49. 371 Vgl. jedoch auch die Aussage von Richter Martens, der den Gerichtshof zu weniger Zurückhaltung aufforderte: „No provision of the Convention compels the Court to decide on a strict case-by-case basis. This self-imposed restriction may have been a wise policy when the Court began its career, but it is no longer appropriate. A case-law that is developed on a strict case-by case basis necessarily leads to uncertainty as to both the exact purport of each judgement and the precise contents of the Court’s doctrine.“ Separate Opinion of Judge Martens, EGMR, Urteil vom 26. April 1995, Fischer ./. Österreich (App. 16922/90), Serie A 312, § 16.

A. Datenschutz durch Art. 8 EMRK

157

kann man beobachten, dass es zu einer detaillierten Verhältnismäßigkeitsprüfung und somit zu einer Beschränkung des Beurteilungsspielraumes der Mitgliedstaaten372 vor allem bei Maßnahmen kommt, die entweder einen besonders schwerwiegenden Eingriff373 bedeuten oder die besonders sensiblen Bereiche betreffen.374 Dabei handelt es sich in erster Linie um die Verarbeitung von personenbezogenen Daten im Zusammenhang mit geheimen Überwachungsmaßnahmen. Aber auch der Umgang mit medizinischen Daten veranlasste den Gerichtshof zu umfangreichen Verhältnismäßigkeitsprüfungen. Vor eine besondere Herausforderungen sahen sich die Straßburger Organe zudem bei der Beurteilung des Umgangs mit Informationen aus Archiven der Geheimdienste totalitärer Regime gestellt. Ein für die Bundesrepublik besonders relevantes Beispiel stellt hier der die Verwendung der Stasi-Akten durch die Gauck- bzw. spätere Birthler-Behörde dar. Ein immer wiederkehrender Aspekt der Verhältnismäßigkeit ist endlich die Frage, ob der Staat eine Vorkehrung gegen Missbrauch vorgesehen hat und wie diese im Einzelnen ausgestaltet sein sollte. (1) Unproblematische Fälle: Maßnahmen zur Verhütung von Straftaten und der nationalen Sicherheit Bereits im Fall X. gegen Bundesrepublik Deutschland 375 stellte die Kommission fest, dass das Anlegen von Akten, die Dokumente, Fingerabdrücke und Fotos im Zusammenhang mit in der Vergangenheit begangenen Straftaten enthalten, in einer modernen demokratischen Gesellschaft zur Verhütung von Straftaten notwendig und daher im Interesse der nationalen Sicherheit ist.376 Da im vorliegenden Fall die noch durch die Gestapo angelegten Akten sich auf den Straftatbestand der „Unzucht zwischen Männern“ (§ 175 372 Zum Verhältnis der Margin of appreciation-Doktrin und dem Verhältnismäßigkeitsgrundsatz vgl. Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 83, der den Umfang des Beurteilungsspielraumes durch die Anwendung des Verhältnismäßigkeitsgrundsatzes begrenzt sieht. 373 Zur Relevanz der Schwere des Grundrechtseingriffs allgemein siehe Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 680. 374 Zum Einfluss des betroffenen Schutzbereiches auf den Ermessensspielraum Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 691. 375 EKMR, Entscheidung vom 4. Oktober 1962, X. ./. Bundesrepublik Deutschland, (App. 1307/61), Collection of Decisions 9, S. 53. 376 „[T]he keeping of records, including documents, photographs and fingerprints, relating to criminal cases of the past is necessary in a modern democratic society for the prevention of crime and is therefore in the interests of public safety [. . .]“, EKMR, Entscheidung vom 4. Oktober 1962, X. ./. Bundesrepublik Deutschland, (App. 1307/61), Collection of Decisions 9, S. 55.

158

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

RStGB) bezogen und der Beschwerdeführer nicht dargetan hatte, warum die Aufbewahrung der Akten nicht zum Schutze der Gesundheit und der Moral erforderlich ist, hält die Kommission die Maßnahmen für gerechtfertigt.377 Auf die dadurch beeinträchtigten Interessen des Betroffenen geht die Kommission nicht weiter ein. Im Zusammenhang mit Straftaten wird in der Aufbewahrung von Daten in einfachen Akten folglich keine bemerkenswerte Bedrohung für die Rechte des Betroffenen gesehen.378 Unproblematisch für gerechtfertigt hielt die Kommission auch die auf die Verhütung von Straftaten zielende Maßnahmen der Behörde im Fall Friedel.379 Der Beschwerdeführer war der Auffassung, dass seine Vernehmung zum Zwecke der Identifizierung und die Speicherung von Daten unverhältnismäßig gewesen sei. Dies begründet er damit, dass sein Verhalten bei der Demonstration eine bloße Ordnungswidrigkeit dargestellt habe. Die Kommission kommt hingegen zu dem Ergebnis, dass zumindest die Vernehmung durchaus verhältnismäßig gewesen war. Immerhin habe die Behörde darüber entscheiden müssen, ob sie Anklage gegenüber dem Beschwerdeführer erhebt. Ebenso beurteilt sie die Speicherung der Daten: „As regards the retention of the information thus obtained in the administrative file on the manifestation, the Commission recalls that the keeping of records relating to criminal cases of the past can be regarded as necessary in a modern democratic society for the prevention of crime and that even if no criminal proceedings are subsequently brought and there is no reasonable suspicion against the individual concerned in relation to any specific offence, special considerations, such as combating organised terrorism, can justify the retention of the material concerned.“380

Weiterhin berücksichtigt die Kommission, dass die Polizei an sich beabsichtigt hatte, gegen Herrn Friedel wegen Verstoßes gegen das Straßenverkehrsgesetz zu ermitteln, dann das Verfahren aber wegen Geringfügigkeit eingestellt hatte. Außerdem stellt sie fest, dass die Daten nur in einer einfachen Verwaltungsakte gespeichert wurden und zudem nicht der elektronischen Datenverarbeitung zugeführt wurden. Demgegenüber stand aus ihrer Sicht ein relativ leichter Eingriff in das Recht auf Privatleben des Beschwerdeführers, so dass – auch unter Beachtung eines gewissen Ermessensspielraumes – das Interesse des Staates überwog. 377 EKMR, Entscheidung vom 4. Oktober 1962, X. ./. Bundesrepublik Deutschland, (App. 1307/61), Collection of Decisions 9, S. 56. 378 Dies bestätigt sich durch die Bezugnahme in EKMR, Entscheidung vom 18. März 1981, Mc Veigh ./. Vereinigtes Königreich, (App. 8022/77), DR 25, S. 50. 379 EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich, (App. 15225/89). 380 EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich, (App. 15225/89), § 66.

A. Datenschutz durch Art. 8 EMRK

159

Die Feststellung, dass das Speichern von Daten im Zusammenhang mit Straftaten durch die Polizei grundsätzlich auch dann zulässig sein muss, wenn keine weiteren Strafverfolgungsmaßnahmen eingeleitet werden, ist evident. Insofern ist das Ziel „Verhinderung von Straftaten“ weit auszulegen, so dass jedenfalls in begrenztem Umfang auch zukünftige oder mutmaßliche Taten unter diesen Rechtfertigungsgrund subsumiert werden können. Auffällig an der Begründung der Kommission ist jedoch, dass sie zudem „special considerations“, wie etwa die Bekämpfung des Terrorismus anführt. Dies vermittelt den Eindruck, dass sie als zusätzlichen, schlagkräftigeren381 Rechtfertigungsgrund den Schutz der nationalen Sicherheit anbringen möchte, obwohl der Staat sich im konkreten Fall auf dieses Ziel nicht berufen hatte. Aus heutiger Sicht stellt sich zudem die Frage, ob die Abwägung nicht inzwischen anders zu beurteilen wäre. In den Entscheidungen wertete der Gerichtshof die Interessen des Staates an der Verbrechensbekämpfung schwerer als die dadurch verursachten Eingriffe in die Rechte der betroffenen Personen, die wie die Kommission betont, relativ leichter Natur waren. Heutzutage würden die Daten allerdings nicht mehr manuell gespeichert, sondern elektronisch verarbeitet werden. Durch die damit verbundene bessere und schnellere Verfügbarkeit und andere technische Möglichkeiten bei der Nutzbarmachung der Informationen nimmt die Eingriffsintensität zwangsläufig zu. Eine „Aufbewahrung“ von Informationen über Personen, die nicht im Zusammenhang mit einem strafrechtlich relevanten Verhalten stehen, könnte nach heutigen Maßstäben daher nicht mehr als leichter Eingriff in das Recht auf Privatleben bezeichnet werden. Es ist somit davon auszugehen, dass der Gerichtshof, sollte er heutzutage einen den Fällen Mc Veigh und Friedel vergleichbaren Sachverhalt zu entscheiden haben, mehr Gewicht auf die Interessen des Einzelnen legen würde. (2) Maßnahmen zur Bekämpfung des Terrorismus Keine Schwierigkeiten bereitete der Kommission im Fall Mc Veigh die Feststellung, dass die Durchsuchung und Befragung des Verdächtigen, das Abnehmen von Fingerabdrücken sowie das Fotografieren aus Gründen der nationalen Sicherheit gerechtfertigt ist.382 Auch die anschließende Aufbewahrung dieser Daten hält sie nicht für unverhältnismäßig, obwohl gegen 381 Zu diesem Rechtfertigungsgrund, den die Mitgliedstaaten nur unter gewichtigen Umständen und in engem Rahmen – etwa bei Gefährdung der fundamentalen staatliche Einrichtungen – heranziehen können, so jedenfalls Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 598, sogleich unter Teil 2, A.III.2.c)cc). 382 EKMR, Entscheidung vom 18. März 1981, Mc Veigh ./. Vereinigtes Königreich, (App. 8022/77), DR 25, § 225. Zu den Hintergründen des Falls siehe Teil 2, A.I.2.b)aa)(3).

160

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

die Beschwerdeführer weder ein Strafverfahren eingeleitet worden war, noch der Verdacht der Begehung einer Straftat bestand.383 In den Augen der Kommission reicht es jedoch aus, dass die Aufbewahrung der Daten auf die Verhinderung terroristischer Akte abzielte. Gleichwohl berücksichtigt sie auch die Intensität der Maßnahme. So betont sie, dass die Akten gesondert von denen der Straftäter aufbewahrt würden. Außerdem stellt sie fest: „The Commission is aware of the critical importance which intelligence material and forensic evidence may have in the detection of those responsible for terrorist offences.“384

Angesichts der Bedrohung, die der Terrorismus für das Vereinigte Königreiche bedeute, könne die Aufbewahrung der Akten jedoch letztendlich als für die öffentliche Sicherheit und zur Verhütung von Straftaten notwendig erachtet werden. Schließlich seien „a relatively slight interference with the applicants’ right to respect for their private life“ und „the pressing necessity to combat terrorist activity“385 gegeneinander abzuwägen. Auf die Bekämpfung des Terrorismus und damit den Schutz der nationalen Sicherheit und die Verhütung von Straftaten hatte sich auch die deutsche Regierung in der Rechtssache Klass berufen. Dabei hatte der Gerichtshof es nicht für ausgeschlossen gehalten, dass das deutsche G10-Gesetz, das die geheime Telefonüberwachung erlaubte, die Beschwerdeführer in ihrem Recht auf Achtung des Privatlebens verletzt. Folglich prüft er, ob die Maßnahmen in einer demokratischen Gesellschaft notwendig waren. Die große Bedeutung, die die Straßburger Organe der Abwehr und Bekämpfung terroristischer Akte beimessen, veranlasst ihn letztendlich zu dem Schluss, dass gesetzliche Bestimmungen, die zur geheimen Überwachung der Kommunikation ermächtigen, in einer demokratischen Gesellschaft „bei einer außergewöhnlichen Situation“ zum Schutz der nationalen Sicherheit und/ oder zur Sicherung der Ordnung sowie zur Verhütung von Straftaten notwendig sind.386 383 Ein Vorhalten von Daten über den tatsächlichen Bedarf hinaus hatte der Gerichtshof bereits im Fall A., B., C. und D ./. Bundesrepublik Deutschland zur Bekämpfung des Terrorismus für gerechtfertigt gehalten, da der Beschwerdeführer verdächtigt wurde, terroristische Propaganda verteilt und mit der Baader-MeinhofGruppe in Verbindung gestanden zu haben, EKMR, Entscheidung vom 13. Dezember 1979, (App. 8290/78), DR 18, 180. 384 EKMR, Entscheidung vom 18. März 1981, Mc Veigh ./. Vereinigtes Königreich, (App. 8022/77), DR 25, § 230. 385 EKMR, Entscheidung vom 18. März 1981, Mc Veigh ./. Vereinigtes Königreich, (App. 8022/77), DR 25, § 230. 386 EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/ 71), Serie A 28, § 48.

A. Datenschutz durch Art. 8 EMRK

161

Die Rechtsprechung der Straßburger Organe zeigt, dass die Bedrohung des Staates durch Terroristen als sehr ernste Gefahr betrachtet wird.387 In der Folge können zur Bekämpfung des Terrorismus relativ schwerwiegende Eingriffe in das Recht auf Achtung des Privatlebens als verhältnismäßig beurteilt werden. Gleichwohl stellt dies nur eines der zu berücksichtigenden Interessen dar. (3) Geheime Überwachung So ist der Fall Klass nicht nur ein Beispiel für die Beurteilung von Eingriffen in die Rechte aus Art. 8 Abs. 1 EMRK zur Bekämpfung des Terrorismus. Er zeigt außerdem, dass der EGMR bei der Beurteilung der Verhältnismäßigkeit von geheimen Überwachungsmaßnahmen einen außerordentlich strikten Maßstab zugrunde legt. Besonders deutlich wird dies durch folgende Aussage, auf die der Gerichtshof auch in anderen geheimdienstliche Maßnahmen betreffenden Urteilen388 bezug nimmt: „Powers of secret surveillance of citizens, characterising as they do the police state, are tolerable under the Convention only insofar as strictly necessary for safeguarding the democratic institutions.“389

Es wäre jedoch zu weitgehend, wenn man aus dieser Aussage schließen würde, dass bei geheimen Überwachungsmaßnahmen automatisch ein strenger Maßstab anzulegen ist. Vielmehr zeigt sich, dass der Gerichtshof zusätzlich auch das Ziel der Maßnahme berücksichtigt. Letztlich kommt es also auf zwei Faktoren an: „The first consists of the technical advances made in the means of espionage and, correspondingly, of surveillance; the second is the development of terrorism in Europe in recent years, Democratic societies find themselves threatened by highly sophisticated forms of espionage and by terrorism, with the result that the State must be able, in order effectively to counter such threats, to undertake the secret surveillance of subversive elements operating within its jurisdiction.“390

Folglich erkennt der Gerichtshof durchaus an, dass besondere Bedrohungen unter Umständen auch Maßnahmen mit einer hohen Eingriffsintensität rechtfertigen. In der Folge billigt er auch bei einem so schwerwiegenden Eingriff in die Rechte der Bürger ein gewisses Ermessen (certain discretion) 387 Vgl. auch EGMR, Urteil vom 28. Oktober 1994, Murray ./. Vereinigtes Königreich, (App. 14310/88), Serie A 300-A, § 92 ff. 388 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 47. 389 EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/ 71), Serie A 28, § 42 (Hervorhebung durch den Vefasser). 390 EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/ 71), Serie A 28, § 48.

162

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

zu,391 das jedoch stark eingegrenzt ist. Zwar bestehe ein gewisser Beurteilungsspielraum hinsichtlich der Festlegung der genauen Bedingungen einer geheimen Überwachung, da der Gerichthof zum Beispiel nicht beurteilen könne, welcher Strategie die Behörde im Einzelfall zu folgen habe. Dabei übe der EGMR aber eine gewisse Kontrolle aus, indem er sich das Recht vorbehalte, zu überprüfen, ob der Staat ausreichende Vorkehrungen gegen einen möglichen Missbrauch getroffen hat. Da die Bundesrepublik im konkreten Fall sehr weitreichende Schutzmaßnahmen getroffen hatte, die im Ergebnis den Anforderungen des Gerichts genügten,392 erklärt der Gerichtshof die Eingriffe für nach Art. 8 Abs. 2 EMRK gerechtfertigt. Die Existenz eines grundsätzlich weiten Beurteilungsspielraums bei Maßnahmen zum Schutze der nationalen Sicherheit bestätigt sich im Fall Leander. So hatte der Gerichtshof auch in diesem Fall keine Zweifel an der Notwendigkeit der Maßnahme. Der Staat müsse die Befugnis haben, zum Schutz der nationalen Sicherheit personenbezogene Informationen zu erheben und diese für die Öffentlichkeit unzugänglich zu speichern. Darüber hinaus müsse er diese Informationen auch verwenden dürfen, um einen geeigneten Kandidaten für eine Anstellung in einem aus Gründen der nationalen Sicherheit sensiblen Bereich auszuwählen.393 Auf der anderen Seite berücksichtigt der EGMR auch die beeinträchtigten Interessen des Beschwerdeführers. Im Gegensatz zum Fall Klass sieht der Gerichtshof in der Speicherung der Daten aber keine schwerwiegende Beeinträchtigung des Rechts auf Privatleben und kommt in der Folge zu der Feststellung, dass den Behörden auch ein weiter Beurteilungsspielraum zusteht.394 Im direkten Vergleich der beiden Fälle wird deutlich, wie unterschiedlich die Beurteilung einer Maßnahme unter Art. 8 Abs. 2 EMRK ausfallen kann. Obwohl der Staat in beiden Fällen Gründe der nationalen Sicherheit als Ziel der Maßnahme angegeben hatte, ist die Prüfungsintensität des Gerichts im Fall Klass eine sehr viel höhere. Darüber hinaus lässt sich an der Vorgehensweise des Gerichtshofes bei der Prüfung der Verhältnismäßigkeit im 391 EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/ 71), Serie A 28, § 49. 392 Dazu im Einzelnen sogleich. 393 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 59. 394 „In these circumstances, the Court accepts that the margin of appreciation available to the respondent State in assessing the pressing social need in the present case, and in particular in choosing the means for achieving the legitimate aim of protecting national security was a wide one.“, EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 59.

A. Datenschutz durch Art. 8 EMRK

163

Fall Leander aber auch ablesen, welchen geringen Stellenwert der Gerichtshof den Belangen von Herrn Leander beimisst: „Admittedly, the contested interference adversely affected Mr. Leander’s legitimate interests through the consequences it had on his possibilities of access to certain sensitive posts within the public service. On the other hand, the right of access to public service is not as such enshrined in the Convention [. . .] and, from those consequences, the interference did not constitute an obstacle to his leading a private life of his own choosing.“

Es zeigt sich, dass der Fortschritt, den das Urteil Leander bei der Bestimmung des Schutzbereiches gebracht hat, sich nicht bis auf die Ebene der Rechtfertigung durchsetzt. Wiederum ist es das traditionelle Verständnis vom Recht auf Achtung des Privatlebens, das den EGMR schließen lässt, dass der Beschwerdeführer in der Führung seines Privatlebens nach seiner eigenen Gestaltung nicht beeinträchtigt werde. Anders beurteilen dies anscheinend nur die Richter Pettiti und Russo. In ihrem Sondervotum fordern sie, dass: „Consideration also needs to be given to the dangers of electronic links between the police registers and other state’s registers or Interpol’s register.“395

Diese Aussage weist auf die tatsächliche Gefahr hin, die im Fall Leander für die Rechte des Beschwerdeführers bestand. Vielleicht konnte man im Einzelfall noch argumentieren, dass die Verwendung der Daten zum Zwecke einer einmaligen Sicherheitsüberprüfung keine schwerwiegende Beeinträchtigung bedeuteten. Geht man aber von einer dauerhaften Speicherung unter Umständen sogar in elektronischer Form aus, müsste man den Interessen des Beschwerdeführers mehr Gewicht zumessen.396 Auch der Gerichtshof bleibt mit seiner Untersuchung an dieser Stelle jedoch nicht stehen. Selbst wenn die Überwachung aus Gründen der nationalen Sicherheit erfolge, müssten gewisse Schutzmaßnahmen (safeguards) gewährleistet sein. Da die schwedischen Vorschriften solche Schutzmaßnahmen vorsahen und diese auch den Anforderungen des Gerichtshofes entsprachen, lehnte der Gerichtshof im Ergebnis eine Verletzung von Art. 8 EMRK ab.397 Wie diese Sicherungen nach Auffassung des EGMR im Einzelnen ausgestaltet 395 Partially dissenting opinion of Judges Pettiti and Russo in EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116. Dabei ist jedoch zu beachten, dass auch sie Art. 8 EMRK für nicht verletzt halten. Entgegen der Mehrheit sind sie jedoch der Auffassung, dass eine Verletzung von Art. 13 EMRK vorliegt, da durch die vom schwedischen Recht vorgesehene Möglichkeit, den Ombudsman anzurufen, das Recht auf wirksame Beschwerde aus Art. 13 EMRK nicht gewahrt werde. 396 So im Ergebnis auch Bellekom, NJCM Bulletin 1988, S. 162. 397 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A, 116 § 67.

164

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

sein müssen, soll an anderer Stelle genauer untersucht werden.398 Man kann jedoch festhalten, dass im Rahmen der Verhältnismäßigkeitsprüfung bei geheimen Überwachungsmaßnahmen wegen der hohen Missbrauchsgefahr besonderes Augenmerk auf die Rechte des Einzelnen gelegt werden muss.399 Aus den Entscheidungen tritt aber noch ein weiterer Aspekt hervor, der im Rahmen der Verhältnismäßigkeit zu berücksichtigen ist: Der enge Zusammenhang zwischen der Vorgehensweise von Terroristen aber auch anderen Straftätern, beispielsweise im Bereich der organisierten Kriminalität und den Methoden der Verbrechensbekämpfung durch den Staat.400 Dies kommt zum Ausdruck, wenn der Gerichtshof im Fall Klass auf die „sophisticated forms of espionage and by terrorism“ hinweist. Diese Wechselbeziehung tritt heute sogar noch deutlicher zutage als zum Zeitpunkt des Urteils. Die Bedrohung der nationalen Sicherheit durch terroristische Akte hat sich gewandelt, nicht aber verringert.401 Gewachsen ist dabei die Bedeutung der Kommunikationsmethoden, da die Koordination terroristischer Akte auf der ganzen Welt auch weltumspannende Möglichkeiten des Informationsaustausches erfordert.402 Insofern ist es zum Schutz der nationalen und öffentlichen Sicherheit erforderlich, die Ermittlungsmethoden an die Möglichkeiten der Kommunikation anzupassen, was angesichts der Datenübermittlung über das Internet notwendiger Weise auch die Verarbeitung wesentlich größerer Datenmengen erfordert. Insofern ist davon auszugehen, dass mit den technischen Möglichkeiten auch die Eingriffsbefugnisse der Verfolgungsbehörden wachsen.403 Da die Erhebung von Daten beinahe ausschließlich mittels geheimer Überwachungsmaßnahmen erfolgen wird, sind dabei die Erwägungen des Gerichtshofs zu diesen Maßnahmen zu berücksichtigen. Obwohl die genannten Entscheidungen sich auf den Terrorismus im Europa der 70er Jahre beziehen, ist daher davon auszugehen, dass sie – nunmehr aber bezogen auf den heutigen internationalen Terrorismus – auch heute noch Geltung beanspruchen. 398

Siehe dazu unter Teil 2, A.III.2.c)cc)(6). So im Ergebnis auch Arai-Takahashi, The Margin of Appreciation Doctrine and the Principle of Proportionality in the Jurisprudence of the ECHR, S. 74. 400 Zum Informationsbedürfnis des Staates bei der Bekämpfung des Terrorismus auch Cameron, National Security and the European Convention on Human Rights, S. 176. 401 Zum Problem der Terrorismusdefinition und ihrer Entwicklung umfassend Wandscher, Internationaler Terrorismus und Selbstverteidigungsrecht. 402 Vgl. Sudre, RUDH 2001, S. 193. 403 Zu dem Verhältnis zwischen Bedrohung und Auswahl der Gegenmaßnahmen vgl. Cameron, National Security and the European Convention on Human Rights, S. 88. 399

A. Datenschutz durch Art. 8 EMRK

165

(4) Umgang mit besonders sensiblen Daten Eine weitere Fallgruppe, die Besonderheiten im Rahmen der Verhältnismäßigkeitsprüfung aufweist, betrifft den Umgang mit besonders sensiblen Daten bzw. Informationen. Ein augenfälliges Beispiel stellt hier, wie auch schon im Rahmen des Anwendungsbereiches von Art. 8 Abs. 1 EMRK, der Umgang mit medizinischen Daten dar. So stellte der Gerichthof im Fall Z. gegen Finnland404 fest, dass dem Datenschutz und dabei insbesondere dem Schutz medizinischer Daten, eine besondere Bedeutung zukommt. Die Vertraulichkeit medizinischer Informationen sei nicht nur notwendig, um die Privatsphäre der Patienten zu schützen, sondern insbesondere auch, um das Vertrauen in die medizinischen Berufe und die Gesundheitsfürsorge sicherzustellen.405 Damit berücksichtigt der Gerichtshof neben den Interessen der Patienten auch die der Allgemeinheit. Soweit nämlich der Patient kein Vertrauen mehr in das nationale Gesundheitssystem besitze, beeinträchtige dies zugleich seine Bereitschaft einen Arzt aufzusuchen. Dadurch gefährde er unter Umständen nicht nur seine eigene Gesundheit sondern, im Falle von übertragbaren Krankheiten, auch die Gesundheit anderer. Um die durch Art. 8 EMRK gewährleisteten Rechte zu gewährleisten, hält der Gerichtshof daher entsprechende Schutzmaßnahmen für unerlässlich. Nach Auffassung des Gerichts gilt dies für die Bekanntgabe einer HIV-Infektion in besonderem Maße: „In view of the highly intimate and sensitive nature of information concerning a person’s HIV status, any State measures compelling communication or disclosure of such information without the consent of the patient call for the most careful scrutiny on the part of the Court, as do the safeguards designed to secure an effective protection.“406

Dem gegenüber steht das Interesse des Staates an der Bekämpfung von Straftaten. Dass ein solches Ziel gegenüber dem Interesse des betroffenen Bürgers nicht zwangsläufig zurückzutreten hat, stellt der Gerichtshof unter Verweis auf Art. 9 der Datenschutzkonvention fest. Im Gegenteil: Nach dieser Vorschrift sind Ausnahmen und Einschränkungen zur Bekämpfung von Straftaten auch im Hinblick auf die in Art. 6 der Datenschutzkonvention genannten besonderen Daten, zu denen auch die medizinischen zählen, möglich. Der Gerichtshof zieht daraus den Schluss, dass das von den finnischen Behörden verfolgte Ziel gegenüber dem Datenschutz grundsätzlich 404 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Rep. 1997-I, zum Hintergrund des Falls siehe oben unter Teil 2, A.III.2.b). 405 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Rep. 1997-I, § 95. 406 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Rep. 1997-I, § 96.

166

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

sogar überwiegt.407 Dennoch kommt der EGMR nach einer Abwägung zu dem Ergebnis, dass zumindest die Verschlusszeit der Akten von nur zehn Jahren, sowie die Offenlegung der Identität der Beschwerdeführerin und sie betreffender medizinischer Informationen, im konkreten Fall unverhältnismäßig gewesen sei.408 Das wirtschaftliche Wohl des Landes wurde als Rechtfertigungsgrund in dem ebenfalls den Umgang mit medizinischen Daten betreffenden Fall M. S. gegen Schweden409 angeführt. Gegenstand des Verfahrens war die Weitergabe von Krankenunterlagen an die Sozialversicherungseinrichtungen. Die Beschwerdeführerin hatte nach einem Betriebsunfall einen Anspruch auf Entschädigung gegenüber dem Träger der Sozialversicherung geltend gemacht. Daher hatte die Sozialversicherungsbehörde von dem behandelnden Krankenhaus die Krankenakten angefordert, um zu prüfen, ob die Voraussetzungen für eine Entschädigungszahlung erfüllt waren. In seinem Urteil wiederholt der Gerichtshof zunächst seine Aussage aus dem Fall Z. gegen Finnland und betont, dass „the protection of personal data, particularly medical data, is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life as guaranteed by Article 8 of the Convention. [. . .]“410

Anschließend stellt er fest, dass die medizinischen Daten zwischen zwei öffentlichen Einrichtungen ausgetauscht worden waren, um das Bestehen eines Anspruches, den die Beschwerdeführerin selbst geltend gemacht hatte, zu prüfen. Da die Behörden bei der Beurteilung der den Ersatzanspruch begründenden Verletzung nicht auf objektive Informationen zurückgreifen konnten, erkennt das Gericht ein legitimes Bedürfnis an. Ohne die übermittelten Daten hätte die Behörde den Anspruch der Beschwerdeführerin kaum prüfen können. Dies allein erachtet der Gerichtshof allerdings noch nicht 407 „At the same time, the Court accepts that the interest of a patient and the community as a whole in protecting the confidentiality of medical data may be outweighed by the interest in investigation and prosecution of crime and in the publicity of court proceedings (see, mutatis mutandis, Article 9 of the above-mentioned 1981 Data Protection convention), where such interests are shown to be of even greater importance.“ EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Rep. 1997-I, § 97; siehe aber die teilweise abweichende Meinung von Richter de Meyer, nach dessen Auffassung medizinische Daten auf Dauer unter Verschluss gehalten werden müssen. 408 Kritisch zu diesem Urteil Jakhian, La cour Européenne des droits des l’homme et le secret médical ou l’impossible équilibre, in: Mélanges en hommage à Louis Edmond Pettiti, S. 472 ff. 409 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, Rep. 1997-IV, siehe dazu auch Teil 2, A.I.2.b)cc)(1) sowie A.II.b). 410 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, Reports 1997-IV, § 41.

A. Datenschutz durch Art. 8 EMRK

167

als ausreichend, um die Verhältnismäßigkeit der Maßnahme festzustellen. Zusätzlich weist er darauf hin, dass ausreichende Schutzmaßnahmen getroffen worden waren, um die Vertraulichkeit der Informationen zu gewährleisten und einen Missbrauch zu verhindern. So sei nach den geltenden schwedischen Gesetzen sowohl die Klinik als auch die Behörde zum vertraulichen Umgang mit den Informationen verpflichtet gewesen, und eine Nichtbeachtung hätte sowohl zivilrechtliche als auch strafrechtliche Konsequenzen nach sich ziehen können.411 Angesichts dieser Missbrauchskontrolle hält der Gerichtshof die Maßnahmen daher für verhältnismäßig. Noch nicht Gegenstand eines Verfahrens vor dem Straßburger Gerichtshof war die Frage des Umgangs mit DNA-Proben. Diese Daten können nicht nur als „bessere Fingerabdrücke“ zur eindeutigen Identifizierung verwendet werden. Sie eröffnen außerdem die Möglichkeit zur Erstellung einer proaktiven Filtersuche, durch die für bestimmte Personen eine erhöhte Wahrscheinlichkeit der Begehung eines Verbrechens prognostiziert werden kann. Zudem kann die Eingriffsintensität durch die Heranziehung weiterer biologischer Informationen, etwa des Hormonspiegels noch verstärkt werden.412 Dadurch zeigt sich, dass unter den ohnehin schon sensiblen Daten noch zusätzliche Qualitätsunterschiede getroffen werden können. Festzuhalten bleibt, dass der Gerichtshof beim Umgang mit medizinischen Daten einen anderen Maßstab anlegt und damit der sich aus Art. 6 der Datenschutzkonvention ergebenden besonderen Bedeutung dieser Daten entspricht. Gleichzeitig lassen sich aus der Rechtsprechung des EGRM nur schwerlich allgemeingültige Prinzipien ableiten. Die Anforderungen, die an eine staatliche Maßnahme gestellt werden, um verhältnismäßig zu sein, sind jedoch hoch. (5) Verwendung von Geheimdienstarchiven nach dem Zusammenbruch des Ostblocks Vor eine besondere Herausforderung sah sich der Gerichtshof nach dem Ende des Kalten Krieges und dem Beitritt der osteuropäischen Staaten zum Europarat gestellt. Es ging um die Frage, inwieweit Informationen aus den Archiven der Geheimdienste der ehemaligen Ostblockstaaten von Behörden nunmehr demokratischer Staaten verwendet werden durften.413 Für die Bundesrepublik von besonders großer Bedeutung ist dabei, wie der EGMR die 411

EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, Reports 1997-IV,

§ 42. 412

Vgl. Cameron, National Security and Human Rights, S. 183. Zur Debatte in Polen: Letowska, DuD 1997, S. 133; Banaszak, DuD 1997, S. 142. 413

168

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Nutzung der rechtsstaatswidrig erlangten Dokumente des Staatsicherheitsdienstes (Stasi) beurteilte. (a) Stasi-Unterlagen Die Aufrechterhaltung der Ordnung sowie der Schutz der Rechte und Freiheiten anderer wurden als Maßnahmenziele in dem den Umgang mit Stasi-Unterlagen betreffenden Fall Knauth gegen Bundesrepublik Deutschland 414 angeführt. Der Beschwerdeführerin, einer Kindergärtnerin, war gekündigt worden, nachdem man durch Einsicht in die Unterlagen der GauckBehörde festgestellt hatte, dass sie zwischen 1973 und 1979 als Gesellschaftlicher Mitarbeiter für Sicherheit (GMS) für die Staatssicherheit tätig gewesen war. Bei der Übernahme in den Staatsdienst der Bundesrepublik hatte sie jedoch angegeben, weder eine Verpflichtungserklärung gegenüber dem Ministerium für Staatssicherheit abgegeben noch von diesem Zuwendungen erhalten zu haben. Nachdem der EGMR einen Eingriff in Art. 8 EMRK durch die Verwendung der Daten durch die Gauck-Behörde bejaht hatte, untersucht er die Ziele der Maßnahme und stellt fest: „As regards the question of purpose, the Court considers that the measure in issue pursued a public-interest aim: it appeared legitimate for the FRG to carry out an ex post facto review of the conduct of persons who, after reunification, had been incorporated into the civil service, the members of which are the guarantors of the Constitution and of democracy. It also appeared legitimate for the FRG to dismiss from the civil service, after examining each individual case, members who did not satisfy those criteria, for example because they had collaborated with the GDR Ministry of National Security, and above all because they had lied about their collaboration to their new employer. The conditions laid down in the German Unification Treaty to that end were the logical counterbalance to the wholesale incorporation of civil servants from the GDR into the FRG civil service, and were given practical expression by the question put to them in that connection after reunification. The measure in dispute therefore pursued the legitimate aims of preventing disorder and protection the rights of others.“415

Dann setzt sich der Gerichtshof mit den Folgen, die die in Rede stehende Maßnahme für die Beschwerdeführerin hatte, auseinander. An dieser Stelle stellt er fest, dass die Überprüfung zum Verlust des Arbeitsplatzes führte und daher nicht unerhebliche Konsequenzen für das Leben der Beschwerdeführerin bedeutete. Auch berücksichtigt der EGMR die relativ lange Zeitspanne von zehn Jahren, die zwischen der Stasi-Mitarbeit und dem Ausfül414 EGMR, Urteil vom 22. November 2001, Knauth ./. Bundesrepublik Deutschland, (App. 41111/98); siehe auch den parallel gelagerten Fall EGMR, Urteil vom 22. November 2001, Bester ./. Bundesrepublik Deutschland, (App. 42358/98). 415 EGMR, Urteil vom 22. November 2001, Knauth ./. Bundesrepublik Deutschland, (App. 41111/98).

A. Datenschutz durch Art. 8 EMRK

169

len des Fragebogens vergangen war. Auf der anderen Seite gibt der Gerichtshof zu bedenken, dass der Beschwerdeführerin durchaus der Rechtsweg vor den nationalen Gerichten zur Verfügung gestanden hatte. Zudem hatte das Landesarbeitgericht in seinem Urteil deutlich gemacht, dass das unbedingte Vertrauensverhältnis zwischen Dienstherr und Angestelltem aufgrund der Unaufrichtigkeit und Unehrlichkeit der Beschwerdeführerin so nachhaltig gestört sei, dass eine Weiterbeschäftigung als nicht zumutbar betrachtet werden könne.416 Dies entspreche auch der gefestigten Rechtsprechung sowohl des Bundesarbeitsgerichts als auch des Bundesverfassungsgerichts. Der Gerichthof zieht daher den Schluss: „[t]he penalty imposed on the applicant, although severe, must be viewed in relation to the general interest of German society, regard being had to the exceptional historical context in which she was incorporated to the FRG civil service and to the conditions set forth in the German Unification Treaty, of which she must have been aware. In the light of all those factors, especially the exceptional circumstances relating to the unification of Germany, the Court considers that, in so far as there was any interference, it was not disproportionate to the legitimate aim pursued, regard being had to the State’s margin of appreciation in such matters.“417

Das Urteil zeigt die Sorgfalt, mit der sich der Gerichtshof dem politisch hoch brisanten Thema der Verwendung der Stasi-Unterlagen auseinandersetzt. Im Ergebnis sind es die außergewöhnlichen Umstände im Zusammenhang mit der Wiedervereinigung, die den Gerichtshof die Verhältnismäßigkeit der Maßnahme annehmen lassen.

416 „However, the Court notes that the applicant was able to appeal against her dismissal by the administrative authorities to the German courts, which examined in detail the circumstances surrounding the applicant’s collaboration with the GDR Ministry of National Security and her subsequent conduct in addition to the arguments which she had submitted. In that connection the Regional Labour Court’s main criticism of the applicant was that in the questionnaire she had denied having actually collaborated or signing an undertaking to do so, whereas she could not have forgotten it, given the nature and period of collaboration, even if it had been while accompanying her husband. Those were the main factors which led the German courts to conclude that the lack of sincerity and honesty in the reply given had destroyed the trust which the authorities had to have in the applicant and rendered her continued employment in the civil service unacceptable.“ EGMR, Urteil vom 22. November 2001, Knauth ./. Bundesrepublik Deutschland, (App. 41111/98). 417 EGMR, Urteil vom 22. November 2001, Knauth ./. Bundesrepublik Deutschland, (App. 41111/98).

170

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

(b) Umgang mit Archiven totalitärer Regime außerhalb Deutschlands – der Fall Rotaru – Ebenfalls die Verwendung von geheimdienstlichen Daten eines totalitären kommunistischen Regimes betraf der nun schon mehrfach erwähnte Fall Rotaru gegen Rumänien.418 Wenngleich der Gerichtshof hier eine Verletzung von Art. 8 EMRK schon deshalb feststellte, weil die Maßnahme nicht „gesetzlich vorgesehen“ war – und er daher auf die Frage der „Notwendigkeit in einer demokratischen Gesellschaft“ gar nicht erst einging – ist der Fall auch unter dem Aspekt der Verhältnismäßigkeit interessant. Er enthält nicht nur eine ausführliche Stellungnahme zu den in einem solchen Fall erforderlichen Schutzmaßnahmen, vor allem setzt sich der Präsident des Gerichts in seinem zustimmenden Votum ausführlich mit der Frage der Verhältnismäßigkeit auseinander. Hinsichtlich der Schutzmaßnahmen verlangt der Gerichtshof zusätzlich zu den geforderten Grenzen der Eingriffsermächtigung weitere Vorkehrungen gegen den Missbrauch der Informationen. „In order for systems of secret surveillance to be compatible with Art. 8 of the Convention, they must contain safeguards established by law which apply to the supervision of the relevant services’ activities. Supervision procedures must follow the values of a democratic society as faithfully as possible, in particular the rule of law, which is expressly referred to in the Preamble of the Convention. The rule of law implies, inter alia, that the interference by the executive authorities with an individual’s rights should be subject to effective supervision, which should normally be carried out by the judiciary, at least in the last resort, since judicial control affords the best guarantees of independence, impartiality and a proper procedure.“419

Wiederum hat es den Anschein, als prüfe das Gericht die Verhältnismäßigkeit der Maßnahme, da die Frage der Schutzmaßnahmen bisher meist in diesem Zusammenhang diskutiert wurde.420 So ist es denn auch nicht erstaunlich, dass Präsident Wildhaber ungeachtet der Frage nach einer angemessenen Rechtsgrundlage erörtert, ob das Vorgehen der rumänischen Behörden darüber hinaus auch in einer demokratischen Gesellschaft notwendig war.421 Zweifel hat Wildhaber vor allem hinsichtlich eines legitimen Ziels der Maßnahme. Die Regierung hatte angegeben, dass die Speicherung der Daten dem Schutz der nationalen Sicherheit diene. Einen solchen Zusammenhang ver418

Siehe dazu oben unter Teil 2, A.I.2.b)cc)(4). EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 59. 420 So unter anderem in EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/71), Serie A 28, §§ 49, 50. 421 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, Concurring opinion of judge Wildhaber, joined by judges Makarczyk, Türmen, Costa, Tulkens, Casadevall and Weber. 419

A. Datenschutz durch Art. 8 EMRK

171

mag Wildhaber jedoch nicht zu erkennen. Seiner Auffassung nach sei zumindest ein „reasonable and genuine link“ zwischen dem angegebenen Ziel und dem Eingriff in die Rechte des Betroffenen erforderlich. Eine solche Verbindung könne er jedoch bei einer mehr oder weniger willkürlichen Speicherung von das Privatleben von Person betreffenden Informationen nicht erkennen. So gibt er denn auch zu bedenken, dass die – teilweise sogar unrichtigen – Daten von dem vormaligen Regime auf unrechtmäßige und willkürliche Weise erhoben worden waren, 50 bzw. in einem Fall sogar 63 Jahre in die Vergangenheit zurück reichten und in keiner Weise gegen Missbrauch gesichert waren. Wildhaber kommt daher zu dem Ergebnis, dass: „it is not for this Court to say whether this information should be destroyed or whether comprehensive rights of access and rectification should be guaranteed, or whether any other system would be in conformity with the Convention. But it is hard to see what legitimate concern of national security could justify the continued storing of such information in these circumstances.“422

In der Folge hält Wildhaber den Gerichtshof dazu berechtigt, festzustellen, dass die rumänische Behörde mit ihrer Vorgehensweise kein legitimes Ziel i. S. d. Art. 8 Abs. 1 EMRK verfolgte. Zusätzlich geht er noch darauf ein, ob die Maßnahme in einer demokratischen Gesellschaft notwendig gewesen ist. In diesem Zusammenhang betont er, dass die Mitgliedstaaten hinsichtlich der geheimen Überwachung von Personen oder dem Unterhalten geheimdienstlicher Archive nicht über ein unbegrenztes Ermessen verfügten. Vielmehr müsse eine Abwägung der betroffenen Interessen erfolgen. Dabei zeigt er die Gefahr auf, auf die das Gericht wiederholt hingewiesen habe: „[t]he risk that a system of secret surveillance for the protection of national security poses of undermining or even destroying democracy on the ground of defending it.“

Im Ergebnis sei der Eingriff im vorliegenden Fall nicht im Entferntesten „in einer demokratischen Gesellschaft notwendig“ gewesen. Selbst wenn der Gerichtshof also zu dem Ergebnis gekommen wäre, dass die Maßnahmen der rumänischen Behörde auf eine ausreichende gesetzliche Grundlage gestützt werden konnte, so wäre sie dennoch nicht gerechtfertigt gewesen, da sie weder ein legitimes Ziel verfolgte, noch als verhältnismäßig angesehen werden konnte. Es ist bemerkenswert, dass Präsident Wildhaber in seinem zustimmenden Sondervotum zu einem Urteil der Großen Kammer sich so ausführlich mit Fragen auseinandersetzt, die sich in dem tatsächlichen Urteil in der Form nicht mehr stellten. Dies zeigt, wie wichtig ihm und den sich ihm anschließenden Richtern eine Stellungnahme auch zur Rechtfer422 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, Concurring opinion of judge Wildhaber, joined by judges Makarczyk, Türmen, Costa, Tulkens, Casadevall and Weber.

172

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

tigung gewesen ist. So macht er besonders deutlich, dass der Staat sich in Fällen derart schwerwiegender Eingriffe in das Recht auf Privatleben nicht ohne weiteres auf die nationale Sicherheit berufen kann. (c) Zusammenfassende Beurteilung Nach den Urteilen des Gerichtshofes in den Fällen Knauth und Bester ist es vor allem für die Bundesrepublik von großem Interesse, wie der Umgang mit den Stasi-Unterlagen aus konventionsrechtlicher Sicht zu beurteilen ist. Insbesondere stellt sich die Frage, ob eine Speicherung der Daten auf unbestimmte Zeit zulässig ist.423 Hinweise gibt dazu das Urteil Rotaru, denn ebenso wie im Fall der Stasi-Unterlagen handelte es sich hier um Daten, die rechtswidrig von Geheimdiensten gespeichert wurden. Dieses Urteil deutet darauf hin, dass eine unbefristete Verwahrung und Verwendung der geheimdienstlichen Archive nicht zulässig ist. Dies ergibt sich zum einen daraus, dass der Gerichtshof eine Vorschrift über die zulässig Höchstdauer der Speicherung zu den in einem solchen Fall notwendigen Schutzmaßnahmen zählt.424 Noch deutlicher drückt sich jedoch Präsident Wildhaber aus, der nach dem Hinweis auf die Verwahrungsdauer in den Archiven von über 50 Jahren feststellt: „[I]t is hard to see what legitimate concern of national security could justify the continued storing of such information in these circumstances.“425

Unklar bleibt jedoch, welcher Maßstab hier anzusetzen ist. Besteht eine Verpflichtung, die Akten zu vernichten – und wenn ja, nach welchem Zeitraum? Oder muss man davon ausgehen, dass auf die gesammelten Informationen lediglich nicht mehr zurückgegriffen werden darf? Weiterhin stellt sich die Frage, wie der Gerichtshof die Lage beurteilt, wenn es sich nicht um Daten eines offensichtlichen Opfers des Regimes handelt, sondern um einen Täter, der von seinem Recht auf Achtung des Privatlebens Gebrauch macht.426 Außerdem könnte man erwägen, dass eine Speicherung der Akten nicht nur aus Gründen der nationalen Sicherheit, sondern auch zum Schutze 423 So sieht § 21 Abs. 3 Stasiunterlagengesetz (StUG) vor, dass die Verwendung der Unterlagen nur für einen bestimmten Zweck, nämlich der Überprüfung, ob eine Person hauptamtlich oder inoffiziell für den Staatsicherheitsdienst tätig war, nach Ablauf einer Frist von 15 Jahren unzulässig wird. Von dieser Frist nicht erfasst ist jedoch etwa die Verwendung der Unterlagen durch öffentliche oder nichtöffentliche Stellen zur Rehabilitierung von Betroffenen. 424 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 57. 425 EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, Concurring opinion of judge Wildhaber, joined by judges Makarczyk, Türmen, Costa, Tulkens, Casadevall and Weber.

A. Datenschutz durch Art. 8 EMRK

173

der Rechte und Freiheiten anderer gerechtfertigt sein könnte. Schließlich könnten die Betroffenen ein Recht auf Einsicht in die Akten geltend machen, um zu erfahren, wer welche Informationen über sie gesammelt hat.427 Jedenfalls für Sachverhalte wie diejenigen, die den Fällen Knauth und Bester zugrunde lagen, wird sich das Problem in einigen Jahren jedoch ohnehin nicht mehr stellen, da § 20 Abs. 3 StUG vorsieht, dass nach Ablauf von 15 Jahren ab dem Inkrafttreten des StUG die Verwendung der Unterlagen für die Überprüfung von Bewerbern für den öffentlichen Dienst nicht mehr zulässig ist. Ab dem 30. Dezember 2006 wird daher ein Großteil der Auskunftsersuchen wegfallen. Ungeachtet der Auswirkungen, die dies auf die Praxis im Umgang mit den Stasi-Unterlagen hat, sind die grundlegenden Fragen, die sich in diesem Zusammenhang stellen, damit jedoch nicht erledigt. Es bleibt abzuwarten, ob der Umgang mit Stasi-Unterlagen Gegenstand weiterer Verfahren vor dem EGMR sein wird.428 Die Rechtsprechung im Fall Rotaru deutet darauf hin, dass der Gerichtshof durchaus bereit ist, hohe Maßstäbe hinsichtlich des Schutzes des Privatlebens und damit des Datenschutzes anzusetzen.429 (6) Schutzmaßnahmen des Staates (Safeguards) In den die Verarbeitung personenbezogener Daten betreffenden Urteilen findet sich im Rahmen der Abwägung430 immer wieder die Forderung des 426 Zu dieser Problematik Gallwas, Grundrechtsschutz und Stasi-Unterlagen-Gesetz (StUG), in: Unverhau (Hg.), Das Stasi-Unterlagen-Gesetz im Lichte von Datenschutzgesetz und Archivgesetzgebung, S. 105 f. 427 Für das Allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Catenhusen, Die Stasi-Überprüfung im öffentlichen Dienst der neuen Bundesländer, S. 378; Trute, JZ 1992, 1045; unklar erscheint hingegen, ob daneben auch die Vorschrift des Art. 1 Nr. 2 der Vereinbarung zur Durchführung und Auslegung des Einigungsvertrages vom 18. September 1990, wonach die politische, historische und juristische Aufarbeitung der Tätigkeit des Ministeriums für Staatssicherheit gewährleistet bleiben muss, eine Rechtfertigung i. S. d. Art. 8 Abs. 2 EMRK begründen kann. Vgl. dazu Kloepfer, Das Stasi-Unterlagen-Gesetz und die Pressefreiheit S. 104. 428 Die Beschwerde im Fall Matejka ./. Slovak Republik wurde als unzulässig abgewiesen, da der nationale Rechtsweg nicht erschöpft worden war, EGMR, Entscheidung vom 28. Juni 1995, (App. 24157/94). 429 Auf diesen Entwicklung weist schon Ress hin, indem er anmerkt, dass das Urteil Rotaru für die Frage von Bedeutung sein könne, inwieweit die fortdauernde Speicherung von Daten, die in der Vergangenheit von der Stasi gesammelt worden sind, rechtmäßig ist. Ress, ZRP 2002, S. 369. 430 Teilweise wird die Existenz von safeguards vom Gerichtshof bereits im Zusammenhang mit den Anforderungen an die Qualität des Gesetzes erörtert. Siehe dazu insbesondere den Fall Rotaru unter Teil 2, A.III.2.a)dd)(2).

174

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Gerichtshofes nach geeigneten Schutzmaßnahmen (safeguards) des Staates. Bereits im Fall Klass zählt er zu diesen Kontrollvorrichtungen „[t]he nature, scope and duration of the possible measures, the grounds required for ordering such measures, the authorities competent to permit, carry out and supervise such measures, and the kind of remedy provided by the national law“

und kommt zu dem Ergebnis, dass die vom G 10-Gesetz vorgesehenen Maßnahmen den Anforderungen entsprechen und somit verhältnismäßig sind. Problematisch war dabei vor allem die Frage gewesen, ob die Durchführung von Abhörmaßnahmen in letzter Instanz einer gerichtlichen Kontrolle unterliegen muss oder ob die von dem parlamentarischen Kontrollgremium zu besetzende G 10 Kommission431 für diese Funktion ausreichend ist. Zwar betont der Gerichtshof, dass eine Kontrolle durch ein Gericht grundsätzlich wünschenswert (desireable) sei, angesichts weiterer Schutzmaßnahmen hält er die bundesdeutsche Regelung jedoch für mit der Konvention vereinbar.432 Auch im Fall Leander überprüfte der Gerichtshof die Existenz einer geeigneten Kontrollinstanz. Das schwedische System sah hinsichtlich der Verwendung von Informationen aus dem geheimen Polizeiregister eine Überwachung durch das Parlament sowie durch unabhängige Instanzen vor. Diese Kombination von Überwachungsmechanismen erachtete der EGMR als ausreichend, um die Maßnahmen im konkreten Fall als verhältnismäßig erscheinen zu lassen.433 Zu beachten ist jedoch, dass beide Urteile safeguards bei geheimen Überwachungsmaßnahmen betrafen, an die der Gerichtshof wegen der immanenten Missbrauchsgefahr besonders hohe Anforderungen knüpft.434 Beide Fälle liefern daher keinerlei Anhaltspunkte dafür, welche Art Kontrollinstanzen der Gerichtshof bei der Verarbeitung einfacher personenbezogener Daten für erforderlich erachtet. Eine weitere Schutzmaßnahme stellt die vertrauliche Behandlung der Informationen dar. Bereits im britischen Volkszählungsfall 435 hatte die Kom431

Siehe § 15 Gesetz zu Art. 10 GG. EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/71), Serie A 28, § 56; zustimmend Andrews, ELRev 1979, S. 142; kritisch van Dijk/van Hoof, Theory and Practice of the European Convention of Human Rights, S. 600. 433 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A, 116 § 65 ff. 434 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, Serie A, (App. 9248/81), 116 §§ 60, 65; EGMR, Urteil vom 6. September 1978, Klass ./. Deutschland, (App. 5029/71), Serie A 65. 435 EKMR, Entscheidung vom 6. Oktober 1982, X ./. Vereinigtes Königreich, (App. 9615/81), DR 32, S. 239. 432

A. Datenschutz durch Art. 8 EMRK

175

mission festgestellt, dass die ausgefüllten Formulare streng vertraulich behandelt, die Antworten nur für die Erstellung von Statistiken verwendet und die Namen und Adressen nicht der elektronischen Datenverarbeitung zugeführt werden durften.436 Da diese Prinzipien des sorgfältigen und vertraulichen Umgangs gewahrt wurden, hält sie den Eingriff in das Recht auf Achtung des Privatlebens für gerechtfertigt.437 Auch im Fall Z. gegen Finnland setzt sich der Gerichtshof ausführlich mit der Vertraulichkeit der Informationen auseinander. Da das finnische Recht aber nicht nur die an dem Verfahren beteiligten Personen zur Verschwiegenheit verpflichtete, sondern auch die vertrauliche Behandlung der medizinischen Daten vorsah und ein Verstoß gegen diese Verpflichtungen die straf- und/oder zivilrechtliche Verantwortlichkeit nach sich zog, sah der EGMR zumindest zwei der beanstandeten Maßnahmen als verhältnismäßig an.438 Im Ergebnis entspricht das Urteil des EGMR damit dem in Art. 7 der Datenschutzkonvention verankerten Prinzip der Datensicherung, nach dem Daten unter anderem gegen den unbefugten Zugang und das unbefugte Bekanntgeben gesichert werden müssen.439 Insofern kann man sagen, dass das Prinzip der Datensicherung bis zu einem gewissen Grad Eingang in die Rechtsprechung des Gerichtshofes gefunden hat. Dies bestätigt sich auch im Fall Peck gegen Vereinigtes Königreich.440 Zwar verweist der Gerichtshof auf die im Fall Z. gegen Finnland in Anlehnung an die Vorschriften der Datenschutzkonvention441 geforderten Schutzmaßnahmen, jedoch muss er feststellen, dass im konkreten Fall keinerlei Versuche unternommen worden waren, die Privatsphäre des Beschwerdeführers zu schützen. Daher stellt er im Rahmen der Interessenabwägung fest, dass die Veröffentlichung des Videomaterials aus der Überwachungskamera einen unverhältnismäßigen und daher ungerechtfertigten Eingriff in das Recht auf Achtung des Privatlebens darstellte.442 436 EKMR, Entscheidung vom 6. Oktober 1982, X ./. Vereinigtes Königreich, (App. 9615/81), DR 32, S. 240. 437 „[I]n these circumstances, where the information gathered by the census is treated with care and confidentiality, the interference thereby occasioned with the applicant’s right to respect for his private and family life is necessary in a democratic society for the above-mentioned purposes.“, EKMR, Entscheidung vom 6. Oktober 1982, X ./. Vereinigtes Königreich, (App. 9615/81), DR 32, S. 241. 438 EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Reports 1997-I, §§ 103, 107. 439 In der authentischen Fassung heißt es in Art. 7: „Appropriate measures shall be taken for the protection of personal data stored in automated data files against accidental or unauthorised destruction or accidental loss as well as against unauthorised access, alteration or dissemination.“ 440 EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98). 441 Hier werden insbesondere die Art. 3 Abs. 2 lit. c, Art. 5, 6 und 9 der Datenschutzkonvention genannt.

176

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Nicht gewährleistet wird hingegen ein Recht auf Information über die Weitergabe medizinischer Daten an andere Behörden oder auf Gewährung eines gerichtlichen Rechtsbehelfes vor Durchführung dieser Maßnahme. So hatte der Gerichtshof im Fall M. S. gegen Schweden festgestellt, dass durch die gegebenen Schutzmaßnahmen, die denen im Fall Z. gegen Finnland entsprachen, die Rechte der Betroffenen hinreichend gesichert waren.443 dd) Zusammenfassung Die Zusammenschau der Straßburger Urteile zeigt, dass die Frage der Rechtfertigung wesentlich von den jeweiligen Vorkehrungen gegen möglichen Missbrauch abhängt. Während die Anforderungen, die das Gericht an diese Sicherheitsvorkehrungen stellte, zunächst vor allem bei der geheimen Telefonüberwachung besonders hoch waren, zeigt sich, dass inzwischen auch Fälle, in denen eine schwerwiegende Gefahr für das Recht auf Datenschutz angenommen werden kann, in diese Kategorie fallen.444 Nicht eindeutig geklärt ist hingegen, wie dies bei weniger gravierenden Eingriffen in das Recht auf Datenschutz zu beurteilen ist. Obgleich der Gerichtshof bisher auf die Datenschutzkonvention des Europarates vor allem im Rahmen des Schutzbereiches und nur selten im Rahmen der Rechtfertigung eingegangen ist,445 deutet sich zumindest an, dass die dort vorgesehenen Schutzmaßnahmen an dieser Stellte durchaus als Maßstab dienen können. 3. Ergebnis In das als Teilaspekt des Rechts auf Achtung des Privatlebens gewährleistete Recht auf Datenschutz darf generell eingegriffen werden, wenn der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft zur Verfolgung bestimmter Ziele notwendig ist. Die Anforderungen, die der Gerichtshof im einzelnen an einschränkende Maßnahmen stellt, variieren jedoch je nach Eingriffsintensität und der Art des verfolgten Zwecks.446 Es zeigt sich, dass der Gerichtshof bei Maßnahmen, die dem Schutz der nationalen Sicherheit dienen, den Mitgliedstaaten einen weiten Ermessensspielraum einräumt. Im Umkehrschluss könnte man daher sagen, dass in Fällen, 442 EGMR, Urteil vom 28. Januar 2003, Peck ./. Vereinigtes Königreich, (App. 44647/98), § 87. 443 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Reports 1997-IV. 444 Insofern bestätigt sich die Vermutung von Bygrave, IJLIT 1998, S. 268. 445 Etwa in EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/ 93), Reports 1997-I, § 95. 446 Vgl. Arai, NQHR 1998, S. 53.

A. Datenschutz durch Art. 8 EMRK

177

die die Verarbeitung personenbezogener Daten zu anderen Zwecken betreffen, ein solch weiter Beurteilungsspielraum nicht anzunehmen ist. Weiterhin ist zu bedenken, dass die Straßburger Organe bei der Abwägung in mehreren Fällen ausdrücklich darauf hingewiesen hatten, dass die Daten nicht der elektronischen Datenverarbeitung zugeführt wurden.447 Dies führt im Ergebnis zur Annahme weniger schwerwiegenderer Eingriffe in das Recht auf Achtung des Privatlebens. Da aber heutzutage davon auszugehen ist, dass neu erhobene Daten grundsätzlich der elektronischen Datenverarbeitung zugeführt und Möglichkeiten der Datenverarbeitung immer ausgereifter und umfassender werden,448 wird der Schutz personenbezogener Daten nicht nur bedeutsamer, sondern zugleich auch schwieriger.449 Es steht daher zu erwarten, dass der Gerichtshof in zukünftigen Fällen den Interessen des Individuums mehr Gewicht zumessen wird.

IV. Positive Verpflichtungen In der Praxis der Straßburger Organ ist seit langem anerkannt, dass der Grundrechtsschutz der Konvention sich auch auf Beeinträchtigungen erstreckt, die nicht – oder jedenfalls nicht unmittelbar – durch Eingriffe des Staates hervorgerufen wurden. Um den Grundrechtsträger auch vor solchen Beeinträchtigungen zu schützen, hat die Rechtsprechung die sogenannten positiven Verpflichtungen (positive obligations) entwickelt.450 Auf die schwierigen Fragen der Herleitung und der Kategorisierung der positiven Verpflichtungen soll hier nicht weiter eingegangen werden.451 Der Gerichts447 EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich (App. 15225/89). 448 Als Beispiel sei hier nur die Rasterfahndung genannt. Darunter wird die Ermittlung durch den Abgleich von Informationen, die aus mindestens zwei unterschiedlichen Datenmengen herrühren, verstanden, vgl. Achelpöhler/Niehaus, DÖV 2003, S. 49; siehe auch Cameron, National Security and the European Convention on Human Rights, S. 182. 449 Vgl. Renucci, Droit Européen des Droits de l’Homme, S. 158. 450 Zwar hatte der EGMR den Zweck der Vorschrift zunächst als „essentiellement pour objet de protéger l’individu contre des ingérences arbitraires des pouvoirs publics, dans sa vie privée, qui s’est ensuite réalisée, beschrieben, vgl. EGMR, Urteil vom 23. Juli 1968, Belgischer Sprachenfall, (App. 1474/62 u. a.) Serie A 6, § 7; jedoch lässt sich aus der Wendung „essentiellement“ ohne weiteres ableiten, dass eine Ausweitung keineswegs ausgeschlossen ist. Vgl. Russo, in: Pettiti/Decaux/Imbert, Art. 8 § 1, S. 308. 451 Siehe dazu die umfassende Darstellungen etwa bei Dröge, Positive Verpflichtungen der Staaten in der Europäischen Menschenrechtskonvention; Holoubek, Grundrechtliche Gewährleistungspflichten, Sudre, RTDH 1995, S. 363; ders., Les „obligations positives“ dans la jurisprudence européenne des droits de l’homme, in: Mahoney u. a. (Hg.), Mélanges à la mémoire de Rolv Ryssdal, S. 1359; Szczekalla,

178

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

hof hat es sogar ausdrücklich abgelehnt, eine allgemeine Theorie zu den positiven Verpflichtungen zu entwickeln.452 Für die Frage des Datenschutzes unter der EMRK sind die positiven Verpflichtungen unter zwei Aspekten bedeutsam. Zum einen lässt sich durch sie die Verantwortlichkeit des Staates zur Ausgestaltung eines Konventionsrechts begründen, wodurch der Einzelne einen Leistungsanspruch gegen den Staat erhält.453 Ein solcher Anspruch kann etwa dazu dienen, einen datenschutzrechtlichen Auskunftsanspruch bzw. Anspruch auf Zugang zu den eigenen Daten zu konstruieren. Zum anderen erfassen positive Verpflichtungen unter gewissen Voraussetzungen auch Fälle, in denen die Beeinträchtigung nicht dem Staat, sondern einer anderen Privatperson zuzurechnen ist.454 Diese, im deutschen Verfassungsrecht als Schutzpflicht455 bezeichnete Verpflichtung ermöglicht es dem Grundrechtsträger, sich ausnahmsweise auch gegenüber Privaten auf Grundrechte berufen zu können, obwohl dies an sich der klassischen Funktion der Grundrechte als Abwehrrechte gegen den Staat widerspricht.456 Diese mittelbare Drittwirkung der Konventionsrechte ist jedoch inzwischen in der Rechtsprechung457 und der Literatur458 anerkannt. Angesichts der zunehmenden Verlagerung des BedürfnisDie sogenannten grundrechtlichen Schutzpflichten; Jaeckel, Schutzpflichten im deutschen und europäischen Recht; speziell zu Art. 8 EMRK vgl. Evers; Schutz des „Privatlebens“ durch Art. 8 MRK und durch das Grundrecht auf Datenschutz, in: Adamovich/Ludwig/Perntahler (Hg.), Auf dem Weg zur Menschenwürde und Gerechtigkeit, Festschrift für Hans R. Klecatsky, Bd. 1, S. 182 f.; Jacobs/White, European Convention of Human Rights, S. 219. 452 EGMR, Urteil vom 21. Juni 1988, Plattform „Ärzte für das Leben“ ./. Österreich, (App. 10126/82), Serie A, 139, § 31. 453 Dröge bezeichnet diesen Aspekt anschaulich als „soziale Dimension der positiven Verpflichtungen“, siehe dazu Dröge, Positive Verpflichtungen der Staaten in der Europäischen Menschenrechtskonvention, S. 85 ff. 454 Jacobs/White, European Convention of Human Rights, S. 219. 455 Stern, Staatsrecht, Band III/1, S. 417. 456 So etwa Morvay, ZaöRV, 21 (1961), S. 319 ff.; Guradze, EMRK, S. 20 ff., zur abwehrrechtlichen Funktion auch Russo in: Pettiti/Decaux/Imbert, Art. 8 § 1, S. 306; Bleckmann, Entwicklung staatlicher Schutzpflichten aus den Freiheiten der Europäischen Menschenrechtskonvention, in: Beyerlin/Bothe u.a (Hg.), FS Bernhardt, S. 309. 457 EGMR, Urteil vom 26. März 1985, X und Y ./. die Niederlande, (App. 8978/90), Serie A 91; EGMR, Urteil vom 25. März 1993, Costello-Roberts ./. Vereinigtes Königreich, (App. 12124/87), Serie A 247-C. 458 Alkema, The third-party applicability or „Drittwirkung“ of the European Convention of Human Rights, in: Matscher/Petzold (/Hg.), Protecting human rights: the European dimension; studies in honor of Gérard S. Wiarda, S. 33; Bleckmann Entwicklung staatlicher Schutzpflichten aus den Freiheiten der Europäischen Menschenrechtskonvention, in: Beyerlin/Bothe u. a. (Hg.), Recht zwischen Umbruch und Bewahrung, Festschrift für Rudolf Bernhardt, S. 309; Clapham, The „Drittwirkung“ of

A. Datenschutz durch Art. 8 EMRK

179

ses nach Datenschutz vom öffentlichen auf den privaten Sektor ist die Frage, inwieweit grundrechtlicher Datenschutz auch gegenüber Privaten greift, von großem Interesse.459 1. Positive Pflichten zur Beteiligung der Betroffenen Die Frage, ob sich der Einzelne auf Art. 8 EMRK auch dann berufen kann, wenn es ihm nicht um die Abwehr staatlicher Maßnahmen geht, stellt sich, sobald der Staat über Informationen verfügt, die der Kenntnisnahme des Betroffenen entzogen sind. Jedoch ist es nicht allein die dogmatische Vorgehensweise bei der Herleitung von Beteiligungsrechten, die in diesem Zusammenhang Beachtung verdient. Ebenso wie bei der abwehrrechtlichen Variante hängt die Reichweite des Rechts letztendlich von der Definition des Schutzbereiches ab. a) Das datenschutzrechtliche Prinzip der Beteiligung des Betroffenen Die internationalen Übereinkommen und Instrumente zum Datenschutz enthalten ausnahmslos ein Auskunfts- und Berichtigungsrecht für den Betroffenen.460 Dieser Grundsatz besagt, dass jedermann die Möglichkeit haben muss, festzustellen, ob eine automatisierte Datei oder Datensammlung existiert, regelmäßig Auskunft darüber zu erhalten, ob dort Daten über ihn gespeichert sind, sowie diese Daten gegebenenfalls berichtigen zu lassen.461 Art. 12 der EG-Datenschutzrichtlinie gewährt etwa „jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen [. . .] frei und ungehindert die Bestätigung [zu erhalten], dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen“.462 Neben diesem einfachen Auskunftsanspruch über das Vorhandensein der Daten kann der Einzelne the Convention, in: Macdonald/Matscher/Petzold (Hg.), The European System for the Protection of Human Rights, S. 163; Murswiek, Die Pflicht des Staates zum Schutz vor Eingriffen Dritter nach der EMRK in: Konrad (Hg.), Grundrechtschutz und Verwaltungsverfahren unter besonderer Berücksichtigung des Asylrechts – Internationaler Menschenrechtsschutz, S. 213 ff. 459 Eine umfassende Darstellung findet sich bei Wiesbrock, Internationaler Schutz der Menschenrechte vor Verletzung durch Private. 460 Wenn die Bezeichnung auch variiert, findet sich dieses Prinzip im „Zusätzlichen Schutz für den Betroffenen“ in Art. 8 der Datenschutzkonvention Nr. 108 des Europarates; im „Auskunftsrecht“ in Art. 12 der EG-Richtlinie 95/46/EG; im „Grundsatz der Möglichkeit des Betroffenen zur Einsichtnahme“ in Art. 4 der UNRichtlinien zum Datenschutz und im „Grundsatz der Beteiligung des Einzelnen“ in Nr. 13 der OECD-Leitlinien. 461 Siehe etwa Art. 8 Datenschutzkonvention des Europarates.

180

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

darüber hinaus auch die Mitteilung der Daten verlangen.463 Eine entsprechende Regelung findet sich auch in der Datenschutzkonvention des Europarates.464 Die EG-Datenschutzrichtlinie geht jedoch noch darüber hinaus, indem sie auch Informationen über den Empfänger der Daten, sowie ein Auskunftsrecht über den logischen Aufbau der automatisierten Verarbeitung umfasst.465 Zweck dieser Regelungen ist es, Errichtung geheimer Datenbestände zu verhindern.466 Für den Einzelnen ist das Auskunftsrecht von besonderer Bedeutung, da ihm ohne die Kenntnis vom Vorhandensein der Daten die Verwirklichung der übrigen ihm zur Verfügung stehenden Rechte nicht möglich ist.467 Es liegt in der Natur der Sache, dass ein Individuum meist nicht nur um die Existenz der ihn betreffenden Daten wissen möchte, sondern zugleich Kenntnis von deren Inhalt begehrt. b) Beteiligungsrechte in Art. 8 EMRK Soweit Beteiligungsrechte aus Vorschriften der EMRK geltend gemacht wurden, verlangten die Betroffenen daher fast immer Einsichtnahme in die sie betreffenden behördlichen Akten und damit eine Auskunft über deren 462 Entsprechend sieht die Datenschutzkonvention des Europarates in Art. 8 lit. a vor, dass „jedermann die Möglichkeit haben [muss] das Vorhandensein einer automatisierten Datei bzw. Datensammlung mit personenbezogenen Daten, ihre Hauptzwecke sowie die Bezeichnung, den gewöhnlichen Aufenthaltsort oder den Sitz des Verantwortlichen für die Datensammlung festzustellen“. 463 Art 12 lit. a der Richtlinie 95/46/EG garantiert „[e]ine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten“. Dabei schließe die Mitteilung zweifelsfrei die Übermittlung der Daten selbst mit ein, Brühann, in: Grabitz/Hilf, Bd. III, A 30, Rn. 8. 464 Mit der Beschränkung auf automatisierte Dateien bzw. Datensammlungen sieht Art 8 lit. b der Datenschutzkonvention die Möglichkeit des Betroffenen vor, „in angemessenen Zeitabständen und ohne zumutbare Verzögerung oder übermäßige Kosten die Bestätigung zu erhalten, ob Daten über ihn in einer automatisierten Datensammlung mit personenbezogenen Daten gespeichert sind, sowie zu erwirken, dass ihm diese Daten in verständlicher Form mitgeteilt werden.“ 465 Art. 12 lit. a Richtlinie 95/46/EG, wobei das Auskunftsrecht nicht dazu dienen soll, Erläuterungen über technisch-organisatorische Verfahrensabläufe innerhalb einer Dienststelle oder über die Programmsprache einer bestimmten Software zu geben, sondern Einblicke in die Logik beispielsweise bei Berechnungen zu ermöglichen. Denn nur so wird es der Person möglich, das Ergebnis eines komplizierten Verarbeitungsvorgangs substantiiert zu bestreiten, siehe Brühann, in: Grabitz/Hilf, Bd., III, A 30, Rn. 11. 466 So das Expertenkomitee auf seiner zweiten Sitzung vom 26.–29. September 1979. 467 So Henke, Die Datenschutzkonvention des Europarates, S. 129, mit Verweis auf die OECD-Guidelines, Explanatory Memorandum, Nr. 57.

A. Datenschutz durch Art. 8 EMRK

181

Inhalt. Da der Auskunftsanspruch demnach die größte praktische Relevanz besitzt, konzentriert sich die nachfolgende Darstellung auch auf dieses eine Beteiligungsrecht. Nur kurz soll auch auf den Anspruch des Betroffenen, die Daten berichtigen oder löschen zu lassen und andere Beteiligungsrechte eingegangen werden.468 aa) Das Recht auf Zugang Ein Recht auf Zugang kann vor allem auf eine auf Art. 8 Abs. 1 EMRK gründende positive Verpflichtung gestützt werden.469 Unter Umständen ergibt sich ein solcher Anspruch aber auch als Verfahrensgarantie. (1) Leander gegen Schweden Die Frage, ob ein den datenschutzrechtlichen Grundsätzen entsprechendes Informationsrecht des Betroffenen auch durch die Vorschriften der EMRK gewährt wird, stellte sich erstmalig im Fall Leander,470 nachdem dem Beschwerdeführer die Einsichtnahme in die Akten der Sicherheitsabteilung der nationalen Polizeibehörde versagt worden war. Bei der Prüfung des Eingriffs in den Schutzbereich prüfte das Gericht allerdings nicht die einzelnen Maßnahmen, sondern stellte nur fest, dass die Speicherung und die Weitergabe der Informationen, verbunden mit der Weigerung, es Herrn Leander zu ermöglichen, diese zu widerlegen, einen Eingriff in das Recht auf Privatleben darstellte.471 Aus dieser Aussage ist nicht eindeutig ersichtlich, welchen Stellenwert der Gerichtshof der Auskunftsverweigerung zumisst. Vereinzelt wird sie als eigenständiger Eingriff in Art. 8 Abs. 1 EMRK bewertet.472 Bei 468

Art. 8 lit. c Datenschutzkonvention und Art. 12 lit. b Richtlinie 95/46/EG. Einen Anspruch auf Zugang zu den Daten aus Art. 10 EMRK lehnte der EGMR im Urteil Leander ausdrücklich ab: „Article 10 does not, in circumstances such as those of the present case, confer on the individual a right of access to a register containing information on his personal position, nor does it embody an obligation on the Government to impart such information to the individual.“, EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 74. Zu einem Recht auf Zugang aus anderen Konventionsrechten später unter Teil 2, B. 470 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116. 471 „Both the storing and the release of such information, which were coupled with a refusal to allow Mr. Leander an opportunity to refute it, amounted to an interference with his right to respect for private life as guaranteed by Art. 8 § 1.“ EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 48. 472 Schweizer, DuD 1989, S. 545. 469

182

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

genauerer Betrachtung des Satzbaus und der Wortwahl wird jedoch deutlich, dass der Gerichtshof nur in der Speicherung und Weitergabe der Daten einen Eingriff in Art. 8 EMRK erblickt. Insbesondere die Wendung „which were coupled“ anstelle von nur „coupled“ zeigt, dass die Verweigerung der Einsichtnahme lediglich ein zusätzliches, die Schwere des Eingriffs beeinflussendes Element darstellt.473 Damit wurde an dieser Stelle noch offen gelassen, ob auch allein die Forderung, Zugang zu persönlichen Daten zu erlangen, auf Art. 8 EMRK gestützt werden kann. (2) Gaskin gegen Vereinigtes Königreich Erneut Gegenstand eines Verfahrens vor den Straßburger Organen wurde das Recht auf Zugang zu den die eigene Person betreffenden Daten im Fall Gaskin gegen Vereinigtes Königreich.474 Der Beschwerdeführer war in Heimen und Pflegefamilien aufgewachsen, nachdem das Sorgerecht (care) auf die Gemeinde (local authority) übertragen worden war. Im Erwachsenenalter verlangte Herr Gaskin Einsichtnahme in die beim Sozialamt darüber geführten vertraulichen Akten. Sie enthielten nicht nur Angaben von den mit seiner Erziehung befassten Personen, wie Pflegeeltern, Lehrern und Sozialarbeitern, sondern stellten für ihn die einzige Informationsquelle über seine Vergangenheit dar. Nachdem sich die Behörden geweigert hatten, ihm Einsichtnahme in die Akte zu gewähren, machte Herr Gaskin eine Verletzung seines Rechts auf Achtung des Privatlebens aus Art. 8 Abs. 1 EMRK vor dem Straßburger Gerichtshof geltend. Der Gerichtshof stellt zunächst fest, dass sich die Informationen in der Akte zweifelsfrei auf das Privat- und Familienleben von Herrn Gaskin bezogen, so dass die Frage des Zugangs zu den Daten in den Anwendungsbereich des Art. 8 fällt.475 Damit folgt er der Auffassung der Kommission, die festgestellt hatte: 473 So auch Bygrave, IJLT 1998, S. 257, der zusätzlich auf den missverständlichen § 66 des Urteils hinweist, in dem es heißt „the fact that the information released to the military authorities was not communicated to Mr. Leander cannot by itself warrant the conclusion that the interference was not ‚necessary in a democratic society . . .‘ as it is the very absence of such communication which, at least partly, ensures the efficacy of the personnel control procedure.[. . .]“. Jedoch nehme der vorangehende Text bei der Frage des Eingriffs lediglich Bezug auf die Speicherung und Weitergabe der Daten, so dass man daraus nicht schließen könne, dass auch die Verweigerung des Auskunftsrechts vom Gericht als Eingriff betrachtet wird. Aus dieser Passage folge daher keine andere Bewertung der Eingriffshandlung, sie beziehe sich lediglich auf die Rechtfertigung der Maßnahme nach Art. 8 Abs. 2 EMRK. 474 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160.

A. Datenschutz durch Art. 8 EMRK

183

„An individual’s entitlement to such information relating to his or her basic identity and early life is not only of importance because of its formative implications of his or her personality. It is also, by virtue of the individual’s age and condition at the relevant time, information which relates to a period when the individual was particularly vulnerable as a young child and in respect of which personal memories cannot provide a reliable or adequate source of information. [. . .] In these circumstances the file compiled and maintained by the local authority provides the only coherent record of the applicant’s early childhood and formative years. Hence [. . .] the refusal to allow the applicant access to the file is an interference with his right to respect for private life [. . .].“476

Zwar erklärt das Gericht den Anwendungsbereich des Art. 8 EMRK für eröffnet, es betont aber gleichzeitig, dass damit keine generelle Entscheidung darüber getroffen sei, ob ein grundsätzliches Recht auf Zugang zu eigenen Daten aus Art. 8 EMRK hergeleitet werden könne. Schließlich treffe das Gericht keine abstrakten Entscheidung zu allgemeine Fragen, sondern habe sich lediglich mit dem konkreten Fall zu beschäftigen.477 Anschließend geht der Gerichtshof ausführlich auf seine zu Art. 8 EMRK entwickelte Dogmatik ein. Er erinnert daran, dass er im Urteil Johnston478 festgestellt hatte, dass das Recht auf Achtung des Familienlebens neben dem Schutz des Individuums vor willkürlichen Eingriffen durch den Staat auch positive Verpflichtungen des Staates beinhalten könne. Dann verweist er auf die Entscheidung der Kommission, in der diese festgestellt hatte: „[R]espect for private life requires that everyone should be able to establish details of their identity as individual human beings and that in principle they should not be obstructed by the authorities by obtaining such very basic information without specific justification.“479

Schließlich übernimmt der EGMR die Einschätzung der Kommission, die den vorliegenden Fall vom Fall Leander durch den Hinweis abgegrenzt hatte, dass dort der Eingriff vor allem in der Erhebung, Speicherung, Verwendung und Weitergabe der Informationen gelegen habe. Dementsprechend betont der Gerichtshof, dass Herr Gaskin sich in keiner Weise gegen 475 „The records contained in the file undoubtedly do relate to Mr. Gaskin’s private and family life in such a way that the question of his access thereto falls within the ambit of Art. 8.“, EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 37. 476 EKMR, Entscheidung vom13. November 1987, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), § 90. 477 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 37. 478 EGMR, Urteil vom 18. Dezember 1986, Johnston ./. Irland, (App. 9697/82), Serie A, 112, § 55. 479 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160 § 39.

184

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

die Erhebung, Speicherung oder den Gebrauch der Daten gewendet hatte und diese außerdem völlig anderen Zwecken als im Fall Leander dienten. Dem Beschwerdeführer im vorliegenden Fall gehe es ausschließlich um die Weigerung, ihm ungehinderten Zugang zu den Informationen zu gewähren. Der Gerichtshof stellt daher fest, dass darin kein „Eingriff“ in das Recht auf Achtung des Privat- und Familienlebens zu sehen sei, die Verweigerung des Staates vielmehr als ein Unterlassen bewertet werden müsse und somit die Verletzung einer positiven Verpflichtung zu prüfen sei.480 Auch wenn der EGMR mit der Entscheidung im Fall Gaskin ausdrücklich kein verallgemeinerungsfähiges Prinzip zur Herleitung materieller Ansprüche aufstellen will,481 verdient das Urteil jedenfalls aus dogmatischer Sicht besondere Beachtung. Der Gerichtshof bejaht eine Verletzung des Art. 8 EMRK, indem er aus dieser Vorschrift eine positive Handlungspflicht herleitet.482 Noch im Fall Leander hatte er – ungeachtet der Frage, ob die Verweigerung der Einsichtnahme eine eigenständige Verletzung darstellt – eine ähnliche Maßnahme als einen normalen Eingriff in Art. 8 Abs. 1 EMRK gewertet, mit der Folge, dass die Möglichkeit einer Rechtfertigung unter Art. 8 Abs. 2 EMRK zu prüfen war. Eben diese Vorgehensweise hatte die Kommission dann auf den Fall Gaskin übertragen und ging folglich in ihrer Entscheidung von einem Eingriff in Art. 8 EMRK und damit einer negativen Verpflichtung483 aus.484 Nur bei genauer Betrachtung zeigt sich, 480 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 41. 481 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 37. 482 Bereits im Fall Marckx ./. Belgien hatte der Gerichtshof festgestellt, dass das Recht auf „Achtung“ des Familienlebens den Staat nicht lediglich zwinge, Eingriffe in dieses Recht zu unterlassen. Vielmehr bestehe neben dieser negativen Pflicht eine dem Recht auf Familienleben inhärente positive Verpflichtung des Staates; EGMR, Urteil vom 13. Juni 1979, Marckx ./. Belgien, (App. 6833/74), Serie A 31, § 31. Diese „positive obligation“ erkannte der Gerichtshof im Urteil Airey ./. Irland auch für das Recht auf Privatleben an; EGMR, Urteil vom 9. Oktober 1979, Airey ./. Irland, (App. 6289/73), Serie A 32, § 32. 483 Zur Begriffsbezeichnung Jacobs/White, European Convention on Human Rights, S. 38; vgl. auch Ress, The Duty to Protect and to Endure Human Rights Under the European Convention on Human Rights, in: Klein, Eckhart (Hg.) The Duty to Protect and to Ensure Human Rights, Berlin 2000, S. 165. 484 Die Kommission bezieht sich zunächst auf ihre im Fall Leander getroffene Feststellung, dass es für die Frage eines Eingriffs in Art. 8 EMRK entscheidend auf den Inhalt der Informationen ankommt. Anschließend stellt sie fest, dass sich die Daten im Fall Gaskin von denen im Fall Leander unterscheiden, kommt dann aber zu dem Schluss: „In the present case the applicant was taken into care at a very young age and subsequently had very little contact with his natural family, or continuity of care from a substitute family. He does not appear to have established emotional bonding with any of those who cared for him from time to time. In these

A. Datenschutz durch Art. 8 EMRK

185

warum der Gerichtshof dieser Vorgehensweise nicht folgt. Da der Beschwerdeführer lediglich die Versagung des ungehinderten Zugangs zu den Akten rügt, ist eine Handlung des Staates, an die man zur Begründung des Eingriffs anknüpfen könnte, im Fall Gaskin streng genommen nicht ersichtlich. Insofern ist die Einschätzung des Gerichtshofes zutreffend, dass sich der Beschwerdeführer nicht gegen eine Handlung des Staates sondern vielmehr dagegen, dass der Staat eine Handlung unterlassen hat, wende.485 Die Auswirkungen, die diese Sichtweise zum Zeitpunkt des Urteils hatte, sind nicht zu unterschätzen.486 Dies betrifft vor allem die Rechtfertigung der Maßnahme. So untersuchte das Gericht im Rahmen der positiven Verpflichtungen nicht, ob die angegriffene Maßnahme mit den Schrankenregelungen des Art. 8 Abs. 2 EMRK vereinbar ist. Heutzutage kann man jedoch davon ausgehen, dass sich die Kriterien für eine Rechtfertigungsprüfung bei Eingriffen des Staates und positiven Handlungspflichten stark angenähert haben, so dass sich in der Prüfung im Ergebnis kaum Unterschiede ergeben. (3) Martin gegen die Schweiz Das Recht auf Einsichtnahme betraf auch die Entscheidung der Kommission im Fall Martin gegen die Schweiz.487 Der Beschwerdeführer war zwischen 1977 und 1989 von der Schweizer Bundespolizei (Police fédérale suisse) mittels geheimer Maßnahmen überwacht worden. Als er Einsichtcircumstances the file compiled and maintained by the local authority provides the only coherent record of the applicant’s early childhood and formative years. Hence the Commission finds that the refusal to allow the applicant access to the file is an interference with his right to respect for his private life which falls to be justified under the terms of Article 8 para. 2 (Art. 8-2) of the Convention.“ 485 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 41. Auf die Schwierigkeiten bei der Abgrenzung weist aber Weber-Dürler hin, VVDStRL 57 (1998), S. 79. 486 Zu bemerken ist weiterhin, dass es sich bei dem Urteil um eine sehr schwierige Entscheidung handelte, vgl. Merrills, BYIL 1989, S. 551, siehe insbesondere auch die abweichende Meinung der Richter Ryssdal, Cremona, Gölcüklü, Matscher und Evans, die aber zugeben: „[A]dmittedly a more open policy as regards access to personal files has been followed in other Contracting States and this is now the approach adopted in Great Britain in the Access to Personal Files Act 1987 and Regulations made under it as to information recorded in the future. In our opinion, however, it would be wrong to alter retrospectively the basis on which the existing case-records have been compiled. The question of access to them, including access to Mr. Gaskin’s file, must be considered with proper regard to the conditions of confidentiality under which information was contributed to them.“ Dissenting Opinion EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, Serie A 160, § 4. 487 EKMR, Entscheidung vom 5. April 1996, Martin ./. Schweiz, (Appl. 25099/ 94).

186

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

nahme in die über ihn angelegten Akten verlangte, händigte ihm die Behörde Kopien aus, auf denen sowohl einzelne Wörter als auch ganze Textpassagen geschwärzt waren. Daraufhin wandte sich der Beschwerdeführer an den für diese Fälle zuständigen médiateur public und forderte neben der vollständigen Einsichtnahme in die Akten deren anschließende Vernichtung. Jedoch wurde seinem Verlangen aus Gründen der staatlichen Sicherheit nicht entsprochen, sondern lediglich beschlossen, den Zugang zu den Akten für die Dauer von 50 Jahren vollständig, also auch für die Verwaltung, zu sperren. Der Beschwerdeführer sah sich durch diese Entscheidung in seinem Recht aus Art. 8 EMRK verletzt. In ihrer Entscheidung untersucht die Kommission zunächst die Weigerung der Behörde, die Akten zu vernichten. Obwohl es sich bei den Daten, ebenso wie im Fall Leander, um Bestandteile eines geheimen Polizeiarchivs handelte, begründet diese Tatsache nach ihrer Auffassung noch keine Verletzung von Art. 8 Abs. 1 EMRK. Sie hält eine Vernichtung der Akten nicht für erforderlich. Vielmehr sei ein Zeitraum von 50 Jahren, in dem die Daten unter Verschluss gehalten werden, ausreichend, um einen hinreichenden Schutz der Privatsphäre zu gewährleisten.488 Anschließend wendet sie sich der Frage zu, ob jedenfalls in der Verweigerung der Einsichtnahme ein Eingriff in Art 8 EMRK zu sehen ist. Dies bejaht sie unter Berufung auf das Urteil im Fall Leander: „La Commission rappelle que la mémorisation et la communication de données relatives à la vie privée, assorties du refus d’accorder à la personne concernée la faculté de les réfuter, portent atteinte au droit au respect de la vie privée. Il faut donc rechercher si cette ingérence se justifiait au regard de l’article 8 paragraphe 2 [. . .] de la Convention.“

Anders als der Gerichthof im Fall Gaskin sieht die Kommission also hier keine positive Verpflichtung des Staates begründet, vielmehr geht sie von einem Eingriff in Art. 8 Abs. 1 EMRK aus. Letztendlich hält sie die Maßnahmen für gerechtfertigt und weist die Beschwerde als offensichtlich unbegründet zurück. Der fehlende Bezug zum Fall Gaskin ist bemerkenswert und es stellt sich die Frage, worin die Kommission hier den Eingriff in Art. 8 EMRK sieht. Wiederum kann eine Beeinträchtigung des Rechts auf Achtung des Privatlebens des Beschwerdeführers an sich lediglich in einem Unterlassen, nämlich der Weigerung vollständige Akteneinsicht zu gewähren, gesehen werden. Eben dieses Verhalten hatte der Gerichtshof in 488 „Toutefois, les faits de la présente affaire se distinguent de ceux de l’affaire Leander en ce que les renseignements recueillis à l’égard du requérant, contenus dans les fiches de surveillance, ont été destinés à l’archivage pendant une période de 50 ans, avec l’exclusion de consultation de toute personne, y compris des services administratifs.“, EKMR, Entscheidung vom 5. April 1995, Martin ./.Schweiz, (App. 25099/94).

A. Datenschutz durch Art. 8 EMRK

187

Gaskin ebenfalls als Unterlassen gewertet und in der Folge geprüft, ob eine positive Verpflichtung des Staates angenommen werden konnte.489 Dementsprechend lässt die Kommissionsentscheidung mehrere Deutungsmöglichkeiten zu. Denkbar ist zunächst, dass die Kommission den Eingriff nicht in der Verweigerung der Einsichtnahme, sondern in der unvollständigen Offenlegung gesehen hat, da Herrn Martin immerhin Teile der ihn betreffenden Informationen, wenn auch in geschwärzter Form, überlassen worden waren. Möglich wäre auch, dass die Straßburger Organe eine positive Verpflichtung des Staates nur dann annehmen, wenn ausschließlich der Zugang zu Daten verlangt wird und nicht gleichzeitig gegen die Aufbewahrung der Daten vorgegangen wird. Für die Frage, ob eine positive Verpflichtung des Staates vorliegt, kann das Begehren des Klägers jedoch keine Rolle spielen. Während es im Fall Leander hauptsächlich um die Speicherung und Verwendung der Daten ging und die Verweigerung der Einsichtnahme nur einen Nebenaspekt darstellte, erscheint die Bezugnahme auf die Speicherung der Daten im vorliegenden Fall fragwürdig. Zwar verlangt der Beschwerdeführer die Vernichtung der Daten und wendet sich damit implizit auch gegen die Speicherung. Da in der Speicherung der Daten aber gerade kein Eingriff in Art. 8 EMRK zu sehen war, kommt es ebenso wie im Fall Gaskin letztendlich ausschließlich auf die Verweigerung der Einsichtnahme an. Konsequenter Weise hätte die Kommission also auch hier von einer positiven Verpflichtung ausgehen müssen. Demgegenüber kann nur dann, wenn neben anderen Eingriffen in das Recht aus Art. 8 EMRK auch das Recht auf Zugang zu persönlichen Informationen geltend gemacht wird, auf die Leander-Formel zurückgegriffen werden.490 Insgesamt sollte dieser Frage angesichts der Ähnlichkeit491 bzw. Identität492 des Prüfungsmaßstabs bei 489 Siehe EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, Serie A 160, § 41. 490 So findet sich eine vergleichbare Situation zu Leander im Fall Rotaru. Auch dort sah das Gericht in der Speicherung und Verwendung der Daten in Verbindung mit der Weigerung, dem Beschwerdeführer die Daten zu widerlegen, einen Eingriff in Art. 8 Abs. 1 EMRK; EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 46; siehe auch die Urteile des EGMR vom 25. März 1998, Kopp ./. Schweiz, (App. 23224/94), Reports 1998-II, S. 540, § 53 und vom 16. Februar 2000, Amann ./. Schweiz, (App. 27798/95), Reports 2000-II, §§ 69 und 80. 491 So zunächst Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 51 ff.; inzwischen hat der Gerichtshof die Ähnlichkeit der Konzepte jedoch bestätigt: „However, the boundaries between the State’s positive and negative obligations under Article 8 do not lend themselves to precise definition. The applicable principles are nonetheless similar. In determining whether or not such an obligation exists, regard must be had to the fair balance which has to be struck between the general interest and the interests of the individual; and in both contexts the State enjoys a certain margin of appreciation.“, EGMR, Urteil vom 7. Februar 2002, Miculic´ ./. Kroatien, (App.

188

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

negativen und positiven Pflichten jedoch keine zu große Bedeutung zugemessen werden. (4) Martin gegen Vereinigtes Königreich Die Kommission erhielt in dem medizinische Daten betreffenden Fall Martin gegen Vereinigtes Königreich493 erneut Gelegenheit, zu der Abgrenzung zwischen Eingriff und positiver Verpflichtung Stellung zu nehmen. Der Beschwerdeführer verlangte Einsichtnahme in medizinische Akten, die den Verlauf seiner insgesamt vier Jahre andauernden psychologischen Behandlung dokumentierten. Dabei wurde ihm der Zugang jedoch nicht gänzlich verweigert, vielmehr wurde die Herausgabe der Informationen von der Entscheidung eines vom Beschwerdeführer zu bestimmenden medizinischen Beraters abhängig gemacht, der die Offenlegung aus medizinischen Gründen ablehnen konnte. Die Kommission stellt fest, dass die Informationen nicht wie im Fall Gaskin die Kindheit des Beschwerdeführers, wohl aber bedeutsame Ereignisse in dessen Leben betreffen und daher in den Anwendungsbereich von Art. 8 EMRK fallen.494 Anschließend wird untersucht, ob für das Vereinigte Königreich eine positive Verpflichtung zur Gewährung des ungehinderten Zugangs bestand,495 was die Kommission im Ergebnis ablehnt. Die Verwahrung der Daten diene dem Schutze der Gesundheit des Betroffenen und damit einem der in Art. 8 Abs. 2 genannten Eingriffsgründe. Im Gegensatz zum Fall Gaskin beträfen die Informationen nicht fast das ganze Leben des Beschwerdeführers, sondern lediglich einen Zeitraum von vier Jahren. Zudem seien sie weder für die weitere medizinische Behandlung noch für einen Prozess relevant, und der Beschwerdeführer dürfe den medizinischen Berater, dem die letztendliche Entscheidung ob53176/99), Reports 2002-I, § 58; EGMR, Urteil vom 13. Februar 2003, Odièvre ./. Frankreich, (App. 42326/98), § 40. 492 So vorsichtig Szczekalla, Die sogenannten Grundrechtlichen Schutzpflichten, S. 718. 493 EKMR, Entscheidung vom 28. Februar 1996, Martin ./. Vereinigtes Königreich, (App. 27533/95). 494 „The Commission notes that the records to which the applicant requests access, though not relating to his childhood, contain information of a personal nature relating to personally significant incidents in his life and, accordingly, considers that access to such records falls within the scope of Article 8 (Art. 8) of the Convention.“, EKMR, Entscheidung vom 28. Februar 1996, Martin ./. Vereinigtes Königreich, (App. 27533/95). 495 Interessant ist hier die Formulierung: „Since this application involves a complaint in relation to the State’s failure to disclose records unconditionally, the Commission has considered below whether the State was in breach of a positive obligation flowing from Article 8.“, EKMR, Entscheidung vom 28. Februar 1996, Martin ./. Vereinigtes Königreich, (App. 27533/95).

A. Datenschutz durch Art. 8 EMRK

189

liegt, selbst auswählen. Im Ergebnis hält die Kommission die Entscheidung der Behörde für verhältnismäßig und weist die Beschwerde daher als unbegründet ab. Hervorzuheben ist an dieser Entscheidung, dass die Kommission bei der Prüfung, ob der Anwendungsbereich von Art. 8 EMRK eröffnet ist, das Urteil Gaskin als Maßstab heranzieht. Auch wenn der Anwendungsbereich des Rechts auf Privatleben zu keinem Zeitpunkt scharf umrissen war, ist dies insofern verwunderlich als dass medizinische Daten nach allgemeinem Verständnis zum Inbegriff dessen gehören, was offensichtlich vom Begriff des Privatlebens umfasst sein muss.496 Außerdem wird deutlich, dass das Konzept der positiven Verpflichtungen von den Straßburger Organen nicht nur im Fall einer pauschalen Verweigerung der Einsichtnahme angewendet wurde. Vor diesem Hintergrund erscheint der in der Sache Martin gegen Schweiz eingeschlagenen Lösungsweg über die normale Eingriffskonstruktion umso fragwürdiger. (5) M. G. gegen Vereinigtes Königreich Die Aussage des Urteils Gaskin bestätigte der Gerichtshof erneut im Fall M. G. gegen Vereinigtes Königreich.497 Der Beschwerdeführer, der in den sechziger Jahren als Kind von seinem Vater missbraucht und misshandelt worden war, verlangte gegenüber dem Sozialamt Einsichtnahme in seine Akten. In seiner Kindheit hatte das Sozialamt insgesamt fünf Mal, meist für einen Zeitraum von wenigen Monaten, einmal aber auch für drei Jahre, die Fürsorge übernommen. Als der Beschwerdeführer im Alter von 35 Jahren versuchte, seine Vergangenheit aufzuarbeiten, bemühte er sich, auch zu erfahren, ob das Sozialamt von dem Missbrauch Kenntnis gehabt hatte oder hätte haben müssen. Die vollständige Einsichtnahme in die Akten wurde ihm jedoch verwehrt. Er erhielt lediglich handschriftliche und maschinengeschriebene Informationen, die Mitarbeiter des Sozialamtes seinen Akten entnommen hatten. In der Zwischenzeit waren in Großbritannien mehrere gesetzliche Regelungen, die den Zugang zu Akten regelten, in Kraft getreten; zuletzt im März 2000 der Data Protection Act 1998. Nach diesem Gesetz muss dem Betroffenen unabhängig davon, wann die Informationen ge496

So gehen die wenig später ergangenen Urteile, in denen es aber um Abwehransprüche gegen den Staat ging, auch ohne weiteres davon aus, dass medizinische Daten in den Anwendungsbereich des Rechts auf Privatleben fallen, siehe dazu EGMR, Urteil vom 25. Februar 1997, Z. ./. Finnland, (App. 22009/93), Reports 1997-I; EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Reports 1997-IV, siehe oben unter Teil 2, A.I.2.b)cc)(1). 497 EGMR, Urteil vom 24. September 2002, M. G. ./. Vereinigtes Königreich, (App. 39393/98).

190

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

speichert wurden, Einsichtnahme in die ihn betreffenden elektronisch oder manuell gespeicherten Daten gewährt werden. Darüber hinaus sieht das Gesetz für den Fall, dass der Zugang verweigert oder ihm die erforderliche Zustimmung durch einen Informanten oder ebenfalls betroffenen Dritten nicht erteilt wird, eine Beschwerdemöglichkeit vor einem Gericht oder einem Datenschutzbeauftragten vor. Unter Bezugnahme auf sein Urteil im Fall Gaskin kommt der Gerichtshof zu dem Schluss, dass auch im vorliegenden Fall die Akten für den Beschwerdeführer eine wichtige Informationsquelle für entscheidende Jahre seines Lebens darstellten. Sie bezögen sich daher auf das Privat- und Familienleben des Beschwerdeführers.498 Anschließend überprüft der Gerichtshof, ob das Vereinigte Königreich eine positive Verpflichtung verletzt hat, indem er abwägt, ob die Verhältnismäßigkeit (fair balance) zwischen Allgemeininteresse und Individualinteresse gewahrt ist. Da die Informationen sich auf die frühe Kindheit des Beschwerdeführers beziehen, gewichtet er das Interesse des Beschwerdeführers in die Einsichtnahme der Akten als ebenso stark wie im Fall Gaskin. Nach Auffassung des Gerichts unterscheide dies den vorliegenden Fall vom Fall Martin gegen Vereinigtes Königreich, in dem der Beschwerdeführer zum relevanten Zeitpunkt bereits 19 Jahre alt gewesen war. Weiterhin sei zu berücksichtigen, dass der Beschwerdeführer, um seine Vergangenheit zu bewältigen, so viele Informationen wie möglich über den Missbrauch durch seinen Vater benötige und er diese Informationen nur in sehr begrenzten Maße durch seine Eltern erhalten könne. Als letztendlich entscheidenden Faktor erkennt das Gericht die fehlende Möglichkeit einer Berufung gegen die Entscheidung der Behörde an und kommt zu dem Schluss, dass das Vereinigte Königreich eine positive Verpflichtung verletzt hat. Da dem Beschwerdeführer jedoch seit dem Inkrafttreten des Data Protection Act 1998 am 1. März 2000 eine Berufungsmöglichkeit zur Verfügung stand, nimmt der Gerichthof eine Verletzung von Art. 8 EMRK nur für den Zeitraum zwischen dem ersten Auskunftsersuchen des Beschwerdeführers im Jahr 1995 und dem Inkrafttreten des Data Protection Act an.499 Nach der Kommission (im Fall Martin gegen Vereinigtes Königreich) begründet nun also auch der Gerichtshof die Anwendbarkeit von Art. 8 498

„In the present case, the Court considers that the social service records, which contain the principal source of information regarding significant periods of the applicant’s formative years, relate to his private and family life. It is not suggested that the manner or breadth of disclosure was not in accordance with domestic law.“ EGMR, Urteil vom 24. September 2002, M. G. ./. Vereinigtes Königreich, (App. 39393/98), § 28. 499 EGMR, Urteil vom 24. September 2002, M. G. ./. Vereinigtes Königreich, (App. 39393/98), § 32.

A. Datenschutz durch Art. 8 EMRK

191

EMRK mit der Tatsache, dass sich die Informationen auf entscheidende Jahre im Leben des Beschwerdeführers beziehen. Wiederum ist jedoch zu bemerken, dass angesichts der zunehmend weiteren Auslegung des Begriffs des Privatlebens eine solche Feststellung an dieser Stelle überflüssig erscheint. Es bestätigt sich, dass der Gerichtshof die Reichweite des Schutzbereichs von der Eingriffsart abhängig macht. Folglich sind die Ausführungen zur Anwendbarkeit von Art. 8 Abs. 1 EMRK bei klassischen Eingriffen nicht ohne weiteres auf die positiven Verpflichtungen übertragbar. Zudem setzt die Feststellung des Gerichtshofs eine Bewertung der betroffenen Information voraus. Eine solche wird an sich jedoch erst im Rahmen der Abwägung zwischen Individualinteressen und dem Interesse der Allgemeinheit vorgenommen, die ihrerseits heutzutage erst nach der Feststellung des Bestehens einer positiven Verpflichtung stattfindet. Bei entsprechender Anwendung des Grundsatzes aus dem Urteil Gaskin wäre es zur Beantwortung der Frage, ob der Anwendungsbereichs eröffnet ist, mithin ausreichend gewesen, zu bemerken, dass die Akten Informationen enthielten, anhand derer sich die Entwicklung des Beschwerdeführers nachzeichnen lässt. (6) Das Recht auf Zugang zu persönlichen Daten als Verfahrensgarantie In der Rechtsprechung des Gerichtshofes findet sich ein Recht auf Zugang zu persönlichen Daten aber nicht nur als positive Verpflichtung des Staates zum Schutz des Privatlebens, sondern – wenn auch nur vereinzelt – als Ausdruck einer Verfahrensgarantie.500 Solche Garantien kann Art. 8 EMRK durch das Recht auf Achtung des Familienlebens gewährleisten, auch wenn die Vorschrift keine ausdrücklichen prozessualen Erfordernisse enthält.501 Dies zeigt sich im Fall McMichael.502 Durch Gerichtsbeschluss war der Sohn des psychisch kranken Ehepaars McMichael zur Adoption freigeben worden, nachdem er zunächst bei Pflegefamilien aufgewachsen war. Die Eltern wandten sich gegen die Freigabe zur Adoption und machten eine Verletzung ihrer Rechte aus Art. 6 Abs. 1 und Art. 8 EMRK geltend, da ihnen während des Verfahrens die Einsichtnahme in vertrauliche Be500 Zur Bedeutung der Verfahrensgarantie etwa Goerlich, Grundrechte als Verfahrensgarantie, S. 86 f. So könne erst durch ein geordnetes Verfahren gezeigt werden, welche Mindestgarantie das jeweilige Grundrecht enthält, der bloße Verweis auf den Grundsatz der Verhältnismäßigkeit reiche dazu nicht aus. 501 EGMR, Urteil vom 8. Juli 1987, W ./. Vereinigtes Königreich, (App. 9749/82), Serie A 121, § 62; siehe auch Wildhaber/Breitenmoser in: IntKomm, Art. 8, Rn. 396; Grabenwarter, Europäische Menschenrechtskonvention, § 22, Rn. 45. 502 Urteil vom 24. Februar 1995, Mc Michael ./. United Kingdom, (App. 16424/ 90), Serie A 307, S. 31.

192

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

richte und Dokumente verweigert worden war. Im Ergebnis bestätigt der Gerichtshof, dass die Nicht-Offenlegung der Akten einen Eingriff in das in Art. 8 EMRK verankerte Recht auf Achtung des Familienlebens bedeuten kann. Dabei hat er sich notwendiger Weise mit dem Verhältnis der Rechte aus Art. 6 Abs. 1 und Art. 8 Abs. 1 EMRK zueinander auseinander zu setzen. Er stellt fest, dass sowohl Art. 6 Abs. 1 als auch Art. 8 Abs. 1 EMRK gewisse Verfahrensgarantien gewährleisten. Diese Garantien seien aber insofern unterschiedlich, als dass die Art. 8 EMRK inhärenten Garantien ergänzender Ausdruck der Gewährleistungen des Art. 8 Abs. 1, also unter anderem des Rechts auf Achtung des Familienlebens seien.503 Insgesamt betrachtet stellt sich der Anspruch auf Zugang zu persönlichen Daten jedoch nur als ein Nebenaspekt der Verfahrensgarantie aus Art. 8 EMRK dar. Von wesentlich größerer Bedeutung sind in diesem Zusammenhang andere, die Ausgestaltung familienrechtlicher Ansprüche oder Fürsorgerechte betreffende Verfahrensfragen.504 Für den Datenschutz unter Art. 8 EMRK ist dieser Anspruch daher nur von geringer Bedeutung. bb) Berichtigungs- und Löschungsanspruch Der Anspruch auf Löschung von personenbezogenen Daten war Gegenstand des Falls Chave née Julien gegen Frankreich.505 Die Beschwerdeführerin war für eineinhalb Jahre in eine psychiatrische Klinik eingewiesen worden. Erst mehrere Jahre später erkannte ein Gericht die Unrechtmäßigkeit des Einweisungsbeschlusses an und verurteilte die öffentliche Hand zur Zahlung einer Entschädigung. In einem weiteren Verfahren verlangte die Beschwerdeführerin anschließend, ihren Namen aus jeglichen psychiatrischen Unterlagen, insbesondere aus einem Verzeichnis über psychisch kranke Menschen, zu löschen. Die zuständige Behörde bestritt jedoch die Existenz solcher Unterlagen. Da es der Beschwerdeführerin nicht möglich war, den Gegenbeweis anzutreten, wies das Verwaltungsgericht die Klage ab. 503 „Thus, Article 6 § 1 affords a procedural safeguard, namely the ‚right to a court‘ in the determination of one’s ‚civil rights and obligations‘; whereas not only does the procedural requirement inherent in Art. 8 cover administrative procedures as well as judicial proceedings, but it is ancillary to the wider purpose of ensuring proper respect for, inter alia, family life.“; Urteil vom 24. Februar 1995, Mc Michael ./. United Kingdom, (App. 16424/90), Serie A 307, § 91. 504 Siehe dazu z. B. EGMR, Urteil vom 26. Februar 2002, Kutzner ./. Bundesrepublik Deutschland, (App. 46544/99), Reports 2002-I, § 56; EGMR, Urteil vom 13. Juli 2000, Elsholz ./. Bundesrepublik Deutschland, (App. 25753/93), § 52; EGMR, Urteil vom 20. Mai 2001, T. P. und K. M. ./. Vereinigtes Königreich, (App. 28945/95), § 82. 505 EKMR, Entscheidung vom 9. Juli 1991, Chavéee née Julien ./. Frankreich, (App. 14461/88), DR 71, S. 141.

A. Datenschutz durch Art. 8 EMRK

193

Die Kommission beurteilte den Fall jedoch anders. Sie sah es als erwiesen an, dass zumindest in der Klinik, in der die Beschwerdeführerin behandelt worden war, entsprechende Unterlagen aufbewahrt worden waren und stellte daher fest, dass ein Eingriff in Art. 8 EMRK vorliegen könne. Dieser Eingriff in das Recht auf Privatleben sei jedoch in jedem Fall gerechtfertigt, da eine gesetzliche Grundlage bestehe. Zudem seien die Informationen nicht allgemein zugänglich und dienten ausschließlich medizinischen Zwecken und damit dem Wohl der Beschwerdeführerin. Somit konnte keine Verletzung von Art. 8 EMRK festgestellt werden. Auch wenn der Löschungsanspruch im konkreten Fall abgelehnt wurde, kann man aus der Entscheidung zumindest schließen, dass die Kommission von der Existenz eines solchen Anspruchs generell ausgeht und dieser auch auf Art. 8 EMRK begründet werden kann.506 Häufiger als mit der Löschung von Daten hatten sich die Straßburger Organe mit Berichtigungsansprüchen zu befassen. Diese sind vor allem im Zusammenhang mit Transsexuellen relevant geworden. Etwa sah das britische Recht vor, dass nach einer geschlechtsanpassenden Operation einige Dokumente, wie etwa der Reisepass und Führerschein entsprechend geändert werden, in anderen hingegen der ehemalige Name und das ursprüngliche Geschlecht verzeichnet bleibt. So blieben die Daten in Geburtsurkunde, Polizei- und Sozialversicherungsakten unverändert, wodurch Diskriminierungen unterschiedlicher Art, etwa im Zusammenhang mit Rentenalter und -ansprüchen hervorgerufen wurden. In den Fällen Rees,507 Cossey508 und Sheffield und Horsham509 wurde die Praxis der britischen Behörden, die Angaben in der Geburtsurkunde unverändert zu belassen, jedoch als mit Art. 8 der Konvention vereinbar angesehen. Der Gerichtshof wertete die Weigerung, die Geburtsurkunde an das Geschlecht des Beschwerdeführers anzupassen, nicht als Eingriff, sondern prüfte vielmehr, ob die Voraussetzungen einer positiven Verpflichtung vorlagen. Da das Gericht hinsichtlich der Praxis in den Mitgliedstaaten keine gemeinsame Rechtsüberzeugung feststellen konnte, billigte es dem Vereinigten Königreich einen weiten Ermessenspielraum zu.510 Im Ergebnis lag daher keine Verletzung von Art. 8 506 Immerhin hatten sieben Richter Art. 10 EMRK als Grundlage für einen solchen Anspruch betrachtet. 507 EGMR, Urteil vom 17. Oktober 1986, Rees ./. Vereinigtes Königreich, (App. 9532/81), Serie A 106. 508 EGMR, Urteil vom 27. September 1990, Cossey ./. Vereinigtes Königreich, (10843/84), Serie A 184. 509 EGMR, Urteil vom 30. Juli 1998, Sheffield and Horsham ./. Vereinigtes Königreich, (22985/93), Reports 1998, V. 510 Siehe dazu etwa EGMR, Urteil vom 17. Oktober 1986, Rees ./. Vereinigtes Königreich, Serie A, 106, § 39 und EGMR, Urteil vom 27. September 1990, Cossey

194

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

EMRK vor. Angesichts der Entwicklungen im wissenschaftlichen und sozialen Bereich behielt sich das Gericht allerdings vor, seine Auffassung gegebenenfalls einer Überprüfung zu unterziehen.511 An dieser Stelle stellt sich die Frage, wie ein solcher Fall aus datenschutzrechtlicher Sicht zu beurteilen ist. Ungeachtet aller negativen Auswirkungen, die die britische Praxis auf die Persönlichkeitsentwicklung der Beschwerdeführer hatte, ist zu berücksichtigen, dass sie nach den im Vereinigten Königreich geltenden Vorschriften rechtlich doch ihrem ursprünglichen Geschlecht zugehörig blieben. Der datenschutzrechtliche Berichtigungsanspruch zielt aber nur auf die Berichtigung unrichtiger Daten ab.512 Es ist daher zweifelhaft, ob angesichts der gesetzlichen Regelung zum damaligen Zeitpunkt überhaupt ein datenschutzrechtlicher Berichtigungsanspruch bestanden hätte. Dies kann jedoch dahingestellt bleiben, da der EGMR inzwischen vor dem Hintergrund des zunehmenden Gewichts, das er der Selbstbestimmung des Individuums zumisst,513 eine ausdrückliche Änderung seiner Rechtsprechung vorgenommen hat.514 Man kann daher sagen, dass ./. Vereinigtes Königreich, Serie A 184, § 40, in dem der Gerichtshof feststellt: „The Court has been informed of no significant scientific developments that have occurred in the meantime; in particular, it remains the case – as it was not contested by the applicant – that gender reassignment surgery does not result in the causation of all the biological characteristics of the other sex.“ 511 Siehe EGMR, Urteil vom 17. Oktober 1986, Rees ./. Vereinigtes Königreich, (App. 9532/81), Serie A 106, § 47. 512 So sieht Art. 8 lit. c der Datenschutzkonvention vor, dass die Möglichkeit bestehen muss „gegebenenfalls diese Daten berichtigen oder löschen zu lassen, wenn sie entgegen den Vorschriften des innerstaatlichen Rechts verarbeitet worden sind, welche die Grundsätze der Artikel 5 und 6 verwirklichen“. Gemäß Art. 6 lit. d müssen die personenbezogenen Daten sachlich richtig und wenn nötig auf den neuesten Stand gebracht sein. Allerdings gelten die Vorschriften der Konvention nur auf personenbezogene Daten, die automatisch verarbeitet werden. Dementsprechend sieht der Explanatory Report zur Datenschutzkonvention vor, dass Art. 8 zur „rectification of erroneous or inappropriate information“ berechtigt. Art. 12 lit. b gewährt einen Berichtigungsanspruch, wenn die Daten unvollständig oder unrichtig sind. 513 „Nonetheless, the very essence of the Convention is respect for human dignity and human freedom. Under Article 8 of the Convention in particular, where the notion of personal autonomy is an important principle underlying the interpretation of its guarantees, protection is given to the personal sphere of each individual, including the right to establish details of their identity as individual human beings (see, inter alia, Pretty v. the United Kingdom, no. 2346/02, judgment of 29 April 2002, § 62, and Mikulic´ v. Croatia, no. 53176/99, judgement of 7 February 2002, § 53, b), EGMR, Urteil vom 11. Juli 2002, Christine Goodwin ./. Vereinigtes Königreich, (App. 28957/95), § 90. 514 Im Fall Goodwin gegen Vereinigtes Königreich stellte der Gerichtshof fest, dass die medizinischen und wissenschaftlichen Umstände sich inzwischen erheblich gewandelt haben. Die Chromosomenmerkmale könnten nicht das ausschlaggebende Argument gegen eine rechtliche Anerkennung der Transsexuellen darstellen. Der

A. Datenschutz durch Art. 8 EMRK

195

der Anspruch auf Berichtigung der Daten aus Art. 8 EMRK heutzutage insofern sogar über einen entsprechenden datenschutzrechtlichen Anspruch hinausgeht. cc) Andere positive Verpflichtungen Zu den positiven Verpflichtungen zählen jedoch nicht nur präventive Maßnahmen des Staates, wie der Fall Craxi zeigt. Hier hatte der Gerichtshof eine Verletzung von Art. 8 Abs. 1 EMRK angenommen, obwohl der Eingriff in das Privatleben des ehemaligen italienischen Premierministers letztendlich durch Veröffentlichung von Informationen aus Gerichtsakten durch die Presse – also durch Private – erfolgt war. Nach Auffassung des EGMR bestand eine positive Verpflichtung des Staates, sicherzustellen, dass die Behörden die zum Schutze des Privatlebens und der Korrespondenz erforderlichen Maßnahmen treffen.515 Doch erschöpfe sich diese Verpflichtung nicht in der Einrichtung angemessener Schutzmaßnahmen. So umfasse sie, wenn es bereits zu einer Verletzung des Rechts auf Achtung des Privatlebens gekommen sei, auch die alternative Pflicht zur Aufklärung des Sachverhalts.516 Damit begründet der Gerichtshof erstmalig im Zusammenhang mit Art. 8 EMRK eine Pflicht zum Tätigwerden des Staates nachdem eine Verletzung bereits eingetreten ist. Bisher hatte er eine so weitgehende Verpflichtung nur in Verbindung mit den notstandsfesten Rechten aus Art. 2 einzige biologische Faktor, der sich trotz der modernen medizinischen Möglichkeiten bei einer Geschlechtsanpassung nicht verändern ließe, seien die Chromosomenmerkmale. Jedoch sei es bekannt, dass Chromosomenanomalien auch auf natürlichem Wege auftreten können. In diesem Fall werde das Geschlecht nach den Umständen im Einzelfall bestimmt. Darüber misst das Gericht einer gemeinsamen Rechtsüberzeugung der Mitgliedstaaten ein geringeres Gewicht bei, da auf internationaler Ebene eine eindeutige Entwicklung zu einer rechtlichen Anerkennung Transsexueller zu beobachten sei. In der anschließenden Abwägung geht das Gericht auf das Recht auf Selbstbestimmung des Individuums ein und kommt angesichts des Gewichts dieses Prinzips zu dem Ergebnis, dass durch die Weigerung der rechtlichen Anerkennung der Transsexuellen das Recht auf Achtung des Privatlebens missachtet worden ist und somit eine Verletzung von Art. 8 EMRK vorliegt. 515 EGMR, Urteil vom 17. Juli 2003, Craxi ./. Italien (Nr. 2), (App. 25337/94), § 73. 516 „It follows that once the transcripts were deposited under the responsibility of the registry, the authorities failed in their obligation to provide safe custody in order to secure the applicant’s conversations and, if necessary, to sanction the persons responsible for the shortcoming which had occurred. In fact, by reason of their failure to start effective investigations into the matter, the Italian authorities were not in a position to fulfil their alternative obligation of providing a plausible explanation as to how the applicant’s private communications were released into the public domain.“, EGMR, Urteil vom 17. Juli 2003, Craxi ./. Italien (Nr. 2), (App. 25337/94), § 75.

196

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

und 3 EMRK angenommen. So ist die Entscheidung des Gerichts denn auch auf Kritik gestoßen517 und es bleibt abzuwarten, ob sich diese Rechtsprechung bestätigen wird. c) Bewertung Festzuhalten ist zunächst, dass Art. 8 EMRK dem Betroffenen ein Auskunftsrecht gewährt. Dabei ist davon auszugehen, dass es sich nicht um ein Abwehrrecht, sondern um einen Anspruch des Einzelnen gegenüber dem Staat handelt, so dass die dogmatische Konstruktion der positiven Verpflichtung einschlägig ist. Immer dann, wenn ein eigenständiger Anspruch auf Einsichtnahme in personenbezogene Informationen verlangt wird, sind daher die Voraussetzungen einer positiven Verpflichtung und nicht die eines klassischen Eingriffs zu prüfen. Dabei macht der Gerichtshof die Annahme eines Auskunftsanspruchs grundsätzlich von der Qualität der Daten abhängig. Ebenso wie der Abwehranspruch aus Art. 8 EMRK ist daher auch das Recht auf Zugang zu den eigenen Daten in seinem Anwendungsbereich sehr beschränkt. Während beim Abwehranspruch der Anwendungsbereich aber schon dann eröffnet ist, wenn die gespeicherten Informationen sich auf das Privatleben beziehen, sind die Anforderungen, die an das Bestehen einer positiven Verpflichtung zu stellen sind, wesentlich höher. Den entscheidenden Maßstab bildet hier der Fall Gaskin518. Soweit die begehrten Informationen die Hauptinformationsquelle über die Vergangenheit des Beschwerdeführers darstellen, ist der Anwendungsbereich des Art. 8 EMRK eröffnet. Diese Ansicht bestätigt der Gerichtshof auch im Fall Odièvre, indem er explizit feststellt, dass jede Person ein „von der Konvention geschütztes Interesse an Auskünften [hat], die sie benötigt, um ihre Kindheit zu erkennen und ihre frühe Entwicklung zu verstehen“.519 Hinzu kommt, dass anders als bei den negativen Verpflichtungen unter Art. 8 EMRK in der Rechtsprechung des Gerichtshofes keine Bereitschaft erkennbar ist, den Datenschutz als weitgehend eigenständiges Recht unter Art. 8 EMRK anzuerkennen.520 Wenn sich in der Literatur auch Stimmen finden, die ein solches Ergebnis als naheliegend bezeichnen,521 so muss man zum gegenwärti517

Siehe dazu die teilweise abweichende Meinung von Richter Zagrebelsky in EGMR, Urteil vom 17. Juli 2003, Craxi ./. Italien (Nr. 2), (App. 25337/94). 518 Siehe EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 41. 519 EGMR, Urteil vom 13. Februar 2003, Odièvre ./. Frankreich, (App. 42326/ 98), § 42. 520 So bereits Szczekalla, Schutzpflichten, S. 816. Ausdrücklich offen gelassen hatte diese Frage bereits die Kommission in EKMR, Entscheidung vom 20. Mai 1998, Willy Brandt ./. Schweiz, (App. 30039/96).

A. Datenschutz durch Art. 8 EMRK

197

gen Zeitpunkt jedoch noch davon ausgehen, dass sich Beteiligungsrechte des Betroffenen nur aus der Gaskin-Rechtsprechung und nicht aus einem aus Art. 8 EMRK fließenden Recht auf Datenschutz herleiten lassen. Im Ergebnis erstreckt sich der Auskunftsanspruch daher nur auf bestimmte Daten und nicht generell auf alle personenbezogenen Informationen. 2. Einschränkungsmöglichkeiten „Fair balance test“ Jedoch kann mit dem Bestehen einer positiven Verpflichtung noch keine Verletzung von Art. 8 EMRK angenommen werden.522 Auch bei positiven Verpflichtungen stellt sich die Frage der Rechtfertigung nach Art. 8 Abs. 2.523 Anders als beim Vorliegen eines Eingriffs im abwehrrechtlichen Sinne geht der Gerichtshof nur bedingt auf die aufgezählten Einschränkungsmöglichkeiten ein,524 sondern betrachtet im Rahmen einer generellen Abwägung die Interessen des Individuums und das öffentliche Interesse.525 Weiterhin billigt der Gerichtshof den Staaten einen im Vergleich zu den 521 Szczekalla, Schutzpflichten, S. 816. Ein anderer Ansatz findet sich bei Dröge, Positive Verpflichtungen der Staaten in der Europäischen Menschenrechtskonvention, S. 166, die davon ausgeht, dass das Recht auf Akteneinsicht einen Aspekt des Rechts auf effektiven Rechtsschutz darstellt, da er dem Betroffenen ermöglicht, sich aufgrund besserer Informationen gegen staatliche Eingriffe zu verteidigen. Dröge sieht es daher als sinnvoll an, dieses den Rechtsschutz ergänzende Recht auch gegen Eingriffe in andere Rechte der EMRK zu gewährleisten. Dazu später unter Teil 2, B. 522 Zum Begriff der Verletzung Wildhaber/Breitenmoser, in: IntKomm, Art. 8, Rn. 45. 523 EGMR, Urteil vom 17. Oktober 1986, Rees ./. Vereinigtes Königreich, (App. 9532/85), Serie A 106, § 27; EGMR, Urteil vom 21. Februar 1990, Powell and Rayner ./. Vereinigtes Königreich, (App. 9319/81), Serie A, 172, § 41; EGMR, Urteil vom 9. Dezember 1994, López Ostra ./. Spanien, (App. 16789/90), Serie A 303-C, § 51. 524 „[E]ven in relation to the positive obligations flowing from the first paragraph of Article 8 in striking the required balance the aims mentioned in the second paragraph may be of a certain relevance.“, EGMR, Urteil vom 19. Dezember 1994, López Ostra ./. Spanien, (App. 16789/90), Serie A 303-C; EGMR, Urteil vom 27. Oktober 1986, Rees ./. Vereinigtes Königreich, (App. 9532/85), Serie A 106, § 37; EGMR, Urteil vom 21. Februar 1990, Powell und Rayner ./. Vereinigtes Königreich, (App. 9310/81), Serie A 172, § 41. Diese ließen sich auch nicht ohne weiteres auf eine Verletzung einer positiven Verpflichtung durch ein Unterlassen des Staates übertragen, siehe dazu Dröge, Positive Verpflichtungen der Staaten in der Europäischen Menschenrechtskonvention, S. 348. 525 „Regard must be had to the fair balance that has to be struck between the general interest of the community and the interest of the individual, the search for which balance is inherent in the whole of the Convention.“, EGMR, Urteil vom 17. Oktober 1986, Rees ./. Vereinigtes Königreich, (App. 9532/85), Serie A 106, § 37.

198

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

negativen Verpflichtungen größeren Ermessensspielraum zu.526 Hinsichtlich der Mittel, die der Mitgliedstaat zur Erfüllung dieser positiven Verpflichtung wählt, wägt der Gerichtshof daher nur ab, ob die widerstreitenden Interessen zu einem gerechten Ausgleich gebracht worden sind. Aufgrund dieses Beurteilungsspielraumes lassen sich aus den Entscheidungen der Straßburger Organe zu den positiven Verpflichtungen nur schwerlich verallgemeinerungsfähige Prinzipien ableiten. Dennoch sollen im Folgenden einige durch die Rechtsprechung anerkannte Einschränkungsmöglichkeiten dargestellt werden. In der überwiegenden Anzahl der Fälle, in denen es um ein Recht auf Einsichtnahme in die Akten geht, sind bei der Abwägung vor allem Interessen Dritter zu berücksichtigen. Im Gegensatz zum Fall Leander, wo es um Akten ging, die dem Schutz der nationalen Sicherheit dienten, waren die Akten im Fall Gaskin ausschließlich zu administrativen Zwecken angelegt worden. Den an der Pflege von Herrn Gaskin beteiligten Personen, die zur Zusammenstellung der in seiner Akte enthaltenen Informationen beigetragen hatten, war zugesichert worden, dass diesem keine Einsicht in die Akte gewährt werden würde. Folglich kollidierte das Interesse von Herrn Gaskin auf Einsichtnahme mit den Interessen der Informanten auf Vertraulichkeit der Informationen.527 Nach Auffassung des Gerichts ist die Vertraulichkeit amtlicher Verwaltungsvorgänge erforderlich, um objektive und glaubwürdige Auskünfte zu erhalten und kann notwendig sein, um Dritte zu schützen. Aus datenschutzrechtlicher Sicht beurteilt sich die Situation jedoch anders. Soweit die erstellten Berichte Informationen zu den jeweiligen Informanten enthalten, handelt es sich bei ihnen ihrerseits um Betroffene im Sinne des Datenschutzrechts, denen der dort gewährte Schutz zukommt.528 Dementsprechend stellte der Gerichtshof fest, dass das britische System, das die Einsichtnahme in Akten vom Einverständnis des ebenfalls betroffenen Mitarbeiters abhängig macht, grundsätzlich mit Art. 8 EMRK vereinbar ist. Wenn jedoch der Mitarbeiter nicht erreichbar ist oder seine Zustimmung missbräuchlich verweigert, müssten die Interessen von Personen, die Akten über ihr Privat- oder Familienleben einsehen möchten, geschützt werden. 526 „The Court [. . .] observes that the choice of the means calculated to secure compliance with Article 8 (Art. 8) in the sphere of the relations of individuals between themselves is in principle a matter that falls within the Contracting States’ margin of appreciation. In this connection, there are different ways of ensuring ‚respect for private life‘, and the nature of the State’s obligation will depend on the particular aspect of private life that is at issue.“, EGMR, Urteil vom 26. März 1985, X. und Y. ./. die Niederlande, (App. 8978/90), Serie A, 91, § 24. 527 Vgl. Lawson/Schermers, Leading Cases of the European Court of Human Rights, S. 303. 528 Siehe Art. 12, Art. 13 Abs. 1 lit. g und Erwägungsgrund 42 Richtlinie 95/46/ EG.

A. Datenschutz durch Art. 8 EMRK

199

Ein Rechtssystem entspreche dem Grundsatz der Verhältnismäßigkeit daher nur, wenn in den genannten Ausnahmefällen eine unabhängige Institution endgültig über die Akteneinsicht entscheidet. Im Ergebnis sieht der Gerichtshof in der Verweigerung der Einsichtnahme daher eine Verletzung des Art. 8 EMRK.529 Mit identischer Begründung kommt der Gerichtshof auch im Fall M. G. gegen Vereinigtes Königreich zu einer Verletzung der positiven Verpflichtungen aus Art. 8 EMRK. Er stellt fest, dass das Interesse des Beschwerdeführers an der Einsichtnahme in die Akten als ebenso gewichtig zu bewerten sei wie im Fall Gaskin, da die gespeicherten Daten die früheste Kindheit beträfen.530 Die Rechte Dritter überwogen hingegen im Fall Odièvre gegen Frankreich.531 Die Beschwerdeführerin verlangte gegenüber den französischen Behörden Einsichtnahme in die ihre Geburt betreffenden Akten, um die Identität ihrer Mutter zu erfahren. Das französische Recht sieht die Möglichkeit einer anonymen Geburt vor, bei der das Kind unmittelbar nach der Geburt zur Adoption freigegeben wird, während die Identität der Mutter geheim gehalten wird. Der Gerichtshof betont, dass anders als im Fall Gaskin oder Mikulic, eine andere Person, nämlich die leibliche Mutter gesucht werde. Diese hatte aber ausdrücklich die Geheimhaltung der Geburt verlangt. Da der Ausdruck „jede Person“ in Art. 8 EMRK das Kind in gleicher Weise erfasse wie die Mutter, wiegen die Richter zwischen dem Recht des Kindes, seine Herkunft zu erfahren, und dem Recht der Mutter, anonym zu bleiben, ab. Weiterhin stellen sie fest, dass das französische System schon immer eine Möglichkeit vorsah, die Geheimhaltung der Identität aufzuheben. Zusätzlich sei dieses Verfahren noch durch ein neues Gesetz vereinfacht worden, jedoch sei hierzu die Zustimmung der Mutter erforderlich. Durch diese Institution wird nach Auffassung des EGMR ein Ausgleich zwischen den betroffenen Interessen und damit auch eine angemessene Verhältnismäßigkeit hergestellt.532 Im Ergebnis liegt also keine Verletzung von Art. 8 EMRK vor. Aus datenschutzrechtlicher Sicht kann man sagen, dass die Daten, zu denen Frau Odièvre Zugang begehrte, sie selbst nur mittelbar betrafen, nämlich nur insoweit, als sie Informationen über ihre Abstammung enthielten. Da sich in den Akten aber vor allem Informationen über die leibliche Mut529 EGMR, Urteil vom 7. Juli 1989, Gaskin ./. Vereinigtes Königreich, (App. 10454/83), Serie A 160, § 49. 530 EGMR, Urteil vom 24. September 2002, M. G. ./. Vereinigtes Königreich, (App. 39393/98), § 28. 531 EGMR, Urteil vom 13. Februar 2003, Odièvre ./. Frankreich, (App. 42326/ 98). 532 EGMR, Urteil vom 13. Februar 2003, Odièvre ./. Frankreich, (App. 42326/ 98), § 49.

200

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

ter befanden, war diese die betroffene Person im datenschutzrechtlichen Sinne, deren Privatsphäre geschützt werden sollte. Angesichts des Urteils Gaskin stand nun zu befürchten, dass ein Ausgleich der betroffenen Interessen dazu führen würde, dass das Gericht die Einrichtung einer unabhängigen Institution verlangte, die über Auskunftsersuchen der Kinder entscheidet und diesem gegebenenfalls auch ohne die Zustimmung der betroffenen Mutter stattgeben kann.533 Der Gerichtshof hielt die französische Lösung jedoch für ausreichend, um einen Ausgleich zwischen den widerstreitenden Interessen herzustellen. Der Zustimmung der betroffenen Person wird damit ein entscheidendes Gewicht zugemessen. Wenngleich zu berücksichtigen ist, dass das Gericht bei der Prüfung der Voraussetzung der Schranken für die positiven Verpflichtungen nur die nationale Entscheidung überprüft, nicht jedoch seine eigene Beurteilung an deren Stelle setzt,534 zeigt sich, dass das datenschutzrechtliche Prinzip der Einwilligung des Betroffenen bei einer Verarbeitung personenbezogener Daten einen hohen Stellenwert genießt. Dies täuscht jedoch nicht darüber hinweg, dass der über Art. 8 EMRK vermittelte Datenschutz nach der bisherigen Rechtsprechung Beteiligungsrechte nur in sehr begrenztem Maße gewährt. Ausdrücklich hingewiesen sei in diesem Zusammenhang auf den Einfluss, den Datenschutzvorschriften auf die Rechtsprechung des EGMR im Zusammenhang mit den positiven Verpflichtungen durchaus haben könnten. Bei der Prüfung der Einschränkungsmöglichkeiten im Rahmen der positiven Verpflichtungen, dem fairbalance-Test, billigt der Gerichtshof den Staaten ebenso wie unter Art. 8 Abs. 2 EMRK einen Beurteilungsspielraum zu. Dadurch ist der Staat bei der Beurteilung ob und wie er einen bestimmten Bereich regeln möchte, weitgehend frei. Besonders weit entwickelt ist diese Freiheit etwa in Bereichen, in denen neue Rechtsprobleme auftauchen.535 Dieser margin of appreciation reduziert sich jedoch in dem Maße, in dem der Gerichthof feststellen kann, dass ein gemeinsamer europäischer Standard angenommen werden kann.536 Die Weite des Spielraums hängt damit vom Kriterium der Rechtsvergleichung ab.537 Überträgt man diesen Gedanken auf den Datenschutz, hätte der Gerichtshof das in den Mitgliedstaaten existierende Daten533 So etwa die Richter Wildhaber, Bratza, Bonello, Loucaides, Cabral Barreto, Tulkens und Pellonpää in ihrer gemeinsamen abweichenden Meinung im Fall Odièvre ./. Frankreich, (App. 42326/98), § 49. 534 EGMR, Urteil vom 20. Mai 1999, Bladet Tromsø ./. Norwegen, (App. 21980/93), Reports 1999-III, § 60. 535 Szczekalla, Schutzpflichten, S. 876. 536 Szczekalla, Schutzpflichten, S. 876. 537 Dröge, Positive Verpflichtungen in der Europäischen Menschenrechtskonvention, S. 368.

A. Datenschutz durch Art. 8 EMRK

201

schutzrecht zu untersuchen, um festzustellen, ob man von einem gemeinsamen europäischen Standart ausgehen kann. Zwar handelt es sich bei dem Datenschutz um ein inzwischen nicht mehr neues Rechtsgebiet, doch es ist nicht ersichtlich, warum dieser Gedanke nicht an sich auch für einen solchen Bereich gelten sollte. Dies wäre schon deshalb naheliegend, weil sich deutliche Anhaltspunkte für einen gemeinsamen europäischen Standard aus der Datenschutzkonvention des Europarates ergeben, die immerhin 31 der 45 Mitgliedstaaten des Europarates ratifiziert haben.538 Indem sie die Mitgliedstaaten verpflichtet, grundlegende Prinzipien des Datenschutzes in innerstaatliches Recht umzusetzen, harmonisiert die Konvention gleichsam das nationale Datenschutzrecht. Insofern könnte der Gerichtshof unter Verweis auf die Datenschutzkonvention eine Reduzierung des Beurteilungsspielraumes der Mitgliedstaaten annehmen. Im Rahmen des fair balanceTests würde es daher regelmäßig zu einem Überwiegen der Rechtsposition des von der Datenverarbeitung Betroffenen kommen. Im Ergebnis würde dies der Entwicklung, die der Datenschutz unter den negativen Verpflichtungen im Rahmend es Art. 8 EMRK bereits genommen hat, entsprechen. Um ein umfassendes datenschutzrechtliches Recht auf Zugang zu begründen, würde eine solche Vorgehensweise jedoch nicht ausreichen. Da sich diese Auslegung nur auf den margin of appreciation auswirkt, bleibt der Schutzbereich des Rechts auf Privatleben in Hinblick auf positive Verpflichtungen unverändert eng. Man kann also festhalten, dass der Zugang zu den eigenen Daten weiterhin durch die Gaskin-Rechtsprechung des EGMR und nicht durch die in die Auslegung von Art. 8 EMRK einfließenden Grundsätze der Datenschutzkonvention bestimmt wird.

V. Drittwirkung Ein besonderes Problem im Zusammenhang mit dem Datenschutz unter der EMRK stellt die sog. Drittwirkung dar. Es ist offensichtlich, dass gerade auch das Betreiben von Datenbanken durch Private und der Handel mit Informationen schwerwiegende Beeinträchtigungen für das Recht auf Privatleben bedeuten können.539 Anders als das Datenschutzrecht findet Art. 8 EMRK im Verhältnis zwischen Privaten keine Anwendung. Dies liegt in der Funktion der Grund- und Menschenrechte begründet, deren Aufgabe es aus klassischer Sicht ist, divergierende Interessen des Staates 538

Darunter sämtliche EU-Mitgliedstaaten; weitere sieben Mitgliedstaaten haben unterzeichnet aber noch nicht ratifiziert; Stand vom 30.07.2004, abrufbar unter http://www.conventions.coe.int. 539 Clapham, The „Drittwirkung“ of the Convention, in: Macdonald/Matscher/ Petzold (Hg.), The European System for the Protection of Human Rights, S. 183; Merrills/Robertson, Human rights in Europe, S. 143.

202

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

und seiner Bürger zum Ausgleich zu bringen.540 Auch die durch die EMRK gewährten Rechte können daher nur gegen den Staat und nicht gegenüber Privaten geltend gemacht werden.541 Eine unmittelbare Drittwirkung der Konvention ist nicht gegeben. Anerkannt ist jedoch eine mittelbare Drittwirkung, vermittelt über die Gesetze.542 Hieraus ergibt sich auch der enge Zusammenhang einer Drittwirkung mit den positiven Verpflichtungen.543 Aus der Konvention kann sich unter Umständen eine Verpflichtung des Staates ergeben, gesetzgeberisch tätig zu werden. Nur dort, wo sich die positive Verpflichtung des Staates auf das Verhältnis zwischen Privaten bezieht, kann es zu einer mittelbaren Drittwirkung der Konventionsrechte kommen.544 Im Gegensatz zu anderen durch die EMRK gewährten Rechten,545 hat der Gerichtshof eine solche mittelbare Drittwirkung von Art. 8 EMRK noch nicht bestätigt. Hingewiesen sei in diesem Zusammenhang jedoch auch auf Tendenzen, die langfristig zu einer Drittwirkung des sich unter der EMRK entwickelnden Datenschutzes führen könnten. Zum einen fordert die Parlamentarische Versammlung des Europarates in einer Resolution, dass Art. 8 EMRK im Bereich des Datenschutzes unmittelbare Drittwirkung entfalten solle: „The right of privacy afforded by Art. 8 [. . .] should not only protect an individual against interferences by public authorities, but also against interference by private persons including mass media.“546 540 Siehe hierzu EKMR, Entscheidung vom 11. Oktober 1988, Nimmo ./. Vereinigtes Königreich, (App. 12327/86). Dem Beschwerdeführer war die Anstellung bei einem großen Elektronikunternehmen mit dem Hinweis auf das negative Ergebnis einer Sicherheitsüberprüfung verweigert worden. Seine Beschwerde gegen das Beschaffen, Verwenden und Speichern der ihn betreffenden personenbezogener Daten lehnte die Kommission als ratione personae mit der Konvention unvereinbar (Art. 35 Abs. 3 i. V. m. Art. 1 EMRK) ab. 541 Guradze, Die Europäische Menschenrechtskonvention, Art. 8, Nr. 4; Connelly, ICLQ 36 (1986), S. 572. 542 Szczekalla, Schutzpflichten im europäischen Recht, S. 900. 543 Der im Einzelnen jedoch noch nicht geklärt ist, siehe dazu Alkema, The thirdparty applicability or „Drittwirkung“ of the European Convention of Human Rights, in: Matscher/Petzold (Hg.), Protecting Human Rights: The European Dimension, Studies in honor of Gérard J. Wiarda, S. 33; Clapham, The „Drittwirkung“ of the Convention, in: Macdonald/Matscher/Petzold (Hg.), The European System for the Protection of Human Rights, S. 183, Szczekalla, Schutzpflichten im europäischen Recht, S. 900, m. w. N. 544 Jacobs/White, European Convention on Human Rights, S. 39. 545 So nahm der Gerichtshof im Zusammenhang mit Art. 3 EMRK eine positive Verpflichtung des Staates an, Maßnahmen gegen eine Mutter zu ergreifen, die ihre Kinder verwahrlosen ließ, EGMR, Urteil vom 10. Mai 2001, Z. u. a. ./. Vereinigtes Königreich, (App. 29392/95); ebenso in EGMR, Urteil vom 17. Dezember 1996, Ahmed ./. Österreich, (App. 25964/94), Reports 1996-VI, § 44; siehe die Nachweise bei Jaeckel, Schutzpflichten im deutschen und europäischen Recht, S. 144 ff.

A. Datenschutz durch Art. 8 EMRK

203

Aber auch außerhalb des Europarates finden sich entsprechende Hinweise. So findet die Datenschutzrichtlinie der EG, die weitgehend nach dem Vorbild der Datenschutzkonvention des Europarates entwickelt wurde, ausdrücklich auch Anwendung auf die Verarbeitung personenbezogener Daten durch Private.547 Zumindest unter den Mitgliedstaaten der Europäischen Gemeinschaften ist die Anwendung der datenschutzrechtlichen Grundsätze folglich anerkannt. Auch auf internationaler Ebene wird meist von einer Anwendbarkeit der datenschutzrechtlichen Vorschriften zwischen Privaten ausgegangen.548 Daraus die Forderung nach einer durch Art. 8 EMRK vermittelten unmittelbaren Drittwirkung abzuleiten wäre jedoch zu weitgehend, da die EMRK als völkerrechtlicher Vertrag nicht geeignet ist, Verpflichtungen Einzelner zu begründen.549 Es ist jedoch davon auszugehen, dass dieses in den internationalen Dokumenten zum Datenschutz verankerte Prinzip zumindest zu einer über die positiven Verpflichtungen vermittelten mittelbaren Drittwirkung führen kann. Auch wenn es der Gerichthof bisher vermieden hat, zu dieser Frage ausdrücklich Stellung zu nehmen,550 ist anzunehmen, dass diese allgemein anerkannten datenschutzrechtlichen Prinzipien zumindest Auswirkungen auf den Beurteilungsspielraum der Staaten haben können. Für den Fall, dass der Mitgliedstaat gegen die Datenverarbeitung durch Private keinen hinreichenden Schutz gewährt, ergäbe sich eine Verletzung einer positiven Verpflichtung und damit ein Verstoß gegen Art. 8 EMRK.551 546 Resolution 428 (1970), para. C 7 containing a declaration on mass communication media and human rights, adopted by the Council of Europe General Assembly, abrufbar unter http://assembly.coe.int/Documents/AdoptedText/ta70/BRES428. pdf (Stand 30.07.04). 547 Vgl. Art 2 lit. d bis lit. g und Art. 3 Abs. 2 Richtlinie 95/46/EG. 548 So ist in Teil I Nr. 2 der Empfehlung des Rates der OECD über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten vom 23. September 1980, OECD-Dokument C (80), 58 (Final) geregelt, dass „diese Leitlinien [. . .] sowohl im öffentlichen als auch privaten Bereich für personenbezogene Daten [gelten], die wegen der Art und Weise, in der sie verarbeitet werden, oder wegen ihres Charakters oder wegen des Zusammenhangs, in dem sie verwendet werden, eine Gefahr für den Persönlichkeitsbereich und die Grundfreiheiten bedeuten.“ Auch die Richtlinien der Vereinten Nationen betreffend personenbezogene Daten in automatisierten Dateien gelten ohne weiteres für den Privaten Bereich (Art. 10). 549 Dazu und zu weiteren Gründen, warum eine unmittelbare Drittwirkung von Vorschriften der EMRK generell zu verneinen ist, Szczekalla, Schutzpflichten im europäischen Recht, S. 904 ff. 550 Siehe dazu EKMR, Entscheidung vom 20. Mai 1998, Willy Brandt ./. Schweiz, (App. 30039/96). 551 Für nicht ausgeschlossen hält dies Tulkens, La protection des données et la Convention Européenne des Droits de l’Homme. Entre effectivité et complementarité, Communication to the European Conference on Data Protection of the Council of Europe, Warsaw, November 2001, abrufbar unter: http://www.Coe.int/T/E/

204

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Es bleibt abzuwarten, ob insbesondere die Datenschutzkonvention den gerade beschriebenen Einfluss auf die Rechtsprechung des Gerichtshofes zu den positiven Verpflichtungen unter Art. 8 EMRK erlangen wird.

VI. Ergebnis Grundsätzlich gewährt Art. 8 EMRK ein Recht auf Zugang zu Daten, die einen Bezug zum Privatleben aufweisen. Allerdings sind die Voraussetzungen sehr eng. Bisher ist ein solches Recht nur dann anerkannt worden, wenn sich die Daten auf entscheidende Jahre im Leben des Betroffenen beziehen. Zwar scheinen die Voraussetzungen, die für das Bestehen einer positiven, auf einen Berichtigungs- oder Löschungsanspruch gerichteten Verpflichtung, weniger schwer zu erfüllen sein, jedoch existieren in diesem Bereich bisher nur wenige Urteile. Letztendlich ist es daher schwer, die Reichweite dieses Rechts präzise zu bestimmen. Der Gefahr, dass es in der Folge zur Speicherung unrichtiger Daten kommen kann, begegnet der Gerichtshof mit der Forderung nach Schutzmaßnahmen. Letztendlich sind es die unabhängigen Kontrollstellen, die über die Rechte des Betroffenen zu entscheiden haben und zugleich den Missbrauch von Daten verhindern sollen.

B. Datenschutz außerhalb von Art. 8 EMRK Hauptanknüpfungspunkt für den Datenschutz in der EMRK ist, wie gezeigt, Art. 8. Jedoch finden sich vereinzelt auch in anderen Konventionsrechten datenschutzrechtliche Elemente. Ein Beispiel bieten Art. 5, 6 und 13 EMRK.

I. Datenschutzrechtliche Aspekte in Art. 5 EMRK Art. 5 EMRK garantiert ein Recht auf Freiheit und Sicherheit, wobei das Recht auf Sicherheit keine selbständige Bedeutung erlangt hat. Die Vorschrift beinhaltet also eine Garantie der persönlichen Freiheit552 und scheint auf den ersten Blick keinen datenschutzrechtlichen Bezug zu haben. Datenschutzrechtliche Elemente finden sich jedoch im Fall Murray gegen Vereinigtes Königreich.553 Die wegen des Verdachts der Beteiligung an terroristischen Akten festgenommenen Beschwerdeführer beriefen sich gegenLegal_affairs/Legal_co-operation/Data_protection/Events/Conf(Warsaw2001)Proceed ingsE.-2.pdf, S. 143 (30.07.04) 552 Mayer-Ladewig, Hk-EMRK, Art. 5, Rn. 1. 553 EGMR, Urteil vom 28. Oktober 1994, Murray ./. Vereinigtes Königreich, (App. 14310/88), Serie A 300-A, § 92 ff.

B. Datenschutz außerhalb von Art. 8 EMRK

205

über den britischen Behörden unter anderem auf Art. 5 Abs. 1 lit. c EMRK, nach dem die Freiheit nur durch rechtmäßige Festnahme oder Freiheitsentziehung zur Vorführung vor die zuständige Gerichtsbehörde entzogen werden darf, wenn ein hinreichender Verdacht besteht, dass die betreffende Person eine Straftat begangen hat. Im Zusammenhang mit den Zweifeln, die die Beschwerdeführer hinsichtlich des Bestehens eines „hinreichenden Verdachts“ anmeldeten, stellte der Gerichtshof fest: „The Court would firstly reiterate its recognition that the use of confidential information is essential in combating terrorist violence and the threat that organised terrorism poses to the lives of citizens and the democratic society as a whole. This does not mean, however, that the investigating authorities have carte blanche under Article 5 to arrest suspects for questioning, free from effective control by the domestic courts or by the Convention supervisory institutions, whenever they choose to assert that terrorism is involved.“554

Folglich ist der Staat im Zusammenhang mit der Ermittlung in Strafsachen weitgehend – wenn auch nicht unbeschränkt – frei im Umgang mit Daten. In einer solchen Situation kann sich der Betroffene daher offensichtlich nur sehr eingeschränkt auf deren Schutz berufen. Der Fall Lamy gegen Belgien555 betraf die Geltendmachung der Rechte des Beschwerdeführers aus Art. 5 Abs. 4 EMRK, nach dem jede Person das Recht hat, ein Gericht über die Rechtmäßigkeit einer Freiheitsentziehung entscheiden zu lassen. Dem Beschwerdeführer war die Einsicht in seine Akten verwehrt worden. Diesbezüglich stellt der Gerichtshof fest, dass die Einsichtnahme unbedingt erforderlich gewesen wäre, um die Rechtmäßigkeit der Freiheitsentziehung anzuzweifeln.556 Folglich nimmt er eine Verletzung des Rechts aus Art. 5 Abs. 4 EMRK an. Damit wird deutlich, dass in Ergänzung zu dem Recht auf Zugang zu Daten aus Art. 8 EMRK auch ein Recht auf Zugang zu Informationen im Strafverfahren gewährt wird. Für den Datenschutz unter der EMRK ist dieses Recht aber nur von geringer Bedeutung, da eine freiheitsentziehende Maßnahme Voraussetzung ist. Auch innerhalb dieses Bereichs ist die Reichweite des Rechts von unterschiedlichen Faktoren abhängig. Einerseits kann man sagen, dass dem Betroffenen das Recht auf Zugang zu Daten sehr weitreichend gewährleistet werden muss, da es immerhin um die Existenz eines eine Freiheitsentziehung begründenden hinreichenden Verdachtes oder deren Rechtmäßigkeit, also sehr gewichtige Interessen des Betroffenen, geht. Andererseits kommt 554 EGMR, Urteil vom 28. Oktober 1994, Murray ./. Vereinigtes Königreich, (App. 14310/88), Serie A 300-A, § 58. 555 EGMR, Urteil vom 30. März 1989, Lamy ./. Belgien, (App. 10444/83), Serie A-151. 556 EGMR, Urteil vom 30. März 1989, Lamy ./. Belgien, (App. 10444/83), Serie A-151, § 29.

206

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

auch hier zum Ausdruck, dass die Interessen des Staates durchaus unterschiedlich gewichtet werden. So deutet sich an, dass die Bekämpfung des Terrorismus gegenüber den Interessen des Betroffenen überwiegen kann.

II. Datenschutzrechtliche Aspekte in Art. 6 EMRK In stärkerem Maße finden sich datenschutzrechtliche Elemente in Art. 6 EMRK. Diese Vorschrift gewährt das Recht auf ein faires Verfahren. Durch eine Kombination aus Art. 6 Abs. 1 S. 1 und Abs. 3 lit. d. EMRK ergibt sich die Möglichkeit der unmittelbaren Kontrolle der vor Gericht durch die Gegenpartei vorgebrachten Daten und Informationen und ihrer Herkunft. So kann zum einen ein Anspruch auf Einsichtnahme in die Akten und zum anderen ein Recht auf Kontrolle der Weitergabe von Daten oder deren Verarbeitung durch einen unabhängigen Richter hergeleitet werden.557 Der Anspruch auf Überprüfung der Weitergabe von Daten war ein Aspekt des Falls M. S. gegen Schweden558. Da die Beschwerdeführerin keine Möglichkeit gehabt hatte, vor der Übermittlung der Daten die Rechtmäßigkeit dieser Maßnahme durch ein Gericht überprüfen zu lassen, sah sie sich in ihrem Recht aus Art. 6 Abs. 1 EMRK verletzt. Der Gerichtshof prüft zunächst, ob der Anwendungsbereich des Art. 6 Abs. 1 EMRK eröffnet ist, ob es also um eine Streitigkeit in Bezug auf einen zivilrechtlichen Anspruch geht.559 Diesbezüglich stellt er fest, dass das schwedische sekretsesslagen zwar vorsieht, dass Daten grundsätzlich vertraulich behandelt werden müssen, aber zugleich eine Ausnahmevorschrift enthält, die im konkreten Fall auch anwendbar war. Da die Vorschrift der Klinik zudem ein sehr weites Ermessen einräumte, erkannte der Gerichthof keine Verpflichtung, Einwände der Beschwerdeführerin vor der Weitergabe der Daten zu hören.560 Im Ergebnis liegt damit kein Anspruch der Beschwerdeführerin vor, so dass Art. 6 Abs. 1 keine Anwendung findet. 557

de Hert, Jaarboek Mensenrechten 1996–97, S. 73. Dazu allgemein: van Dijk, Access to Court, in: Macdonald/Matscher/Petzold (Hg.), The European System for the Protection of Human Rights, S. 345; Grabenwarter, Europäische Menschenrechtskonvention, § 24. 558 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Reports 1997-IV. Zu den Einzelheiten des Falls oben unter Teil 2, A.I.2.b)cc)(1). 559 Dies bedeutet nach der ständigen Rechtsprechung des EGMR, dass der Anspruch auf eine vertretbare Weise geltend gemacht wird (arguable claim). Es muss folglich vertretbar sein, dass der Anspruch nach innerstaatlichem Recht wirklich und ernsthaft besteht. Zudem muss das Ergebnis für das Verfahren entscheidend sein. Vgl. Mayer-Ladewig, Hk-EMRK, Art. 6, Rn. 6 m. w. N. 560 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Reports 1997-IV, § 49.

B. Datenschutz außerhalb von Art. 8 EMRK

207

Eine Verletzung des Rechts aus Art. 6 Abs. 1 EMRK bejahte der Gerichtshof hingegen im Fall Rotaru. Der Beschwerdeführer hatte keine Möglichkeit, vor einem Gericht geltend zu machen, dass die ihn betreffenden geheimdienstlichen Akten berichtigt oder vernichtet werden würden, da das mit der Sache befasst Zivilgericht ausschließlich über die Frage des Schadensersatzes urteilte.561 Über das Recht auf Einsichtnahme in Gerichtsakten entschied der Gerichtshof im Fall P. G. and J. H. Hier zeigt sich, dass ein solcher Anspruch, insbesondere in strafrechtlichen Verfahren, nur begrenzt gegeben ist:. „In some cases it may be necessary to withhold certain evidence from the defence so as to preserve the fundamental rights of another individual or to safeguard an important public interest.“562

Damit berücksichtigt der Gerichtshof, dass in Gerichtsverfahren meist Daten und Informationen von mindestens zwei betroffenen Parteien gespeichert und ausgewertet werden müssen. Dabei ist insbesondere in strafrechtlichen Verfahren auch der Schutz des Opfers und der Zeugen zu berücksichtigen. Um deren Interessen ebenfalls zu beachten, kann es folglich zu notwendigen Einschränkungen der Auskunftsrechte anderer kommen. Hinsichtlich der Bedeutung der datenschutzrechtlichen Aspekte von Art. 6 EMRK kann man daher sagen, dass sie ebenso wie die Beteiligungsrechte aus Art. 5 EMRK stark von dem jeweiligen Verfahren abhängig sind. Zum Recht auf Kontrolle durch ein unabhängiges Gericht ist zudem anzumerken, dass die Vorschrift nur im Zusammenhang mit Zivil- oder Strafverfahren Anwendung findet, verwaltungsgerichtliche Verfahren dagegen nicht erfasst sind.563 Gerade im Zusammenhang mit der Überprüfung datenschutzrechtlich relevanter Maßnahmen des Staates sind es meist aber die Verwaltungsgerichte, die mit der Sache befasst werden.564

561

EGMR, Urteil vom 4. Mai 2000, Rotaru ./. Rumänien, (App. 28341/95), Reports 2000-V, § 77. 562 EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX, § 68. 563 Peters, Einführung in die Europäische Menschenrechtskonvention, S. 105. 564 Siehe jedoch die Auslegung des Begriffs des zivilrechtlichen Verfahrens: Miehsler, in: IntKomm, Art. 6, Rn. 7; Grabenwarter, Europäische Menschenrechtskonvention, § 24 Rn. 5, m. w. N.; beispielsweise gelten Verfahren, in denen eine Schadensersatzforderung gegen den Staat geltend gemacht wird, als zivilrechtlich, vgl. EGMR, Urteil vom 24. November 1997, Werner ./.Österreich, (App. 21835/93), Reports 1997-VII.

208

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

III. Datenschutzrechtliche Aspekte in Art. 13 EMRK Ein weiteres Konventionsrecht wurde im Fall Leander relevant. Da die schwedischen Behörden Herrn Leander keine vollständige Einsicht in die seiner Entlassung zugrunde liegenden Unterlagen gewährt hatten und er sich auch nicht an eine unabhängige Stelle wenden konnte, um die Entscheidung überprüfen zu lassen, machte er eine Verletzung seines Rechts auf wirksame Beschwerde aus Art. 13 EMRK geltend. Der Gerichtshof betont zunächst, dass im vorliegenden Fall aus Art. 8 EMRK keine Verpflichtung der Behörden hergeleitet werden konnte, die Informationen aus dem geheimen Polizeiregister gegenüber Herrn Leander offenzulegen. Da die Konvention als eine Einheit betrachtet werden müsse, sei es erforderlich, Art. 13 EMRK in Übereinstimmung mit Art. 8 EMRK auszulegen. Dementsprechend könne in der Verweigerung der Offenlegung keine selbständige Verletzung von Art. 13 EMRK gesehen werden.565 Der Gerichtshof kommt daher zu dem Schluss: „[F]or the purpose of the present proceedings, an ‚effective remedy‘ under Art. 13 must mean a remedy that is as effective as can be having regard to the restricted scope for recourse inherent in any system of secret checks on candidates for employment in posts of importance from a national security point of view.“566

Anschließend stellt der Gerichtshof fest, dass dem Beschwerdeführer ein solches auf die Verletzung von Art. 8 EMRK begrenztes Recht auf wirksame Beschwerde gewährt wurde, da ihm nicht nur die Möglichkeit einer Beschwerde gegenüber der Regierung, dem Justizminister und dem Ombudsman sondern darüber hinaus auch der Weg zu den Verwaltungsgerichten offen gestanden habe. Wenn auch Zweifel an der Fähigkeit einzelner Beschwerdeinstanzen bestünden, rechtlich bindende Entscheidung zu treffen, kommt der EGMR doch zu dem Ergebnis, dass sie in ihrer Gesamtheit ausreichend sind.567 Im Ergebnis lehnt er eine Verletzung von Art. 13 EMRK daher ab. Anders beurteilen dies jedoch die Richter Pettiti und Russo in ihrer teilweise abweichenden Meinung. Sie geben zu bedenken, 565 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 78. 566 EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116, § 78. 567 „[T]hat for the purposes of the present proceedings, an effective remedy under Art. 13 must mean a remedy that is as effective as can be, having regard to the restricted scope for recourse inherent in any system of secret surveillance for the protection of national security. Even if, taken on its own, the complaint to the Government were not considered sufficient to ensure compliance with Article 13 in the particular circumstances of the instant case.“ EGMR, Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116 § 84.

B. Datenschutz außerhalb von Art. 8 EMRK

209

dass nach schwedischem Recht dem Justizminister und dem Ombudsman nur die Abgabe einer nicht bindenden Stellungnahme zustehe. Da der Betroffene auch in den anderen Verfahren nicht direkt beteiligt sei, halten sie die Beschwerdemöglichkeiten insgesamt für unzureichend.568 Zudem weisen sie auf besondere Risiken der Speicherung geheimer Daten durch die Polizei hin: „Consideration also needs to be given to the dangers of electronic links between the police registers and other State’s registers or Interpol’s register. The individual must have a right of appeal against an entry resulting from a fundamental mistake, even if the source of the information is kept secret and is known only to the independent authority that has jurisdiction to determine the applicant’s appeal. A supervisory system such as is provided by the Supreme Administrative Courts (in Belgium, France and Italy) ought to afford an effective remedy, which is lacking at present in our view. The State cannot be the sole judge in its own cause in this sensitive area of human-rights protection.569

Nach ihrer Auffassung handelt es sich bei der Speicherung der das Privatleben betreffenden Daten um ein so sensibles Gut, dass eine eindeutig der Legislative zuzuordnende Instanz die Rechtmäßigkeit der Maßnahmen kontrollieren sollte. Die an die Exekutive angegliederte Instanzen sind nach dieser Ansicht nicht ausreichend.570 Auch im Fall M. S. gegen Schweden hatte sich die Beschwerdeführerin auf Art. 13 EMRK berufen. Da der Anwendungsbereich von Art. 6 EMRK nicht eröffnet war,571 prüfte der Gerichtshof eine Verletzung von Art. 13 EMRK. Da der Beschwerdeführerin hinsichtlich ihrer behaupteten Verletzung des Arztgeheimnisses und damit ihres Rechts aus Art. 8 EMRK aber sowohl der Weg zu den Zivil- als auch zu den Strafgerichten offen gestanden habe, sei sie in ihrem Recht auf wirksame Beschwerde nicht verletzt worden.572 568 „[E]ven if combined, ineffctive remedies cannot amount to an effective remedy whereras in the instant case, their respective shortcomings do not cancel each other out but are cumulative.“, teilweise abweichenden Meinung der Richter Pettiti und Russo, EGMR Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116. Auch sechs Mitglieder der Kommission hatten in einer abweichenden Meinung zu der vorangegangenen Entscheidung eine Verletzung von Art. 13 EMRK angenommen. 569 Teilweise abweichenden Meinung der Richter Pettiti und Russo, EGMR Urteil vom 26. März 1987, Leander ./. Schweden, (App. 9248/81), Serie A 116. 570 Eine Verletzung von Art. 13 EMRK wurde bspw. auch im Fall EKMR, Entscheidung vom 19. Mai 1994, Ludwig Friedl ./. Österreich, (App. 15225/89) angenommen. 571 Im Verhältnis zu Art. 13 EMRK gewährt Art. 6 weitergehende Garantien und gilt als lex specialis. Vgl. EGMR, Urteil vom 22. Mai 2001, Baumann ./. Frankreich, (App. 33592/96), Reports 2001-V. 572 EGMR, Urteil vom 27. August 1997, M. S. ./. Schweden, (App. 20837/92), Rep. 1997-IV, § 55.

210

Teil 2: Datenschutz in der Europäischen Menschenrechtskonvention

Eine Verletzung von Art. 13 EMRK stellte der Gerichtshof hingegen im Fall P. G. and J. H. fest. Zwar hatten die britischen Gerichte untersucht, ob die ohne die Zustimmung der Betroffenen hergestellten Tonbandaufzeichnungen im Strafverfahren verwendet werden durften, die gerichtliche Untersuchung bezog sich jedoch lediglich auf die Frage, ob hierin ein Verstoß gegen das Recht auf ein faires Verfahren aus Art. 5 Abs. 1 EMRK gesehen werden konnte. Das Gericht setzte sich hingegen nicht mit der Frage auseinander, ob zugleich auch ein Verstoß gegen das Recht auf Achtung des Privatlebens vorlag. Da den Beschwerdeführern keine andere Möglichkeit offen stand, eine Verletzung ihrer Rechte aus Art. 8 EMRK zu rügen schließt der Gerichtshof: „Accordingly, the Court finds that the system of investigation of complaints does not meet the requisite standards of independence needed to constitute sufficient protection against the abuse of authority and thus provide an effective remedy within the meaning of Art. 13.“573

IV. Ergebnis Die verfahrensrechtlichen Vorschriften sind durchaus von datenschutzrechtlicher Relevanz. Aus ihnen können sich unter Umständen Rechte des Betroffenen ergeben. Zu nennen ist zunächst das Recht auf Einsichtnahme. Während ein solches Recht durch Art. 8 EMRK nur unter sehr engen Voraussetzungen angenommen wird, ist das jeweilige durch Art. 5 bzw. Art. 6 ERMK gewährleistete Recht weiter, da es unabhängig vom Bezug der Daten zum Privatleben des Betroffenen angenommen wird. Dennoch kommt diesem Anspruch nur eine eingeschränkte Bedeutung zu, da er nur im Zusammenhang mit einem gerichtlichen Verfahren bzw. einem Freiheitsentzug geltend gemacht werden kann. Das aus Art. 5 und 6 EMRK fließende Beteiligungsrecht stellt sich daher nur als Ergänzung zu dem Recht auf Zugang zu persönlichen Daten aus Art. 8 EMRK dar. Auch im Zusammenspiel sind die Rechte noch nicht mit den in den Datenschutzinstrumenten vorgesehenen Beteiligungsrechten vergleichbar. Ein weiterer Aspekt sind die sich aus den Verfahrensvorschriften ergebenden Kontrollrechte. So gewährt Art. 6 EMRK grundsätzlich das Recht auf Überprüfung eines Sachverhalts durch ein unabhängiges Gericht. Allerdings unterliegt dieses Recht insofern einer Einschränkung, als dass es sich um die Überprüfung eines streitigen Rechtsverhältnisses handeln muss. Geht es dagegen nur darum, eine behauptete Verletzung des Rechts aus Art. 8 ERMK zu rügen, ist Art. 13 EMRK einschlägig. Letztendlich beste573 EGMR, Urteil vom 25. September 2001, P. G. und J. H. ./. Vereinigtes Königreich, (App. 44787/98), Reports 2001-IX, § 88.

C. Ergebnis für den Datenschutz in der EMRK

211

hen damit für den Einzelnen weitgehende Rechtsschutzmöglichkeiten. Insofern kann man sagen, dass der EGMR durch seine Rechtsprechung sicherstellt, dass dem Grundsatz aus Art. 10 der Datenschutzkonvention zur Durchsetzung verholfen wird. Dort heißt es: „Jede Vertragspartei verpflichtet sich, geeignete Sanktionen und Rechtsmittel für Verletzungen der Vorschriften des innerstaatlichen Rechts, welche die in diesem Kapitel aufgestellten Grundsätze verwirklichen, festzulegen.“

C. Ergebnis für den Datenschutz in der EMRK Im System der Europäischen Menschenrechtskonvention kann der Datenschutz als selbständiger Teilaspekt des Rechts auf Privatleben aus Art. 8 EMRK verstanden werden. Dabei wird die erforderliche Verbindung zu diesem Recht über einen Bezug zum Privatleben hergestellt, der – jedenfalls im Rahmen der negativen Verpflichtungen – inzwischen jedoch auf vielfältige Art und Weise und nicht mehr allein über den Inhalt der Daten begründet werden kann. Außerdem erlangen die speziellen datenschutzrechtlichen Instrumente – wie die Datenschutzkonvention des Europarates – in der Rechtsprechung des Gerichtshofes mehr und mehr Beachtung und gewinnen somit an Einfluss. Anders beurteilt sich die Situation jedoch im Hinblick auf datenschutzrechtliche Beteiligungsrechte, die über die positiven Verpflichtungen der Mitgliedstaaten vermittelt werden. Ihr Anwendungsbereich ist wesentlich enger gefasst und erstreckt sich nur auf besondere, für die Entwicklung der Persönlichkeit bedeutsame Rechte. Allerdings ist in der Art. 8 EMRK betreffenden Rechtsprechung des EGMR eine zunehmende Tendenz zur Berücksichtigung der persönlichen Autonomie zu beobachten. Es erscheint daher nicht ausgeschlossen, dass der unzureichende Schutz im Zusammenhang mit Beteiligungsrechten zukünftig durch ein sich entwickelndes Recht auf informationelle Selbstbestimmung ausgeglichen werden kann. Einschränkungen dieses Rechts beurteilt der Gerichtshof zunehmend kritisch. Insbesondere im Zusammenhang mit geheimen Maßnahmen hat er inzwischen feste Kriterien aufgestellt, die der Staat zu beachten hat. Gleichwohl ist dem Staat, wenn der Eingriff in das Recht auf Datenschutz dem Schutz eines besonders gewichtigen Interesses – etwa der Bekämpfung des Terrorismus – dient, durchaus ein weiter Ermessensspielraum zuzubilligen. Jedoch ist ein solcher Fall in neuerer Zeit noch nicht entschieden worden. Angesichts der rasanten Entwicklung, die der Schutzbereich des Rechts auf Datenschutz vollzogen hat, ist mit Spannung zu erwarten, wie der EGMR die Rechtfertigung eines Eingriffs heute beurteilen würde.

Teil 3

Datenschutz in der Europäischen Gemeinschaft Auf der Ebene der Europäischen Gemeinschaft entwickelte sich der Datenschutz erst relativ spät. Der Grund hierfür ist vor allem in ihrer vornehmlich wirtschaftlichen Ausrichtung zu sehen.1 Der Schutz der Menschenrechte und Grundfreiheiten fällt an sich nicht in den Tätigkeitsbereich der Organe der Europäischen Gemeinschaften, sodass sie in diesem Bereich nur im Zusammenhang mit wirtschaftsbezogenen Rechten des Einzelnen tätig werden können.2 In der Folge stellt sich der Datenschutz in der Gemeinschaft sehr unübersichtlich dar. So finden sich sekundärrechtliche Regelungen3, gleich1 Zur wirtschaftlichen Ausrichtung allgemein Craig/de Bfflrca, EU Law, S. 318; Bleckmann, Europarecht, S. 24 ff.; Beutler/Bieber/Pipkorn/Streil, Die Europäische Union, S. 50, Dauses, ELRev 1985, S. 399. 2 Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 532; vgl. auch Jacobs, ELRev 2001, S. 332. 3 Neben der Datenschutzrichtlinie 95/46/EG sind dies sektorspezifische Richtlinien, wie etwa Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Abl. 1998 L 24/1; Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 zur Änderung der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften, Abl. 1998 L 217/18; Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) Abl. 2002 L 201/37; sowie Vorschriften, die den Datenschutz im Zusammenhang mit den Organen der Gemeinschaft bzw. in der dritten Säule regeln, etwa die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogner Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, Rechtsakt des Rates vom 12. März 1999 zur Festlegung der Bestimmungen über die Übermittlung von personenbezogenen Daten durch Europol an Drittstaaten und Drittstellen, Abl. 1999 C 88/1; Beschluss des Rates vom 17. Oktober 2000 zur Einrichtung einer Geschäftsstelle für die gemeinsamen Kontrollinstanzen für den Datenschutz, die mit dem Übereinkommen über die Errichtung eines Europäischen Polizeiamtes (Europol-Übereinkommen), dem Übereinkommen über den Einsatz der Informationstechnologie im Zollbereich und dem Übereinkommen zur Durchführung des Übereinkommens von Schengen betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen (Schengener Durchführungsübereinkommen) geschaffen wurden, Abl. 2000 L 271/1.

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

213

zeitig ist der Datenschutz aber auch in den Verträgen verankert4. Außerdem sieht die – bisher allerdings rechtlich unverbindliche – Charta der Grundrechte der Europäischen Union in Art. 8 den Schutz personenbezogener Daten vor. Dabei stellt sich jedoch die Frage, auf welche Art und Weise und in welchem Umfang der Datenschutz auch auf Ebene der Gemeinschaftsgrundrechte gewährleistet wird – mit anderen Worten, kann man auch auf Gemeinschaftsebene5 von einem Grundrecht auf Datenschutz sprechen?

A. Der Datenschutz in der Gemeinschaft vor Erlass der Datenschutzrichtlinie Ein geschriebenes, rechtlich verbindliches Grundrecht auf Datenschutz findet sich im Gemeinschaftsrecht bis zum jetzigen Zeitpunkt nicht.6 Auch der Gerichtshof hat erst vor kurzem erstmalig zum Datenschutz explizit Stellung genommen.7 Jedoch lassen sich bereits in der frühen Grundrechtsrechtsprechung des Gerichtshofes Anhaltspunkte für ein solches Recht entnehmen. Daher soll im Folgenden anhand einiger für diesen Bereich wesentlicher Urteile versucht werden, die Entwicklung des Datenschutzes in der Gemeinschaft auf grundrechtlicher Ebene nachzuzeichnen. Voranzustellen ist, dass die Grundrechtsgewährleistung durch den EuGH im Vergleich zu derjenigen durch den EGMR nicht so sicher und voraussehbar ist. Dies liegt vor allem darin begründet, dass der EuGH sich im Gegensatz zum EGMR oder auch zum BVerfG keiner ausgefeilten und kohärenten Grundrechtsdogmatik bedient,8 was sich insbesondere in seiner Vorgehensweise bei der Grundrechtsprüfung zeigt. Anders als die Straßburger 4 Art. 286 EGV erklärt die Rechtsakte der Gemeinschaft im Bereich des Datenschutzes auf die Organe und Einrichtungen der Gemeinschaft für anwendbar. 5 Ausgeklammert werden sollen dabei die Besonderheiten des Datenschutzes in der dritten Säule. Hierzu sei auf die ausführlichen Darstellungen bei Kübler, Die Säulen der Europäischen Union: Einheitliche Grundrechte und Sule, Europol und europäischer Datenschutz, verwiesen. Vgl. auch Rudolf, Datenschutz in Europa, ZEuS 2003, S. 224. Auch auf die Besonderheiten des Datenschutzes unter dem Schengen-Informationssystem wird an dieser Stelle nicht weiter eingegangen. Siehe dazu etwa Schattenberg, The Schengen Information System: Privacy and Legal Protection, in: Schermers u. a. (Hg.), Free Movement of Persons in Europe, S. 43 ff.; Boeles, Data Exchange, Privacy and Legal Protection; Especially regarding aliens, in: Schermers u. a. (Hg.), Free Movement of Persons in Europe, S. 52 ff. 6 Auf Art. 8 der Grundrechtecharta wird an anderer Stelle einzugehen sein, siehe dazu unter Teil 3, E. 7 Dazu später unter Teil 3, C. 8 Vgl. Kühling, in: von Bogdandy (Hg.) Europäisches Verfassungsrecht, der auch auf deren Notwendigkeit hinweist und Sule, Europol und europäischer Datenschutz, S. 79.

214

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Organe ist er nicht um eine möglichst klare Abgrenzung zwischen dem abstrakten Schutzbereich und der Beeinträchtigung im konkreten Fall, dem Eingriff, bemüht. In der Folge lassen sich aus den ohnehin vergleichsweise wenigen bisher ergangenen Urteilen zum Recht auf Privatleben im Gemeinschaftsrecht nur recht isolierte Hinweise auf die Ausgestaltung dieses Rechts entnehmen, die sich nur schwerlich zu einem einheitlichen Bild zusammensetzen.

I. Der Anwendungsbereich des Rechts auf Privatleben im Hinblick auf den Datenschutz Im Zusammenhang mit dem Datenschutz in der Gemeinschaft ist zunächst das Urteil Stauder zu nennen, in dem der EuGH wohl implizit von einem – wie auch immer ausgeprägten – Recht auf Schutz personenbezogener Daten ausgeht.9 1. Die Rechtssache Stauder In diesem Fall hatte das Verwaltungsgericht Stuttgart dem Gerichtshof im Wege der Vorabentscheidung die Frage vorgelegt, ob es mit den allgemeinen Rechtsgrundsätzen der Gemeinschaft vereinbar ist, wenn die Abgabe verbilligter Butter an Sozialhilfeempfänger nur unter Offenbarung des Namens gegenüber dem Verkäufer zulässig ist. Mit der Entscheidung 69/71 hatte die Kommission die Mitgliedstaaten ermächtigt, zur Verminderung der Buttervorräte verbilligte Butter an bestimmte, Sozialhilfe beziehende Verbrauchergruppen abzugeben. Um einem Missbrauch entgegenzuwirken, war vorgesehen, dass die Mitgliedstaaten Maßnahmen treffen, „damit [. . .] die Begünstigten [. . .] Butter nur auf einen auf ihren Namen ausgestellten Gutschein erhalten können.“10 Das vorlegende Gericht ging davon aus, dass diese Regelung sich im Widerspruch zu deutschen Grundrechten befand, welche die Gemeinschaftsorgane wegen des durch höherrangiges Gemeinschaftsrecht gewährten Schutzes mindestens zum Teil gewährleisten müssten. Auf die Vereinbarkeit der Entscheidungen mit Grundrechten geht der EuGH in seinem Urteil jedoch nicht genauer ein. Stattdessen legt er die Kommissionsentscheidung unter Bezugnahme auf den Wortlaut in den anderen authentischen Sprachen dahingehend aus, dass eine Identifizierung des 9 So jedenfalls Streinz, in: Streinz, EUV/EGV, Art. 8 GR-Charta, Rn. 3 und wohl auch Schorkopf, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 14 I 1, Rn. 14. 10 EuGH, Rs. 29/69, Stauder, Slg. 1969, 419, Rn. 2, (Hervorhebung durch den Verfasser).

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

215

Empfängers vergünstigter Butter anhand des Namens nicht zwingend erforderlich sei. So sähe die ebenso authentische französische und italienische Fassung der Entscheidung lediglich die Ausgabe individualisierter Gutscheine vor; nur die niederländische Fassung gehe ebenso wie die deutsche von einer namentlichen Bezeichnung des Berechtigten aus.11 Da nicht angenommen werden könne, dass die Kommission mit der Entscheidung in einzelnen Ländern weitergehende Pflichten vorsehen wolle als in anderen,12 stellt der EuGH daher im Ergebnis fest, dass „die streitige Vorschrift bei dieser Auslegung nichts [enthält], was die in den allgemeinen Rechtsgrundsätzen der Gemeinschaftsrechtsordnung, deren Wahrung der Gerichtshof zu sichern hat, enthaltene Grundrechte der Person in Frage stellen könnte.“13

Wie diese gemeinschaftsrechtlichen Grundrechte ausgestaltet sind, lässt der Gerichtshof jedoch offen. Obwohl es sich der Sache nach um die erste Entscheidung des EuGH mit datenschutzrechtlichem Bezug handelt,14 erlangte sie daher in der Folge nur Berühmtheit, weil der Gerichthof in ihr allgemein die Existenz von Gemeinschaftsgrundrechten feststellt. Wenn man berücksichtigt, dass das Urteil bereits im Jahre 1969 ergangen ist, erscheint es auch nicht weiter verwunderlich, dass der EuGH sich der Problematik des Datenschutzes nicht weiter annimmt. Angesichts des damaligen technischen und rechtlichen Entwicklungsstandes wird zu Recht darauf hingewiesen, dass die Auslegung des EuGH tatsächlich die am wenigsten Belastende darstellt.15 Aus heutiger Sicht würde die namentliche Kennzeichnung wohl dem datenschutzrechtlichen Grundsatz der Datenvermeidung16 widersprechen und würde, wenn nicht verboten, so – wie bereits von Generalanwalt Roemer in seinen Schlussanträgen vorgeschlagen – doch jedenfalls anonymisiert werden.17 Angesichts der Tatsache, dass man sich zum Zeitpunkt des Urteils der erst langsam aufkommenden Problematik des Da11

EuGH, Rs. 29/69, Stauder, Slg. 1969, 419, Rn. 3. EuGH, Rs. 29/69, Stauder, Slg. 1969, 419, Rn. 4. 13 EuGH, Rs. 29/69, Stauder, Slg. 1969, 419, Rn. 7. 14 So ist die Entscheidung denn auch zum Teil als Ausgangspunkt der Entwicklung eines Rechts auf Datenschutz durch den EuGH bezeichnet worden, vgl. Scherer, JA 1987, S. 484 Fn. 15; Dressel, Die gemeinschaftsrechtliche Harmonisierung des europäischen Datenschutzrechts, S. 208 ff.; Zuleeg, DÖV 1992, S. 940; Seidel, Handbuch der Grund- und Menschenrechte, S. 39. 15 Dressel, Die gemeinschaftsrechtliche Harmonisierung des europäischen Datenschutzrechts, S. 209. 16 Dieses ausdrücklich in § 3 a BDSG verankerte Prinzip findet sich auch in Art. 6 Abs. 1 lit. c der Datenschutzrichtlinie 95/46/EG, sowie auch in anderen internationalen Datenschutzinstrumenten. Siehe dazu Bygrave, PLPR, 2001 (7), S. 170. 17 Vgl. Dressel, Die gemeinschaftsrechtliche Harmonisierung des europäischen Datenschutzrechts, S. 210. 12

216

Teil 3: Datenschutz in der Europäischen Gemeinschaft

tenschutzes aber noch nicht bewusst war, kann man nicht von einem datenschutzrechtlichen Urteil im eigentlichen Sinne sprechen.18 2. Die Rechtssache Watson und Bellmann Mit dem Datenschutz setzte sich Generalanwalt Trabucchi in seinen Schlussanträgen in der Rechtssache Watson und Bellmann19 auseinander. In diesem Fall hatten die italienischen Behörden gegen einen Italiener und eine Britin ein Strafverfahren wegen Verstoßes gegen die Meldeverpflichtung von Ausländern eingeleitet. Nach italienischem Recht waren Ausländer verpflichtet, sich innerhalb von drei Tagen nach ihrer Einreise in das Staatsgebiet bei der für die öffentliche Sicherheit zuständigen Behörde ihres Aufenthaltsorts zu melden und eine Aufenthaltserklärung abzugeben. Eine ebensolche Meldeverpflichtung bestand für Italiener, die Ausländer, auch wenn es sich dabei um Verwandte handelte, beherbergten. Sie mussten die Behörden hiervon innerhalb von 24 Stunden unterrichten. Bei Nichtbefolgung dieser Vorschriften konnte der Ausländer mit Haft bis zu drei Monaten, einer Geldstrafe von bis zu 80 000 Lire oder der Ausweisung, der Inländer mit bis zu 6 Monaten Haft oder einer Geldstrafe bis zu 240 000 Lire bestraft werden. Der Pretore hatte dem EuGH daher unter anderem die Frage vorgelegt, ob diese Vorschriften mit den Grundprinzipien der Gemeinschaft, insbesondere dem Recht auf Privatleben vereinbar sind. Der Generalanwalt erkennt ein solches Recht auf Achtung der Privatsphäre grundsätzlich an, bevor er anschließend feststellt, dass dies aber noch nicht bedeutet, dass jede Beschränkung dieses Rechts ausgeschlossen ist. So könne nicht schon in jeder beliebigen Beschränkung eine Grundrechtsverletzung gesehen werden, erforderlich sei vielmehr, dass das Recht in seinem Wesensgehalt berührt werde.20 In der Verpflichtung, die eigene Anwesenheit anzuzeigen und die Anschrift anzugeben, erkennt der Generalanwalt aber keine Verletzung des Rechts auf Privatsphäre, da es sich um ein „normales Kontrollmittel“ der Mitgliedstaaten handele und nicht ersichtlich sei, wie die Polizeibehörden sonst ihre diesbezüglich rechtmäßige Zuständigkeit wahrnehmen könnten. Diese Ausführungen zeigen, dass sich der Generalanwalt der Auswirkungen, die die Verpflichtung zur Angabe personenbezogener Daten auf das 18 A. A. Dressel, Die gemeinschaftsrechtliche Harmonisierung des europäischen Datenschutzrechts, S. 210 und auch Bernsdorff in: Meyer (Hg.), Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 7, Rn. 14, einschränkend Streinz, in: Streinz, EUV/EGV, Art. 8 GR-Charta, Rn. 3. 19 EuGH, Rs. 118/74, Watson und Bellmann, Slg. 1976, 1185. 20 EuGH, Rs. 118/74, Watson und Bellmann, Slg. 1976, 1185 (1209).

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

217

Recht auf Privatleben hat, bewusst ist. Dennoch nimmt er nur eine sehr zurückhaltende Prüfung der Regelung am Maßstab dieses Gemeinschaftsgrundrechts vor. Eine Erklärung hierfür kann vor allem in den zu diesem Zeitpunkt noch ungeklärten Fragen der Anwendbarkeit der Gemeinschaftsgrundrechte gesehen werden. Hinweise lieferte insofern nur das Urteil Rutili,21 in dem der Gerichthof festgestellt hatte, dass die Gemeinschaftsgrundrechte zumindest dann heranzuziehen sind, wenn die Mitgliedstaaten im Rahmen der Ausnahmevorschriften der Grundfreiheiten tätig werden.22 Dies war in der Rechtssache Watson und Belmann jedoch nicht der Fall. Bereits eingangs seiner Ausführungen hatte der Generalanwalt hervorgehoben, dass die Maßnahmen der italienischen Behörden nicht in Ausübung einer Ausnahmevorschrift erlassen worden waren, sondern „Ausfluss einer allgemeinen, den Mitgliedstaaten normalerweise und ständig zustehenden Kontrollbefugnis über die Bewegung von Personen im Staatsgebiet“ seien. Einen gewissen Anwendungsbereich der Gemeinschaftsgrundrechte sieht er aber dennoch als gegeben an, da nicht nur Akte der Gemeinschaft, sondern auch Maßnahmen der Mitgliedstaaten am Maßstab der Gemeinschaftsgrundrechte geprüft werden könnten, soweit ein Anknüpfungspunkt zum Gemeinschaftsrecht bestehe. Ein solcher Zusammenhang liege dann vor, wenn das Grundrecht, dessen Verletzung behauptet wird, mit dem Schutz eines wirtschaftlichen Rechts verknüpft werden könne, das zum spezifischen Gegenstand des Vertrages gehört.23 Unter Hinweis auf die weite Auslegung der Grundfreiheiten, insbesondere der Dienstleistungsfreiheit, durch den Gerichtshof bejaht Generalanwalt Trabucchi diesen „Anknüpfungspunkt zum Gemeinschaftsrecht“ und überprüft in einer Verhältnismäßigkeitsprüfung24 schließlich die Vereinbarkeit mit dem Grundrecht auf Achtung der Privatsphäre. Im Ergebnis hält er daher fest, dass „auch im Bereich ihrer zurückbehaltenen Zuständigkeiten übermäßige Eingriffe der Staaten in die Privatsphäre des einzelnen in deren Eigenschaft als Ausländer oder wegen ihres Verhältnisses zu einem ausländischen Gast mit dem Gemeinschaftsrecht unvereinbar sein können, soweit sie einen Grundsatz der Achtung des Privatlebens verletzen und damit die tatsächliche Ausübung eines vom Gemeinschaftsrecht anerkannten und gewährleisteten Rechts auf Freizügigkeit in ungerechtfertigter Weise behindern.“25

21

EuGH, Rs. 36/75, Rutili, Slg. 1975, 1219. EuGH, Rs. 36/75, Rutili, Slg. 1975, 1219, Rn. 32. 23 EuGH, Rs. 118/74, Watson und Bellmann, Slg. 1976, 1185 (1207). 24 Dabei weist Wyatt zu Recht darauf hin, dass nicht deutlich wird, ob hier ein nationaler oder gemeinschaftsrechtlicher Maßstab zu Grunde zu legen ist, ELRev 1976, S. 556. 25 EuGH, Rs. 118/74, Watson und Bellmann, Slg. 1976, 1185 (1211). 22

218

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Für die Reichweite des Rechts auf Privatleben als Gemeinschaftsgrundrecht hat diese die Anwendbarkeit der Gemeinschaftsgrundrechte betreffende Aussage jedoch inzwischen keine Bedeutung mehr. Seit den Urteilen in den Fällen Bosmann26 und Gebhard 27 ist klargestellt, dass auch die Arbeitnehmerfreizügigkeit (Art. 39 EGV) und die Niederlassungsfreiheit (Art. 43 EGV) ein Beschränkungsverbot enthalten.28 Unabhängig von der Frage, ob man inzwischen eine Konvergenz der Grundfreiheiten annehmen kann,29 muss man sagen, dass die Regelung als Beschränkung zumindest einer dieser Freiheiten aufgefasst werden kann30 und daher nach heutigen Maßstäben mit der Cassis-Formel des EuGH vereinbar sein müsste, um nicht gegen das Gemeinschaftsrecht zu verstoßen.31 Gleichzeitig ist anerkannt, dass die Grundrechte als Schranken-Schranke heranzuziehen sind,32 so dass sich das Problem der Anwendbarkeit der Gemeinschaftsgrundrechte in der Form nicht mehr stellt. Insofern ist es aus heutiger Sicht nicht bedauerlich, dass der Gerichtshof die Ausführungen des Generalanwalts nicht aufgegriffen hat.33 3. Die Rechtssache National Panasonic Im Zusammenhang mit dem Datenschutz in der Gemeinschaft muss weiterhin das Urteil in der Rechtssache National Panasonic genannt werden, in dem das Recht auf Achtung auf Privatleben erstmals ausdrücklich als 26

EuGH, Rs. C-415/93, Bosmann, Slg. 1995, I-4921; siehe dazu auch Wölker/ Grill, in: von der Groeben/Schwarze, EUV/EGV, Art. 39 Rn. 6. 27 EuGH, Rs. C-55/94, Gebhard, Slg. 1995, I- 4165; eine Nachzeichnung der Entwicklung zum Beschränkungsverbot findet sich bei Bröhmer, in: Calliess/Ruffert, EGV/EUV, Art. 43, Rn. 22 ff. 28 Hinsichtlich der Dienstleistungsfreiheit aus Art. 49 EGV hatte der EuGH dies bereits im Fall EuGH, Rs. 33/74, van Binsbergen, Slg. 1974, 1299, Rn. 10, 12 festgestellt. 29 Vgl. etwa Kingreen, Die Struktur der Grundfreiheiten des Europäischen Gemeinschaftsrechts, S. 74 ff.; Epiney, in: Calliess/Ruffert, EUV/EGV, Art. 28, Rn. 56 ff.; Schroeder, in: Streinz, EUV/EGV, Art. 28 EGV, Rn. 11, jeweils m. w. N.; kritisch dazu, Steinberg, EuGRZ 2002, S. 13. 30 Im Fall Watson/Belmann hatte das vorlegende Gericht nicht angegeben, durch welche Eigenschaft es die Anwendbarkeit des Gemeinschaftsrechts für eröffnet ansah, EuGH, Rs. 118/74, Watson und Bellmann, Slg. 1976, 1185, Rn. 8/10. 31 Siehe dazu EuGH Rs. 205/84, Kommission/Deutschland, Slg. 1986, 3755, Rn. 33; EuGH, Rs. C-237/94, O’Flynn, Slg. 1996, I-2617, Rn. 19; EuGH, Rs. 350/96, Clean Car Autoservice, Slg. 1998, I-2521; EuGH, Rs. C-55/94, Gebhard, Slg. 1995, I-4165, Rn. 37. 32 EuGH, Rs. C-260/89, ERT, Slg. 1991, I-2935, Rn. 43; EuGH, Rs. C-368/95, Familiapress, Slg. 1997, I-3689, Rn. 24. 33 So aber Kübler, Die Säulen der Europäischen Union: einheitliche Grundrechte, S. 46.

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

219

Grundrecht der Gemeinschaft anerkannt wurde.34 Das Unternehmen Panasonic hatte sich gegen das Vorgehen von Angestellten der Kommission bei der Durchsuchung seiner Geschäftsräume wegen des Verdachts eines Verstoßes gegen das Wettbewerbsrecht gewandt, da es die Maßnahme für unvereinbar mit den durch Art. 8 Abs. 1 der EMRK gewährleisteten Rechten hielt. Dabei ging es der Klägerin vor allem um die Herausgabe der bei der Durchsuchung beschlagnahmten Unternehmensakten sowie um die Vernichtung der betreffenden Unterlagen der Kommission. Aufschluss über den genauen Inhalt des Rechts auf Achtung des Privatlebens gibt das Urteil jedoch nicht. Im Rahmen der Grundrechtsprüfung zitiert der Gerichtshof lediglich das Urteil Nold,35 in dem er anerkannt hatte, dass sich die Gemeinschaftsgrundrechte als allgemeine Rechtsgrundsätze aus den Verfassungsüberlieferungen der Mitgliedstaaten und internationalen Abkommen, denen die Mitgliedstaaten beigetreten sind, herleiten lassen. Anschließend gibt er abstrakt den Wortlaut von Art. 8 EMRK wieder, um dann, ohne auf die Frage der Anwendbarkeit des Rechts aus Art. 8 Abs. 1 EMRK auf juristische Personen oder den spezifischen Gewährleistungsgehalt eines entsprechenden Gemeinschaftsgrundrechts weiter einzugehen, festzustellen, dass die Maßnahmen der Kommission zumindest gerechtfertigt waren.36 Bemerkenswert ist das Urteil aber nicht nur wegen der Anerkennung des Rechts auf Achtung des Privatlebens als Gemeinschaftsgrundrecht. Beachtung verdient vor allem die Art und Weise der Herleitung dieses Rechts. Wenn der EuGH sonst in seinen Urteilen eine aufwendige Begründung eines Gemeinschaftsgrundrechts vornimmt37 und anscheinend Wert auf eine eigene Grundrechtsdogmatik legt,38 so ist seine Vorgehensweise in diesem Fall anders. Er nimmt unmittelbar Bezug auf die durch Art. 8 Abs. 1 EMRK gewährleisteten Rechte und die in Abs. 2 vorgesehenen Rechtfertigungsmöglichkeiten. Auch wenn keine Zweifel daran bestehen, dass der direkte Verweis auf Art. 8 EMRK nicht zur Folge haben kann, dass die EMRK für die Gemeinschaft unmittelbare Wirkung entfaltet,39 so erweckt er doch den Eindruck, als sei das gemeinschaftliche Grundrecht auf Achtung des Privatlebens inhaltsgleich mit dem Recht aus Art. 8 EMRK.40 34

EuGH, Rs. 136/79, National Panasonic, Slg. 1980, II-2033, Rn. 17 ff. EuGH, Rs. 4/73, Nold, Slg. 1974, 491. 36 EuGH, Rs. 136/79, National Panasonic, Slg. 1980, II-2033, Rn. 19 ff. 37 So etwa in EuGH, Rs. 4/73, Nold, Slg. 1974, 491. 38 Lenaerts/de Smijter, CMLR 2001, S. 273. 39 Dazu Beutler, in: von der Groeben/Schwarze, EGV/EUV, Art. 6 EUV, Rn. 62. 40 Dass dies nicht der Fall ist, zeigt sich später in den Rechtssachen EuGH, verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859 und EuGH Rs. C-94/00, Roquettes Frères, Slg. 2002, I-9011, in denen der EuGH anders als der EGMR im Urteil vom 35

220

Teil 3: Datenschutz in der Europäischen Gemeinschaft

4. Die Rechtssache Adams Den Datenschutz im weiteren Sinne betraf das Urteil des EuGH in der Rechtssache Adams.41 Herr Adams, ein Angestellter der Firma Hoffman-La Roche, hatte der Kommission als whistleblower betriebsinterne Schriftstücke zukommen lassen, mit deren Hilfe dem Unternehmen ein Verstoß gegen das Wettbewerbsrecht (Art. 82 EGV) nachgewiesen werden konnte. Die Kommission hatte die Preisgabe ihres Informanten verweigert, gab jedoch gegenüber Hoffmann-La Roche Dokumente preis, die es dem Unternehmen ermöglichten, Herrn Adams als Informanten zu identifizieren. Hofmann-La Roche erstattete Strafanzeige und Herr Adams wurde von einem Schweizer Gericht wegen wirtschaftlichen Nachrichtendienstes verurteilt. Vor dem EuGH machte er Schadensersatz gemäß Art. 178 EGV (jetzt Art. 235 EG) und 215 Abs. 2 EGV (jetzt Art. 288 EG) wegen der Verletzung von Geheimhaltungspflichten durch die Kommission geltend. In seinem Urteil setzt sich der Gerichtshof mit der Geheimhaltungspflicht der Mitglieder und Bediensteten aus Art. 214 EGV (jetzt Art. 287 EG) auseinander und hält fest, dass „obwohl diese Bestimmung sich in erster Linie auf Auskünfte bezieht, die bei Unternehmen eingeholt worden sind, zeigt der Ausdruck „insbesondere“, dass es sich insoweit um einen allgemeinen Grundsatz handelt, der auch für von natürlichen Personen erteilte Auskünfte gilt, wenn diese „ihrem Wesen nach“ vertraulich sind. Dies ist vor allem bei Auskünften der Fall, die rein freiwillig, zur Wahrung der Anonymität des Informanten jedoch mit der Bitte um Vertraulichkeit erteilt werden. Das Organ, das diese Information entgegennimmt, hat eine derartige Bedingung einzuhalten.“42

Zwar habe die Kommission im konkreten Fall die Identität des Informanten nicht unmittelbar preisgegeben, ihn jedoch bewusst der Gefahr der Identifizierung ausgesetzt. In den Augen des Gerichtshofes wäre die Kommission daher verpflichtet gewesen, alles in ihrer Macht stehende zu unternehmen, um den dadurch drohenden Schaden zu verhindern oder zu begrenzen. Da sie dies nicht getan hatte, erklärt er den Anspruch auf Schadensersatz für begründet. Bei genauer Betrachtung handelt es sich wiederum nicht um einen datenschutzrechtlichen Fall. Schließlich hatte die Kommission keinerlei personenbezogene Daten, sondern nur allgemeine Hinweise preisgegeben, aus denen sich nur mittelbar Rückschlüsse auf die Identität von Herrn Adams ziehen ließen. Angesichts der engen Verbindung zwischen Geheimhaltungspflichten 16. Dezember 1992, Niemietz ./. Deutschland, (App. 13710/88), Geschäftsräume nicht als vom Recht auf Achtung des Privatlebens erfasst sieht. 41 EuGH, Rs. 145/83, Stanley Adams, Slg. 1985, 3556. 42 EuGH, Rs. 145/83, Stanley Adams, Slg. 1985, 3556, Rn. 34.

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

221

und Datenschutz43 ist das Urteil dennoch von datenschutzrechtlicher Bedeutung. So stellt der Gerichtshof klar, dass die Geheimhaltungspflichten gerade auch den Schutz der Rechte des Einzelnen bezwecken und bewirkt so eine „maßgebliche Sicherung der Persönlichkeitssphäre“.44 Zudem lässt sich in den Ausführungen des Gerichtshofes bereits ein Element der Selbstbestimmung erkennen. Die Tatsache, dass die Geheimhaltungspflicht vor allem für freiwillig und mit der Bitte um Vertraulichkeit erteilte Informationen gilt, zeigt, dass es dem Informanten überlassen bleiben soll darüber zu entscheiden, welche Informationen preisgegeben werden sollen.45 Hinsichtlich der Vorschrift des Art. 287 EGV ist anzumerken, dass ihr in Bezug auf den Datenschutz keine eigenständige Bedeutung mehr zukommt, da mit dem Vertrag von Amsterdam durch Art. 286 EGV eine gesonderte Vorschrift eingeführt wurde. Danach finden auf die Organe und Einrichtungen der Gemeinschaft nunmehr die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Anwendung. Soweit die von Art. 287 EGV geschützten Informationen natürliche Personen betreffen und in den Anwendungsbereich von Art. 286 EGV fallen, ist diese Regelung daher als lex specialis anzusehen.46 Ungeachtet der Frage, ob durch diese Entscheidung überhaupt ein gemeinschaftsrechtliches Recht auf informationelle Selbstbestimmung natürlicher Personen begründet wurde,47 hat es inzwischen ohnehin durch Art. 286 EGV eine andere Ausprägung erfahren.48 5. Die Rechtssache Hoechst Von Bedeutung für das Recht auf Privatleben in der Gemeinschaft ist weiterhin das Urteil Hoechst,49 obwohl es in dem Fall in erster Linie um die Unverletzlichkeit der Wohnung ging. Die Firma Hoechst hatte vor dem EuGH unter anderem Klage gegen eine Entscheidung der Kommission erhoben, mit der diese die Durchsuchung der Geschäftsräume von Hoechst wegen des Verdachts des Verstoßes gegen Bestimmungen des Wettbewerbs43

Vgl. zum Verhältnis des Datenschutzes und Geheimhaltungspflichten Kloepfer, Informationsrecht, § 9, Rn. 4 ff. 44 Schwarze, EuGRZ, 1986, S. 295. 45 Kübler, Die Säulen der Europäischen Union: Einheitliche Grundrechte?, S. 50. 46 Steinle, in Streinz, EUV/EGV-Kommentar, Art. 287, Rn. 8; a. A. Grunwald/ Brühann, in: von der Groeben/Schwarze, EUV/EGV, Art. 287, Rn. 2. 47 So Scherer, JA 1987, S. 484, Fn. 15; Dressel, Die gemeinschaftsrechtliche Harmonisierung des europäischen Datenschutzrechts, S. 212 und wohl auch Kübler, Die Säulen der Europäischen Union: Einheitliche Grundrechte, S. 50. 48 Dazu später unter Teil 3, B.II.1. 49 EuGH, verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859.

222

Teil 3: Datenschutz in der Europäischen Gemeinschaft

rechts angeordnet hatte. Durch diese Maßnahmen sah sich die Firma in ihren Grundrechten verletzt. In der Folge untersucht der Gerichtshof, inwieweit im Gemeinschaftsrecht ein allgemeiner Rechtsgrundsatz besteht, nach dem die Unverletzlichkeit der Wohnung auch für juristische Personen garantiert sein muss. Während eine Analyse der Verfassungsüberlieferungen der Mitgliedstaaten und der EMRK ergebe, dass ein solches Recht zwar grundsätzlich besteht, erstreckt sich dies der Auffassung des EuGH nach jedoch nicht auf juristische Personen.50 Vor diesem Hintergrund trifft er folgende grundlegende Feststellung: „[I]n allen Rechtsordnungen der Mitgliedstaaten [bedürfen] Eingriffe der öffentlichen Gewalt in die Sphäre der privaten Betätigung jeder – natürlichen oder juristischen – Person einer Rechtsgrundlage und müssen aus den gesetzlich vorgesehenen Gründen gerechtfertigt sein; diese Rechtsordnungen sehen daher, wenn auch in unterschiedlicher Ausgestaltung einen Schutz gegen willkürliche oder unverhältnismäßige Eingriffe vor. Das Erfordernis eines solchen Schutzes ist folglich als allgemeiner Grundsatz des Gemeinschaftsrechts anzuerkennen.“51

Auch wenn der EuGH offen lässt, wie die Sphäre der privaten Betätigung allgemein zu definieren ist, macht das Urteil deutlich, dass an der Existenz eines Rechts auf Privatleben im Gemeinschaftsrecht keinerlei Zweifel bestehen und es grundsätzlich als sehr umfassend zu verstehen ist. Zudem zeigt sich an anderer Stelle des Urteils, dass sich der Gerichtshof bei der Herleitung dieses Rechts stark an Art. 8 EMRK anlehnt. So sah man sich denn auch mangels konkreterer Anknüpfungspunkte veranlasst, diese Aussage als Grundlage für ein Recht auf informationelle Selbstbestimmung im Gemeinschaftsrecht zu werten.52 6. Die Rechtssache Kommission gegen Deutschland (Arzneimittelimporte) Eine weitere Ausformung des Schutzbereichs des Rechts auf Privatleben fand im Fall Kommission gegen Deutschland 53 (Arzneimittelimporte) statt. Im Zusammenhang mit Fragen, die sich hinsichtlich des freien Warenverkehrs bei Arzneimitteln stellten, hielt der Gerichthof fest: „[D]as Recht auf Achtung des Privatlebens und das Recht auf Schutz des Arztgeheimnisses, das einer der Aspekte des erstgenannten Rechts ist, stellen von der Gemeinschaftsrechtsordnung geschützte Grundrechte dar.“54 50

EuGH, verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859, Rn. 17 ff. EuGH, verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859, Rn. 19. 52 So implizit Rengeling, Grundrechtsschutz in der Europäischen Gemeinschaft, S. 136. 53 EuGH, Rs. 62/90, Kommission/Deutschland, Slg. 1992, 2575. 54 EuGH, Rs. 62/90, Kommission/Deutschland, Slg. 1992, 2575, Rn. 23. 51

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

223

Diese Formulierung macht deutlich, dass sich nach dem Verständnis des EuGH das Recht auf Privatleben aus einzelnen Teilaspekten zusammensetzt. Insofern zeigt sich auch hier eine deutliche Parallele zu Art. 8 EMRK.55 Vieles deutet demnach darauf hin, dass der EuGH, ebenso wie der EGMR, den Datenschutz als einen solchen Teilaspekt des Rechts auf Privatlebens begreift. Inwieweit sich diese Teilaspekte aber als weitgehend selbständige Rechte begreifen lassen oder ob sie – wie unter der EMRK – inhaltlich an des Recht auf Achtung des Privatlebens gebunden sind,56 lässt sich dem Urteil nicht entnehmen. 7. Rechtssache X. gegen Kommission Eine Fortbildung57 erfuhr das Gemeinschaftsgrundrecht auf Achtung des Privatlebens im Fall X. gegen Kommission,58 in dem es um den Umgang mit medizinischen Informationen ging. Der Kläger hatte sich um eine Einstellung als Bediensteter auf Zeit bei der Kommission bemüht. In der für solche Bedienstete vorgesehenen ärztlichen Untersuchung lehnte er den Vorschlag des ärztlichen Dienstes ab, sich einem HIV-Test zu unterziehen. Nach Abschluss der Untersuchungen teilte ihm der Vertrauensarzt der Kommission mit, dass er die für die Ausübung der Tätigkeit als Schreibkraft bei der Kommission erforderliche körperliche Eignung nicht besitze und er eine Einstellung daher nicht befürworten könne. Gleichzeitig bat er den Kläger, ihm den Namen seines behandelnden Arztes mitzuteilen, damit er diesem den festgestellten Befund mitteilen könne. Er war zu dem Ergebnis gekommen, dass der Kläger an einer Infektion leide, die das Endstadium von Aids anzeige. Nachdem der behandelnde Arzt telefonisch über den Befund unterrichtet worden war, wandte dieser sich mit einer Stellungnahme an den Ärzteausschuss der Kommission, in der er mitteilte, dass die Diagnose des Vertrauensarztes fehlerhaft sei und außerdem beanstandete, dass der Kläger ohne seine Zustimmung einem verdeckten Aids-Test unterzogen worden sei. Hierauf entgegnete der Generaldirektor für Personal und Verwaltung, dass im Einklang mit den Schlussfolgerungen des Rates und der Gesund55 Vgl. Schorkopf, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 14 I 1, Rn. 14. 56 Zur Loslösung des Datenschutzes vom Recht auf Achtung auf Privatleben in der Rechtsprechung des EGMR seit den Urteil Amannn und Rotaru siehe oben unter Teil 1, A.I.2.b)cc)(5)(d). 57 Hingegen sieht Kilian durch diese Entscheidung das Recht auf Achtung des Privatlebens als Gemeinschaftsgrundrecht erstmals umfassend anerkannt. Vgl. Kilian, Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld/Philipps/Heil, Informationsgesellschaft und Rechtskultur in Europa, S. 99. 58 EuGH, Rs. C-404/92, X. ./. Kommission, Slg. 1994, I-4737.

224

Teil 3: Datenschutz in der Europäischen Gemeinschaft

heitsminister aus den Jahren 1987 und 1988 kein systematischer und obligatorischer Aids-Test mehr vorgenommen werde. Der Kläger sei daher keinem verdeckten Aids-Test, sondern einer Laboruntersuchung zur Bestimmung der Lymphozyten unterzogen worden, die zur Beurteilung des Zustands des Immunsystems und nicht zur Auffindung einer bestimmten Erkrankung bestimmt gewesen sei. Der Kläger legte gegen die Entscheidung der Kommission und das Gutachten Beschwerde ein und verlangte zudem eine pauschale Entschädigung für den von der Kommission verursachten immateriellen Schaden. Der Gerichtshof beginnt seine Stellungnahme mit der Feststellung, dass „nach der Rechtsprechung des Gerichtshofs [. . .] das in Art. 8 EMRK verankerte Recht auf Achtung des Privatlebens, das sich aus den gemeinsamen Verfassungstraditionen der Mitgliedstaaten herleitet, ein von der Gemeinschaftsrechtsordnung geschütztes Grundrecht [darstellt]. Es umfasst insbesondere das Recht einer Person, ihren Gesundheitszustand geheimzuhalten.“59

Ungeachtet der Frage, welche Bedeutung das Urteil für die Beurteilung medizinischer Einstellungsuntersuchungen hat,60 ist anzumerken, dass es zumindest die Existenz eines starken Elements der Selbstbestimmung in dem Recht auf Achtung des Privatlebens bestätigt. Dies ist von großer Bedeutung für den Datenschutz.61 Wenn jede Person das Recht hat, ihren Gesundheitszustand geheimzuhalten, bedeutet dies zugleich, dass jede Person über den Umgang mit den sie betreffenden medizinischen Daten frei entscheiden kann. Anders wäre ein solches Recht nicht zu gewährleisten. Eine wesentlich deutlichere Stellungnahme zum Datenschutz findet sich daher in den Schlussanträgen des Generalanwalts. Er sieht den Schutzbereich des Rechts auf Achtung des Privatlebens im Sinne des Art. 8 EMRK tangiert, wobei sowohl die körperliche Integrität als auch das Recht des Einzelnen, selbst über die Preisgabe von Informationen über seinen Gesundheitszustand zu entscheiden, betroffen sein können.62 Auch hier lassen sich aus der Formulierung Schlüsse auf das dem Gemeinschaftsrecht auf Achtung des Privatlebens zugrunde liegende Verständnis ziehen. Das diesem Recht inhärente Element der Selbstbestimmung bewirkt, dass jede Person über die einzelnen Aspekte dieses Rechts verfügen darf. Dazu gehören aber auch jeweils die zugehörigen Informationen bzw. Daten. Hier zeigt sich ein großer Unterschied zu der Rechtsprechung der Straßburger Organe, die ein Element der 59

EuGH, Rs. C-404/92, X. ./. Kommission, Slg. 1994, I-4737, Rn. 17. Zu dieser Frage und den Auswirkungen, die dies auf den allgemeinen Anwendungsbereich des Rechts auf Privatleben hat: Twomey, CMLR 1995 II, S. 1020. 61 Auf die Verbindung des Selbstbestimmungsrechts des Patienten auch mit der Aufklärungspflicht weist Cloidt-Stotz, NJW 1994, S. 3007, hin. 62 Schlussanträge des Generalanwalts van Gerven in EuGH, Rs. 62/90, Kommission/Deutschland, Slg. 1992, 2575, Rn. 23. 60

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

225

Selbstbestimmung in Art. 8 EMRK erst sehr spät festgestellt hat und dies bisher auch noch nicht auf den Datenschutz übertragen hat. Mehr als der Datenschutz unter der EMRK ähnelt der Datenschutz im Gemeinschaftsrecht daher dem deutschen Recht auf informationelle Selbstbestimmung. 8. Ergebnis Ebenso wie unter dem System der EMRK entwickelte sich das Recht auf Datenschutz in der Gemeinschaft zunächst nur als ein Teilaspekt des Rechts auf Privatleben. Anders als im Anwendungsbereich der Konvention konnte im Gemeinschaftsrecht dabei aber nicht ohne weiteres auf ein in seinem Gewährleistungsgehalt relativ klar bestimmtes Grundrecht auf Achtung des Privatleben zurückgegriffen werden, da dieses erst durch die Rechtsprechung des EuGH entwickelt und mit der Zeit ausgeprägt wurde. Jedoch hat der EuGH ein Recht auf Privatleben bereits in seinem ersten Urteil zu den Gemeinschaftsgrundrechten als Grundrecht des Gemeinschaftsrechts anerkannt63 und seither unter Berufung auf Art. 8 EMRK in ständiger Rechtsprechung bestätigt.64 Ebenso wie unter der EMRK ist aber auch beim gemeinschaftsrechtlichen Grundrecht auf Achtung des Privatlebens keine abschließende Definition des Schutzbereichs möglich und eine solche erscheint angesichts des schnellen Fortschritts technischer Entwicklungen auch nicht erstrebenswert.65 Geschützt werden in jedem Fall besonders sensible Daten, wie etwa medizinische Informationen aber auch einfache personenbezogene Daten scheinen vom Schutzbereich des Gemeinschaftsgrundrechts auf Achtung des Privatlebens erfasst zu sein. Problematisch ist jedoch die Beurteilung des Umgangs mit geschäftlichen Informationen. Anders als der EGMR lässt der EuGH Geschäftsräume nicht in den Schutzbereich des Rechts auf Wohnung, das in der EMRK einen Teilaspekt des von Art. 8 EMRK gewährten Rechts auf Privatleben darstellt, fallen. Nach der Rechtsprechung des EGMR hätte dies zur Folge, dass in solchen Fällen kein Bezug der Daten zum Privatleben hergestellt werden könnte und der Schutzbereich von Art. 8 EMRK somit nicht eröffnet wäre. In der Rechtsprechung des EuGH findet sich jedoch kein Anhaltspunkt dafür, dass Daten nur dann vom Gemeinschaftsgrundrecht auf Achtung des Privatlebens erfasst werden, wenn ein solcher Bezug zum Privatleben besteht. Hier zeigt sich folglich ein deut63

EuGH, Rs. 29/69, Stauder ./. Stadt Ulm, Slg. 1969, 419, Rn. 7. EuGH, Rs. 155/79, AM & S/Kommission, Slg. 1982, 1575, Rn. 18 ff.; EuGH, verb. Rs. 97–99/87, Dow Chemical/Kommission, Slg. 1989, 3165, Rn. 14 ff.; EuGH Rs. C-62/90, Kommission/Deutschland, Slg. 1992, I-2575, Rn. 23; EuG, Rs. T-10/ 93, A/Kommission, Slg. 1994, II-179, Rn. 49; EuGH Rs. C-404/92, X/Kommission, Slg. 1994, I-4737, Rn. 17. 65 Twomey, CMLR 1995 II, S. 1020. 64

226

Teil 3: Datenschutz in der Europäischen Gemeinschaft

licher Unterschied zur Rechtsprechung der Konventionsorgane. Zudem enthält das Gemeinschaftsgrundrecht auf Achtung des Privatlebens ein starkes Element der Selbstbestimmung. Letztendlich muss man aber anmerken, dass die wenigen Urteile des EuGH zum Recht auf Privatleben keine abschließenden Ergebnisse über die Reichweite des Schutzbereiches des Rechts auf Achtung des Privatlebens im Zusammenhang mit dem Schutz personenbezogener Daten in der Gemeinschaft zulassen.

II. Eingriffe in das Recht auf Achtung des Privatlebens Bisher hat der Eingriffsbegriff 66 im Gemeinschaftsrecht noch keine mit der deutschen Grundrechtsdogmatik vergleichbare Ausprägung erfahren.67 Es wird davon ausgegangen, dass der EuGH einen weiten Eingriffsbegriff zugrunde legt, von dem auch mittelbare Auswirkungen erfasst werden können.68 Weiterhin werden die Grundrechte zum Schutz der Persönlichkeit sowohl gegenüber Beeinträchtigungen der Gemeinschaftsorgane als auch gegenüber Handlungen der Mitgliedstaaten gewährleistet.69 Ein Eingriff kann daher entweder durch Maßnahmen der Gemeinschaft oder nationale Maßnahmen erfolgen. Jedoch können grundrechtsrelevante Handlungen der Mitgliedstaaten nur insoweit am Maßstab der Gemeinschaftsgrundrechte überprüft werden, als sie in den „Bereich des Gemeinschaftsrechts“ fallen.70 Dies ist nach Auffassung des EuGH jedenfalls dann der Fall, wenn „ein Mitgliedstaat sich auf eine Vertragsbestimmung beruft, um eine nationale Regelung zu rechtfertigen, die geeignet ist, die Ausübung einer vom Vertrag garantierten Freiheit zu behindern“, da die Vorschrift dann im „Lichte der allgemeinen Rechtsgrundsätze und insbesondere der Grundrechte“ ausgelegt 66 Zur Terminologie Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 127. 67 Kingreen, JuS 2000, S. 861; Bleckmann/Pieper, Handbuch des EU-Wirtschaftsrechts, Bd. I, Rn. 141; zur Frage der Notwendigkeit vgl. Ehlers, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 13 VI 3, Rn. 39. 68 Ehlers, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 13 VI 3, Rn. 39 mit Verweis auf das Urteil EuGH, Rs. C-84/95, Bosphorus, Slg. 1996, I-3953, Rn. 22 ff.; a. A. Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 128. Zur Notwendigkeit der Entwicklung einer Eingriffsdogmatik im Zusammenhang mit bloßen Grundrechtsgefährdungen siehe Kühling, Grundrechte, in: von Bogdandy, Europäisches Verfassungsrecht, S. 614. 69 Schorkopf, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 14 I 1, Rn. 48. 70 EuGH, Rs. 60 und 61/84, Cinéthèque, Slg. 1985, 2605, Rn. 26; EuGH, Rs. 260/89, ERT, Slg. 1991, I-2925, Rn. 43; Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 6 EUV, Rn. 57; Weber, NJW 2000, S. 542.

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

227

werden müsse.71 Eine Ähnlichkeit des Eingriffsverständnisses des EuGH mit dem des EGMR besteht insoweit, als dass er den Eingriff im Hinblick auf eine mögliche Rechtfertigung bestimmt.72 Dementsprechend wirft die Prüfung des Eingriffs – soweit der Gerichtshof darauf überhaupt eingeht73 – meist keine Probleme auf.

III. Einschränkungen Ausführungen zu der Einschränkbarkeit von Grundrechten finden sich in der Rechtsprechung des Gerichtshofes sehr selten und nur in wenigen Fällen sind Akte der Gemeinschaft für grundrechtswidrig erklärt worden. Dies liegt wohl vor allem in der großzügigen Handhabung der Grundrechtseinschränkungen durch den EuGH begründet,74 derentwegen er auch vielfach kritisiert worden ist.75 Zudem lässt sich in der Rechtsprechung zu den Grundrechtsschranken keine einheitliche Linie erkennen. Während der EuGH zum Teil auf die Schranken der betreffenden EMRK-Rechte zurückgreift,76 wendet er in der überwiegenden Zahl der Fälle jedoch seine eigene Formel an, die auch für das Recht auf Achtung des Privatlebens Anwendung findet. So stellt der EuGH in der Rechtssache Arzneimittelimporte fest, dass dieses Recht „Beschränkungen unterworfen werden [kann], sofern diese Beschränkungen tatsächlich dem Gemeinwohl dienenden Zielen der Gemeinschaft entsprechen und nicht einen im Hinblick auf den verfolgten Zweck unverhältnismäßigen, nicht tragbaren Eingriff darstellen, der die so gewährleisteten Rechte in ihrem Wesensgehalt antastet. Zu den Zielen, die derartige Beschränkungen rechtfertigen können, gehört der Schutz der öffentlichen Gesundheit und des Lebens von Menschen.“77

Auf diese Passage verweist der Gerichtshof auch in der Rechtssache X. gegen Kommission78 und betont im Rahmen der Abwägung, dass das Recht auf Achtung des Privatlebens erfordert, dass die Weigerung des Betroffenen, 71

EuGH, Rs. C-62/90, Kommission/Deutschland, Slg. 1992, 2575, Rn. 23. Vgl. Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 127. 73 Vgl. EuGH, verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859, Rn. 19. 74 Kenntner, ZRP 2000, S. 424. 75 Nettesheim, EuZW 1995, S. 106; Kenntner, ZRP 2000, S. 424; siehe dazu auch Oppermann, Europarecht, Rn. 492; Weber, NJW 2000, S. 543; Ress, ZEuS 1999, S. 471; Kokott, AöR 121 (1996), S. 608; Pauly, EuR 1998, S. 242 ff.; Caspar, DÖV 2000, S. 358. 76 EuGH, Rs. C-219/91, Ter Voort, Slg. 1992, I-5485, Rn. 38. 77 EuGH, Rs. C-62/90, Kommission/Deutschland, Slg. 1992, 2575, Rn. 23. 78 EuGH, Rs. C-404/92, X. ./. Kommission, Slg. 1994, I-4737. 72

228

Teil 3: Datenschutz in der Europäischen Gemeinschaft

einen Aids-Test durchzuführen, im konkreten Fall berücksichtigt werde. Dies bedeute, dass kein Test, den der Kläger abgelehnt hat, zur Feststellung oder zum Verdacht eines Vorliegens dieser Krankheit durchgeführt werden dürfe. Den vom Vertrauensarzt der Kommission durchgeführten Lymphozytentest beurteilt der Gerichtshof jedoch als einen solchen Test, da er ausreichend Anhaltspunkte biete, um auf eine mögliche Infektion mit dem AidsVirus zu schließen.79 Im Ergebnis ist der Eingriff daher ungerechtfertigt. Mit diesem Urteil stellt der EuGH – soweit ersichtlich – erstmalig einen Verstoß gegen die Gemeinschaftsgrundrechte fest. Bisher hatte er die beanstandete Maßnahme immer als gerechtfertigt angesehen. Dabei unterscheidet sich seine Rechtfertigungsprüfung nicht wesentlich von der in anderen Fällen.80 Erforderlich ist zunächst, dass die Einstellungsuntersuchung einem „legitimen Interesse der Gemeinschaft“81 dient, was bedeutet, dass Eingriffe in Gemeinschaftsgrundrechte unter einem allgemeinen Gemeinschaftsvorbehalt stehen.82 Neben dem im konkreten Fall relevanten Schutz der öffentlichen Gesundheit und des Lebens von Menschen sind in der Rechtsprechung auch der Verbraucherschutz,83 die Durchsetzung des Wettbewerbsrechts84 und die in Art. 33 EGV definierten agrarpolitischen Ziele85 als legitime Ziele anerkannt. Auch die Erfordernisse des Schutzes der Rechte und Freiheiten anderer stellen zulässige Beschränkungsziele dar.86 79

EuGH, Rs. C-62/90, Kommission/Deutschland, Slg. 1992, 2575, Rn. 23. Vgl. EuGH, Rs. 265/87, Schräder, Slg. 1989, 2237, Rn. 15; EuGH, Rs. 5/88, Wachauf, Slg. 1989, 2609, Rn. 18; EuGH Rs. C-280/93, Deutschland/Rat (Bananenmarktordnung), Slg. 1994, I-4973, Rn. 78; EuGH, Rs. C-306/93, SMW Winzersekt, Slg. 1994, I-5555, Rn. 22. 81 In einigen Fällen spricht der Gerichtshof von „dem Allgemeinwohl dienenden Zielen der Gemeinschaft“, vgl. EuGH Rs. 4/73, Nold, Slg. 1974, 491, Rn. 15; EuGH Rs. C-292/97, Karlsson, Slg. 2000, I-2737, Rn. 45. Zur Unbestimmtheit dieses Begriffs Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 129. Vgl. auch Pauly, EuR 1998, S. 256 f. 82 Vgl. Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 133; als verfassungsimmanente Schranke bezeichnet dies Streinz, Bundesverfassungsgerichtlicher Grundrechtsschutz und Europäisches Gemeinschaftsrecht, S. 411; ähnlich auch Pauly, EuR 1998, S. 258. 83 EuGH, Rs. C-234/85, Keller, Slg. 1986, 2897, Rn. 13. 84 EuGH, verb. Rs. C-46/87 und 227/88, Hoechst, Slg. 1989, 2859, Rn. 25; EuGH verb. Rs. 97/87, 98/87 und 99/87, Dow Chemical Ibérica, Slg. 1989, 3165, Rn. 22 f. 85 EuGH, Rs. 113/88, Leukhardt, Slg. 1989, 1991, Rn. 20; EuGH, Rs. C-280/93, Deutschland/Rat, Slg. 1994, I-4973, Rn. 82; EuGH, Rs. C-306/92, SMW Winzersekt, Slg. 1994, I-5555, Rn. 22. 86 Ehlers, in: Ehlers (Hg.), Europäische Grundrechte und Grundfreiheiten, § 13 VI 3, Rn. 42. 80

A. Der Datenschutz vor Erlass der Datenschutzrichtlinie

229

Diese Einschränkungen unterliegen jedoch ihrerseits Beschränkungen. So muss die Maßnahme in jedem Fall verhältnismäßig sein.87 Dies ist dann der Fall, wenn die Maßnahme geeignet, erforderlich und angemessen ist,88 wobei der Gerichtshof dem Gesetzgeber jedoch einen weiten Beurteilungsspielraum zubilligt.89 Als weitere Schranken-Schranke fordert der Gerichtshof, dass die Grundrechte nicht in ihrem Wesensgehalt angetastet werden.90 Da das Merkmal in der Rechtsprechung des EuGH jedoch keine weitere Ausfüllung erfahren hat, geht man nach überwiegender Auffassung davon aus, dass nur unverhältnismäßige Eingriffe den Wesensgehalt eines Grundrechts beeinträchtigen.91 Angesichts dieser Rechtfertigungsprüfung zeigt sich, dass der Gerichtshof nur auf den Schutzbereich des Art. 8 Abs. 1 EMRK, nicht jedoch auch auf die Schranken des Abs. 2 zurückgreift.92 Allgemein lässt sich beobachten, dass der Gerichtshof eine ausdrückliche Bezugnahme auf Art. 8 Abs. 2 EMRK vermeidet.93 Soweit dies anhand der wenigen vorhandenen Fälle beurteilt werden kann, hat dies jedoch kaum Auswirkungen auf die Prüfintensität. Allerdings findet sich – anders als in der Rechtfertigungsprüfung nach 87 EuGH, Rs. 5/88, Wachauf, Slg. 1989, I-2609, Rn. 18; EuGH Rs. C-280/93, Deutschland/Rat (Bananenmarktordnung), Slg. 1994, I-4973, Rn. 78. 88 EuGH, Rs. 265/87, Schräder, Slg. 1989, I-2237, Rn. 15; vgl. auch Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 6, Rn. 74. Allgemein zur Verhältnismäßigkeitsprüfung de Burca, YEL 1993, S. 113; Pache, NVwZ 1999, S. 1033. Damit besteht ein deutlicher Unterscheid zur einschrittigen Prüfung des EGMR, vgl. Kühling, Grundrechte, in: von Bogdandy (Hg.), Europäisches Verfassungsrecht, S. 619. 89 Zudem prüft der EuGH die Merkmale der Erforderlichkeit und Angemessenheit nur selten, weshalb durchaus schon die Gewährleistung des unabdingbaren Grundrechtsstandards in Frage gestellt worden ist, siehe dazu Kingreen, JuS 2000, S. 863, m. w. N.; vgl. auch Schildknecht, Grundrechtsschranken in der Europäischen Gemeinschaft, S. 51 ff.; Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 6 Rn. 74; Pauly, EuR 1998, S. 259. 90 EuGH, Rs. 5/88, Wachauf, Slg. 1989, 2609, Rn. 18; EuGH Rs. C-280/93, Deutschland/Rat (Bananenmarktordnung), Slg. 1994, I-4973, Rn. 72, dafür, dass diese Schranken-Schranken grundsätzlich auf alle Gemeinschaftsgrundrechte anwendbar sind Streinz, Bundesverfassungsgerichtlicher Grundrechtsschutz und Europäisches Gemeinschaftsrecht, S. 410. 91 Pernice, in: Grabitz/Hilf, Altband I, Art. 164, Rn. 62d (1998), Rn. 60; Rengeling, Grundrechtsschutz in der Europäischen Gemeinschaft, S. 26; Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 6 EUV, Rn. 76. 92 Zur identischen Prüfungsstruktur jedoch Kühling, Grundrechte, in: von Bogdandy (Hg.), Europäisches Verfassungsrecht, S. 616. 93 So auch Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 6 EUV, Rn. 106, mit Hinweis auf EuGH, Rs. C-136/79, National Panasonic, Slg. 1980, S. 2033, Rn. 17. Eine im Vergleich zur Konturierung des Schutzbereiches größere Zurückhaltung bei der Übernahme der Schrankentatbestände der EMRK fordert daher Stieglitz, Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, S. 129.

230

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Art. 8 Abs. 2 EMRK – in der Rechtsprechung des EuGH kein Hinweis auf einen Gesetzesvorbehalt. Dies ist jedoch insofern nicht weiter bemerkenswert, als dass auch nach der Rechtsprechung des EuGH „Eingriffe der öffentlichen Gewalt in die Sphäre der privaten Betätigung jeder – natürlichen oder juristischen – Person einer Rechtsgrundlage bedürfen.“94 Dabei sind bei den Anforderungen, die an eine solche Grundlage zu stellen sind, unter Umständen die Besonderheiten der spezifischen Form der Gemeinschaftsgesetzgebung zu berücksichtigen.95 Zusammenfassend kann man sagen, dass der EuGH zwar eine Rechtfertigungsprüfung vornimmt, diese aber bisweilen sehr oberflächlich und wenig transparent ist.96 Keine Zweifel bestehen jedoch daran, dass der Gerichtshof im Zusammenhang mit dem Recht auf Privatleben auf seine eigene Schrankensystematik zurückgreift und Art. 8 Abs. 2 EMRK folglich keine Bedeutung erlangt.

IV. Bewertung Ebenso wie unter der EMRK zeigt sich, dass der Datenschutz auch in der Gemeinschaft zunächst vom Grundrecht auf Achtung des Privatlebens abhängig ist. Zudem ist erkennbar, dass sich dieses Recht sehr stark an das Recht auf Achtung des Privatlebens aus Art. 8 Abs. 1 EMRK anlehnt. Gleichwohl hat sich die Erwartung, dass durch die ausdrückliche Bezugnahme auf die EMRK zugleich auch die datenschutzrechtlichen Aussagen des EGMR für den EuGH maßgeblich sein werden, zunächst nicht bestätigt.97 So fehlen in der Rechtsprechung nicht nur die Verweise etwa auf das Urteil Leander, auch die Datenschutzkonvention des Europarates wird nicht erwähnt.98 Über die Gründe lässt sich heute nur spekulieren, jedoch ist es wahrscheinlich, dass dem Gerichtshof schlicht die Gelegenheit fehlte, eine grundsätzliche Aussage zum Datenschutz zu treffen, weil die meisten Fälle nur am Rande einen datenschutzrechtlichen Bezug aufwiesen.99 Allerdings kann man, selbst wenn sich eine entsprechende Möglichkeit geboten hätte, nicht mit Sicherheit sagen, ob die Rechtsprechung des EGMR auf die Gemeinschaftsgrundrechte übertragbar gewesen wäre. So zeigen sich bei einigen Aspekten des Rechts auf Privatleben zu deutliche Unterschiede, um es 94 EuGH, verb. Rs. 46/87 und 227/88, Hoechst, Slg. 1989, 2859, Rn. 19; EuGH verb. Rs. 97–99/87, Dow Chemical Ibérica, Slg. 1989, 3165, Rn. 16. 95 Vgl. Kingreen, JuS 2000, S. 863. 96 Kenntner, ZRP 2000, S. 424. 97 So aber Gola, RDV 1990, S. 111. 98 Dies fordert aber Gola, RDV 1990, S. 111. 99 Everling, Die Verantwortung des Gerichtshofes der Europäischen Gemeinschaften, in: Lamnek/Tinnefeld (Hg.), Globalisierung und informationelle Rechtskultur in Europa, Baden-Baden 1998; Gola, RDV 1990, S. 111.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

231

in seiner durch die Straßburger Organe ausgeprägten Form ohne weiteres in das Gemeinschaftsrecht zu übernehmen.100 Allein aus der Rechtsprechung des EuGH lassen sich aber nur wenige Anhaltspunkte dafür entnehmen, wie der Anwendungsbereich des Gemeinschaftsgrundrechts auf Achtung des Privatlebens hinsichtlich des Schutzes personenbezogener Daten ausgestaltet ist. Hierfür ist die frühe Rechtsprechung des EuGH zu fragmentarisch.101 Festgehalten werden kann jedoch, dass der EuGH datenschutzrechtliche Gesichtspunkte unter dem Recht auf Achtung des Privatlebens berücksichtigt und es hat den Anschein, als begreife er sie als einen weitgehend selbständigen Teilaspekt dieses Rechts. Zudem findet sich in der Rechtsprechung des Gerichtshofes in diesem Zusammenhang ein deutliches Element der Selbstbestimmung. Es wäre aber zu weitgehend, zu diesem Zeitpunkt bereits von der Existenz eines Rechts auf informationelle Selbstbestimmung im Gemeinschaftsrecht zu sprechen.102

B. Rechtsakte und Vorschriften der Gemeinschaft im Bereich des Datenschutzes Zu einer Zäsur für den Datenschutz in der Gemeinschaft kam es durch den Erlass von Rechtsakten mit datenschutzrechtlichem Bezug. Dies sind zum einen die EG-Datenschutzrichtlinie103 und zum anderen die Datenschutzverordnung, die ihrerseits auf dem durch den Vertrag von Amsterdam eingeführten Art. 286 EGV beruht. Damit wurde der Datenschutz nicht nur erstmalig im Primärrecht der Gemeinschaft verankert, er erfuhr zudem vor allem durch die Richtlinie eine detaillierte inhaltliche Ausgestaltung, die Maßstäbe über den Anwendungsbereich des Gemeinschaftsrechts hinaus setzte.104 100 Siehe die schon beschriebenen Divergenzen in der Rechtsprechung des EGMR und EuGH zum Schutz der Geschäftsräume, dazu jedoch auch Mischo, Hoechst, Colas, Roquette: illustration d’une convergence, in: Colneric/Edward u. a. (Hg.), Une communauté de droit, Festschrift für Gil Carlos Rodríguez Iglesias, S. 137 ff. 101 Vgl. Verhey, Europese integratie en privacy-bescherming, in: Burkens/Kummeling (Hg.), EG en grondrechten, S. 237. 102 Davon, dass die Voraussetzungen für die Aufnahme des Datenschutzes als allgemeiner Rechtsgrundsatz der Gemeinschaft bereits vorliegen, geht Wurst, JuS 1991, S. 452, aus. 103 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, abgedruckt in Abl. Nr. L 281 vom 23. November 1995 S. 31. 104 Dazu später unter Teil 3.

232

Teil 3: Datenschutz in der Europäischen Gemeinschaft

I. Die Datenschutzrichtlinie Die EG-Datenschutzrichtlinie trat im Jahr 1995 in Kraft. Nach einem kurzen Überblick über ihre Entstehung105 und ihre wesentlichen Prinzipien, soll anschließend untersucht werden, welche Bedeutung ihr heute im Hinblick auf den Grundrechtsschutz in der Gemeinschaft zukommt. 1. Vorgeschichte Die Organe der Gemeinschaft beschäftigten sich mit dem Datenschutz erstmals im Jahre 1973, nachdem die Kommission festgestellt hatte, dass voneinander abweichende Rechtsvorschriften im Bereich des Datenschutzes die Wettbewerbsfähigkeit der sich sprunghaft entwickelnden Datenverarbeitungsindustrie behinderten.106 Kurz darauf wies auch der Rat auf die wirtschaftliche Bedeutung der Datenverarbeitung hin und forderte die Kommission auf, Vorschläge für ein System zur Förderung der Forschung, der industriellen Entwicklung und Anwendung der Datenverarbeitung zu entwickeln.107 In der Folge legte die Kommission verschiedene Konzepte vor, die auch Maßnahmen auf dem Gebiet des Schutzes der Privatsphäre vorsahen108 und den Rat zu einer Reihe von Beschlüssen zur Untersuchung der Förderung und Entwicklung der Datenverarbeitungsindustrie in Europa veranlassten.109 Auch das Europäische Parlament befasste sich mit dem Datenschutz und forderte in einer Entschließung den Erlass einer Datenschutz105 Ausführliche Darstellungen der Entstehung der Richtlinie finden sich bei: Hahn, Datenschutzrecht und grenzüberschreitender Datenverkehr, S. 884 ff.; Pearce/Platten, JCMS 1998, S 531 ff.; Simitis, Vom Markt zur Polis: Die EU-Richtlinie zum Datenschutz, in: Tinnefeld/Philipps/Heil (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 51 ff.; Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung, Rn. 1 ff.; Ehmann/Helfrich, EG-Datenschutzrichtlinie, S. 49; Karpenstein, Zur Zuständigkeit der Europäischen Gemeinschaften auf dem Gebiet des Datenschutzes, in: Bieber/Bleckmann/Capotori u. a. (Hg.), Sasse-Gedächtnisschrift, Bd. II, 1981, S. 895. 106 Eine Nachzeichnung der frühen Entwicklung findet sich bei Wurst, JuS 1991, S. 448; Knaub, La protection des données, in: Cassese/Clapham/Weiler (Hg.), Human Rights and the European Community, S. 405 und Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 532, m. w. N. Darauf, dass ein wirkungsvolles Datenschutzrecht ein nichttarifäres Handelshemmnis darstellt, weist Kilian, Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld/ Philipps/Heil (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 99, hin; vgl. auch Spannowsky, REDP 1991, S. 44. 107 Entschließung des Rates über eine gemeinschaftliche Politik auf dem Gebiet der Datenverarbeitung, Abl. C- 86/1, vom 20.7.1974. 108 Vorschlag für einen Beschluss des Rates zur Festlegung eines Projektprogramms für Aktionen auf dem Gebiet der Informatik, Abl. C-99/10 vom 2.5.1975; Vorschlag für einen Beschluss des Rates zur Festlegung eines Mehrjahresprogramms (1978–1981) für den Datenverarbeitungssektor, Abl. C-39/2 vom 16.2.1977.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

233

richtlinie.110 Zur Ausarbeitung einer solchen Richtlinie kam es jedoch zunächst nicht, stattdessen wurde der Beitritt zur Datenschutzkonvention des Europarates vorgeschlagen.111 Im Laufe der Jahre wies das Europäische Parlament immer wieder auf die Dringlichkeit des Themas und die Notwendigkeit der Harmonisierung der – soweit überhaupt bereits vorhandenen – Datenschutzvorschriften hin. Einen ersten Vorschlag für eine Datenschutzrichtlinie legte die Kommission jedoch erst im Jahr 1990 vor.112 Dieser lehnte sich stark an die Datenschutzkonvention des Europarates an und seine Regelungen sollten mit denen der Konvention vereinbar sein.113 Nach einem langwierigen Gesetzgebungsprozess114 wurde die Richtlinie schließlich am 24. Oktober 1995 von Parlament und Rat unterzeichnet. Ihre Umsetzungsfrist ist am 24. Oktober 1998 abgelaufen. 2. Inhalt der Richtlinie Die Richtlinie verfolgt einen omnibus approach und zählt daher noch zu den Datenschutzregelungen der ersten Generation.115 Der Hauptgrund für 109

Siehe dazu im einzelnen die Darstellung und Nachweise bei Hondius, Emerging Data Protection in Europe, S. 69 ff. und Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 532. 110 Entschließung des Europäischen Parlamentes zum Schutze der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, vom 8. April 1976, Abl. Nr. C 100 vom 3.5.1976, S. 27. Aber auch: Entschließung zum Schutze der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung des Europäischen Parlamentes vom Juni 1979, Abl. Nr. C 140 vom 5.6.1979, S. 34. 111 Empfehlung der Kommission betreffend ein Übereinkommen des Europarates zum Schutz des Menschen bei der Automatischen Verarbeitung personenbezogener Daten, Abl. EG L-246/31 vom 29.8.1981; siehe auch Bergmann, Grenzüberschreitender Datenschutz, S. 161; Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 542. 112 Mitteilung der Kommission zum Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und zur Sicherheit der Informationssysteme vom 13.09.1990, KOM (90) 314; dazu auch Schild, EuZW 1991, S. 748. 113 Mitteilung der Kommission zum Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und zur Sicherheit der Informationssysteme vom 13.09.1990, KOM (90) 314. Zum Verhältnis der Datenschutzrichtlinie und dem Übereinkommen des Europarates zueinander siehe Brühann, AfP 1998, S. 352. 114 Siehe dazu die ausführliche Darstellung bei Hahn, Datenschutz und grenzüberschreitender Datenverkehr, S. 84 ff.; zur Entwicklung der Richtlinie auch Rüpke, EuZW 1993 S. 149; Skipper, EuZW 1993, S. 145; Jacob, RDV 1993, S. 11; ders., DuD 1994, S. 480; Mütsch, DuD 1994, S. 187. 115 Mayer-Schönberger, Data-Protection in Europe, in: Agre/Rotenberg (Hg.), Technology and Privacy: The New Landscape, S. 221; Simitis, Data Protection in

234

Teil 3: Datenschutz in der Europäischen Gemeinschaft

ihren Erlass stellt sicherlich die Harmonisierung der nationalen Regelungen zum Datenschutz dar, weil befürchtet worden war, dass unterschiedliche Schutzniveaus in diesem Bereich ein Handelshemmnis darstellen und zu einer Beeinträchtigung des Binnenmarktes führen würden.116 Zugleich bezweckt sie aber auch den Schutz der Grundrechte. Art. 1 Abs. 1 der Datenschutzrichtlinie bestimmt ausdrücklich, dass ihr Gegenstand der Schutz der Grundrechte- und Grundfreiheiten und dabei insbesondere der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten ist.117 Ihr kommt daher eine Doppelfunktion zu,118 in der sich die tiefgreifende strukturelle Veränderung der Gemeinschaft wiederspiegelt: der Übergang von einer rein wirtschaftlichen zu einer politischen Union.119 Der Konflikt zwischen den widerstreitenden Interessen kommt auch im Titel der Richtlinie zum Ausdruck, in dem – anders als etwa bei der Datenschutzkonvention des Europarates – neben dem „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ auch der „freie Datenverkehr“ genannt wird. Dies zeigt die Bedeutung, die dem Gemeinsamen Markt in diesem Zusammenhang zukommt.120 a) Der Anwendungsbereich der Richtlinie Der sachliche Anwendungsbereich der Richtlinie erstreckt sich auf die ganz oder teilweise automatisierte sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen (Art. 3 Abs. 1 Datenschutzrichtlinie).121 Dabei hanthe European Union – the Quest for Common Rules in: Weber (Hg.), 1997, S. 106; siehe auch oben unter 1. Teil, B.I. 116 Gemeinsamer Standpunkt des Rates vom 20.02.1995, Abl. Nr. C 93 vom 13.04.1995, S. 19, aber auch Verhey, NJCM-Bulletin 1997, S. 240, Schild, EuZW 1996, S. 549; Lavranos, DuD 1996, S. 404. Zu den wirtschaftlichen Gründen, die zum Erlass der Datenschutzrichtlinie führten, ausführlich auch Wurst, JuS 1991, S. 450 und Gola, RDV 1990, S. 110. 117 Siehe auch die Erwägungsgründe 1, 2, 3 und 10. Es handelt sich dabei um die erste Richtlinie, die unmittelbar den Grundrechtsschutz zum Gegenstand hat, vgl. Pearce/Platten, JCMS 1998, S. 544; Burkert, Internationale Grundlagen, in: Roßnagel (Hg.), Handbuch Datenschutzrecht, Rn. 45. 118 Vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Einleitung, Rn. 4. 119 Vgl. Simitis, Vom Markt zur Polis: Die EU-Richtlinie zum Datenschutz, in: Tinnefeld/Philipps/Heil (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 52, sowie grundlegend Weiler, Yale LJ 1991, S. 2483. 120 So bleibt nach Ansicht Simitis’ der „freie Verkehr“ in einem „Gemeinsamen Markt“ das wichtigste Ziel der Richtlinie, dem sich alle anderen regulatorischen Bestrebungen unterzuordnen haben. Simitis, NJW 1997, S. 282. 121 In Erwägungsgrund Nr. 27 der Richtlinie wird klargestellt, dass sie auf „unstrukturierte Akten“ keine Anwendung finden soll. Erfasst werden manuell erstellte

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

235

delt es sich bei personenbezogenen Daten um alle Informationen über eine Person, unabhängig davon, ob sie den beruflichen oder privaten Bereich betreffen.122 Nicht erfasst werden Daten, die sich auf juristische Personen beziehen.123 Der außerordentlich umfassende Begriff124 der Verarbeitung (Art. 2 Abs. 2 lit. b) erfasst sämtliche Handlungen von der Erhebung der Daten bis zu ihrer Löschung.125 Bereits das Lesen der Daten durch den Verantwortlichen stellt daher eine Verarbeitung im Sinne der Richtlinie dar.126 Nicht unterschieden wird zwischen Datenschutz im öffentlichen und nichtöffentlichen Bereich.127 Ebenso wie im privaten Wirtschaftsverkehr beansprucht die Richtlinie also auch bei der Verarbeitung von Daten durch öffentliche Stellen Geltung.128 Ausdrücklich keine Anwendung findet sie Akten jedoch dann, wenn sie dateimäßig erfasst sind und daher eine erkennbare Strukturierung aufweisen; vgl. Brühann/Zerdick, CR 1996 S. 429; Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung, Rn. 61. 122 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 2, Rn. 2; dabei erfasst der Begriff auch Bild- und Tondaten. Auch die Videoüberwachung im öffentlichen oder privaten Bereich und das Mitschneiden von Telefongesprächen fällt daher in den Regelungsbereich der Richtlinie. Weiterhin ist nicht erforderlich, dass die Verarbeitung im Hinblick auf die Personenbezogenheit der Information erfolgt, vgl. Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 17. 123 Rüpke, ZRP 1995, S. 188. Dies liegt darin begründet, dass Schutzgut des Datenschutzes die Privatsphäre des Individuums ist, eine solche aber nur Menschen zustehen kann. Juristische Personen können aber durch andere öffentliche und private Geheimhaltungspflichten geschützt sein, vgl. dazu Rudolf, ZEuS 2003, S. 218. 124 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 2, Rn. 5; Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 17. 125 So heißt es in Art. 2 Abs. 2 lit. b: „[I]m Sinne dieser Richtlinie bezeichnet der Ausdruck [. . .] ‚Verarbeitung personenbezogener Daten‘ (Verarbeitung) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.“ Dazu im Einzelnen auch Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2 Rn. 28; der Begriff ist technikneutral, Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 18. 126 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 2, Rn. 5. 127 Von einem Wandel des vormaligen Abwehrrechts und damit von einer Richtungsänderung in der Informationstechnologie und dem Datenschutz geht daher Lavranos, DuD 1996, S. 403, aus. 128 Auf die umstrittene Frage, ob für den öffentlichen Bereich der Gemeinschaft überhaupt eine Kompetenz der Gemeinschaft besteht, soll an dieser Stelle nicht weiter eingegangen werden, siehe dazu Karpenstein, Zur Zuständigkeit der Europäischen Gemeinschaften auf dem Gebiet des Datenschutzes, in: Bieber/Bleckmann/ Capotori u. a. (Hg.), Sasse-Gedächtnisschrift, Bd. II, 1981, S. 906; Ellger, Der Da-

236

Teil 3: Datenschutz in der Europäischen Gemeinschaft

auf die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen (Art. 3 Abs. 2 Datenschutzrichtlinie). Zu solchen Tätigkeiten werden solche unter den Titeln V (Gemeinsame Außen- und Sicherheitspolitik) und VI (Polizeiliche und justizielle Zusammenarbeit in Strafsachen) des EUV genannt. Auf keinen Fall findet sie Anwendung auf die Verarbeitung von Daten, die die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten im strafrechtlichen Bereich betreffen. Eine inhaltliche Einschränkung wird für die Verarbeitung von Daten zu rein persönlichen oder familiären Zwecken vorgenommen (Art. 3 Abs. 2). Mit ihr wird dem Umstand Rechnung getragen, dass grundsätzlich alle, also auch nichtautomatisierte Daten, von der Richtlinie erfasst werden, Tagebuchnotizen jedoch nicht Gegenstand datenschutzrechtlicher Kontrollrechte sein sollen.129 Ebenfalls sehr weit gefasst ist der räumliche Geltungsbereich der Richtlinie. So sind die jeweiligen, aufgrund der Richtlinien erlassenen Datenschutzgesetze der Mitgliedstaaten anzuwenden, wenn der für die Verarbeitung Verantwortliche seinen Sitz in dem Hoheitsgebiet des betreffenden Staates hat (Art. 4 Abs. 1 lit. a). Auch wenn der Verantwortliche seinen Sitz nicht in einem Mitgliedstaat hat, können die Vorschriften der Datenschutzrichtlinie jedoch unter Umständen zu beachten sein, nämlich wenn dieser sich an einem Ort befindet, an dem das einzelstaatliche Recht des Mitgliedstaates gemäß den Regeln des Völkerrechts Anwendung findet (Art. 4 Abs. 1 lit. b) oder wenn die Mittel, auf die zum Zwecke der Datenverarbeitung zurückgegriffen wird, sich in dem Hoheitsgebiet des Mitgliedstaates befinden (Art. 4 Abs. 1 lit. c). Erhebliche Auswirkungen auf den räumlichen Anwendungsbereich der Richtlinie hat auch die Regelung des Art. 25 der Richtlinie. Danach ist der Export von Daten in Staaten außerhalb der Gemeinschaft nur dann zulässig, wenn diese Drittstaaten „ein angemessenes Schutzniveau“ gewährleisten. Wenn diese Voraussetzungen nicht erfüllt sind, kann ein Datenaustausch nur in besonderen, im Einzelnen aufgezählten Fällen (Art. 26 Abs. 1 lit. a bis f) oder auf Grundlage einer gesonderten vertraglichen Vereinbarung erfolgen.130

tenschutz im grenzüberschreitenden Datenverkehr, S. 551, Simitis, DRiZ 1995, S. 444 und die ausführliche Darstellung bei Rudolf, Datenschutzkontrolle in Deutschland und die Europäische Datenschutzrichtlinie, in Burmeister (Hg.), Verfassungsstaatlichkeit, Festschrift für K. Stern, S. 1357. 129 Vgl. Simitis, NJW 1997, S. 284. 130 Dazu sogleich in Teil 3.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

237

b) Die grundlegenden Prinzipien Die grundlegenden Prinzipien der Richtlinie sind im zweiten Kapitel, das die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten festlegt, zu finden. Vorangestellt ist den Regelungen mit Art. 5 jedoch eine Generalklausel, die besagt, dass die Mitgliedstaaten nach Maßgabe dieses Kapitels die Voraussetzungen näher bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Mit dieser positiven Verpflichtung131 unterstreicht die Richtlinie ihre eigene Ausfüllungsbedürftigkeit132 und überlässt den Mitgliedstaaten einen gewissen Spielraum. Dies ändert jedoch nichts an der Tatsache, dass die Staaten verpflichtet sind, die Anforderungen der Richtlinie in verbindliches Recht umzusetzen.133 aa) Die Verwendung der Daten Regelungen über die Zulässigkeit der Datenverarbeitung und der dabei zu beachtenden Grundsätze finden sich in den Art. 6 bis 8 der Richtlinie. Sie sind eng an die Grundsätze der Datenschutzkonvention des Europarates angelehnt134 und bilden das Kernstück der Richtlinie.135 So gilt zunächst der Grundsatz der Zweckbindung der Verarbeitung (Art. 6 Abs. 1 lit. b bis e).136 Dieser Bestimmtheitsgrundsatz beinhaltet, dass der Verarbeitungszweck bereits vor der Verarbeitung festgelegt sein und dem Betroffenen klar zu erkennen geben muss, woraufhin seine personenbezogenen Daten erhoben werden.137 Insbesondere bei der Verarbeitung durch Behörden er131

Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 5, Rn. 5. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 5 Rn. 1. 133 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 5 Rn. 1. 134 Brühann, in: Grabitz/Hilf, Bd. III, Vorbem. A 30, Rn. 60. 135 Verhey, NJCM-Bulletin 1997, S. 245. 136 Der Grundsatz der Zweckbindung begrenzt die Zugriffsmöglichkeiten, schränkt den Verarbeitungsradius ein und legt die Verwendungsdauer fest, was bedeutet, dass die Verarbeitung nur im Hinblick auf einen rechtmäßigen, konkret definierten Zweck zulässig ist, vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung Rn. 31 ff. 137 Erwägungsgrund Nr. 28, Abl. Nr. L 281, S. 34; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6 Rn. 8; Brühann, in: Grabitz/Hilf, Bd. III, Art. 6, A 30, Rn. 9 ff.; Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 6, Rn. 4; Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.) AEL 1997, Schild, EuZW 1996, S. 55; das bedeutet, dass der Zweck ausdrücklich festgelegt werden muss. Zwar ist eine Änderung der Zweckbestimmung durch die Richtlinie nicht ausgeschlossen, sie muss aber mit der ursprünglichen Zweckbestimmung vereinbar sein, vgl. Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 28. 132

238

Teil 3: Datenschutz in der Europäischen Gemeinschaft

möglicht dies die Beurteilung, ob die Verarbeitung innerhalb deren Befugnisse erfolgt.138 Zudem müssen die Daten für die Zwecke, für die sie verarbeitet werden, erheblich sein und dürfen nicht darüber hinaus gehen (Art. 6 Abs. 1 lit. c). Aufgrund des Verhältnismäßigkeitsprinzips ist der für die Verarbeitung Verantwortliche verpflichtet, die Daten nach Wegfall des Zwecks, für den sie verwendet wurden, nicht länger aufzubewahren, sondern zu vernichten (Art. 6 Abs. 1 lit. c).139 Zudem ist sicherzustellen, dass die Daten dem Grundsatz der sachlichen Richtigkeit entsprechen. Dazu ist es erforderlich, dass sie wenn nötig auf den neuesten Stand gebracht werden.140 Zulässig ist eine Verarbeitung nur, wenn eine Einwilligung des Betroffenen vorliegt, sie zur Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich ist, der Wahrung lebenswichtiger Interessen der betroffenen Person dient oder im öffentlichen Interesse liegt, bzw. in Ausübung der öffentlichen Gewalt erfolgt oder zur Verwirklichung eines berechtigten Interesses des Verantwortlichen erforderlich ist (Art. 7 lit. a bis f). Besondere Regelungen gelten für sensible Daten, die Aufschluss über die politische Meinung, rassische oder ethnische Herkunft liefern oder die Gesundheit betreffen (Art. 8 Abs. 1).141 Für sie besteht grundsätzlich ein Verarbeitungsverbot; Ausnahmen sind nur in den in Abs. 2 aufgezählten Fällen möglich, etwa wenn der Betroffene in die Verarbeitung eingewilligt hat, die Verarbeitung notwendig ist, um arbeitsrechtlichen Verpflichtungen nachzukommen oder Daten betroffen sind, die der Betroffene offenkundig öffentlich gemacht hat. Zusammenfassend lässt sich festhalten, dass die Datenschutzrichtlinie auf der Prämisse beruht, dass jede Form der Datenverarbeitung einen Eingriff in die Freiheit einer Person enthält, die einer Legitimation bedarf.142 Eine solche Rechtfertigung kann sich aus den in Art. 13 der Richtlinie aufgezählten Ausnahmen und Einschränkungen ergeben. So können die Mit138 Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.) AEL 1997, S. 128. 139 Schild, EuZW 1996, S. 56; Brühann, in: Grabitz/Hilf, Bd. III, Art. 6, A 30, Rn. 9 ff. Die Prüfung bezieht sich auf Art und Umfang der Daten, vgl. Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 30. 140 Art. 6 Abs. 1 lit. d; siehe auch Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 6 Rn. 25; Brühann, in: Grabitz/Hilf, Bd. III, Art. 6, A 30, Rn. 14. 141 Als sensible Kategorien sind weiterhin genannt die religiöse oder philosophische Überzeugung, die Gewerkschaftszugehörigkeit, sowie Daten über das Sexualleben. 142 Vgl. Kilian, Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld/Philipps/Heil, (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 99.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

239

gliedstaaten Vorschriften erlassen, die unter anderem die in Art. 6 aufgeführten Pflichten und Rechte beschränken, soweit solche Bestimmungen für ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaates oder der Europäischen Union einschließlich Währungs-, Haushaltsund Steuerangelegenheiten (lit. e) oder Kontroll-Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die eben genannten Zwecke verbunden sind, notwendig sind. Jedoch gelten diese Einschränkungsmöglichkeit nur für die in Art. 6 Abs. 1 der Richtlinie enthaltenen Prinzipien, nicht hingegen für das Verbot der Verarbeitung für sensible Daten in Art. 8 Abs. 1. bb) Die Rechte des Betroffenen Schon während der Verarbeitung ist der Betroffene berechtigt, umfassend über den Zweck der Verarbeitung, die Identität des Verantwortlichen oder beispielsweise über den Empfänger der Daten informiert zu werden.143 Auch wenn die Daten nicht bei dem Betroffenen direkt erhoben wurden, ist der Betroffene hiervon in Kenntnis zu setzten (Art. 11).144 Mit dieser Vorschrift soll dem Problem begegnet werden, dass die Erhebung von Daten außerhalb des Einfluss- und Kenntnisbereichs des Betroffenen regelmäßig nicht nur die unauffälligste Methode der Datengewinnung darstellt, sondern zugleich auch besonders fehlerträchtig ist. Nur wenn der Betroffene Kenntnis von der Datenerhebung hat, kann er für die Erhebung fehlerfreie Daten zur Verfügung stellen.145 Die zentrale Bestimmung146 im Zusammenhang mit den Beteiligungsrechten stellt Art. 12 dar. Die Vorschrift gewährt entgegen ihrer Überschrift mehr als nur ein Auskunftsrecht. So kann der Betroffene von dem Verantwortlichen nicht nur verlangen, in angemessenen Abständen, frei und ohne 143

Vgl. Art. 10, der in einer beispielhaften Aufzählung außerdem die Information des Betroffenen über die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist und mögliche Folgen einer unterlassenen Beantwortung sowie das Recht, über das Bestehen von Auskunfts- und Berichtigungsrechten unterrichtet zu werden, enthält. 144 Eine Unterrichtungspflicht besteht allerdings nicht, wenn die Speicherung oder Weitergabe der Daten ausdrücklich durch Gesetz vorgesehen ist, oder die Unterrichtung unmöglich oder unverhältnismäßig ist. Dies ist gemäß Art. 11 Abs. 2 dann der Fall, wenn die Verarbeitung dem Zweck der Statistik oder der historischen oder wissenschaftlichen Forschung dient. Jedoch sind die Mitgliedstaaten dann gezwungen, ausreichende Garantien zu schaffen. 145 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 11, Rn. 3; vgl. auch Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 37. 146 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 12, Rn. 1.

240

Teil 3: Datenschutz in der Europäischen Gemeinschaft

unzumutbare Verzögerung oder Kosten die Bestätigung der Existenz der Daten, eine Auskunft über ihre Zweckbestimmung, Herkunft und logischen Aufbau zu erhalten (Art. 12 lit. a), sondern unter Umständen auch ihre Berichtigung, Löschung oder Sperrung fordern (Art. 12 lit. b). Weiterhin kann der Betroffene, wenn die Verarbeitung im öffentlichen Interesse oder zur Verwirklichung eines berechtigten Interesses des Verantwortlichen oder Dritten erfolgte, Widerspruch gegen die Verarbeitung einlegen (Art. 14)147 und schließlich den Rechtsweg beschreiten (Art. 22) und Schadensersatz geltend machen (Art. 23). cc) Kontrollmechanismen Um die Vertraulichkeit und Sicherheit der Verarbeitung sicherzustellen, dürfen personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeitet werden,148 der außerdem auch verpflichtet ist, die geeigneten technischen und organisatorischen Maßnahmen durchzuführen, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang erforderlich sind (Art. 17). Diese Vorschrift trägt der Gefährdung des Rechts auf Privatsphäre Rechnung, die auch dann besteht, wenn Daten durch Dritte und über nicht genehmigten Zugriff und deren Verwendung missbraucht werden.149 Zudem sieht die Richtlinie ein Meldesystem vor, das allerdings am Grad des mit der jeweiligen Verarbeitung für die Privatsphäre verbundenen Risikos orientiert ist. Obwohl der für die Verarbeitung Verantwortliche grundsätzlich vor der Verarbeitung einer Kontrollstelle Meldung machen muss, werden durch Ausnahmevorschriften 80 bis 90 % der Verarbeitungen von der Meldepflicht ausgenommen.150 Eine Meldepflicht besteht insbesondere dann nicht, wenn der betreffende Mitgliedstaat die Überwachung einem unabhängigen151 Datenschutzbeauftragten übertragen hat (Art. 18 Abs. 2), wie dies in Deutschland der Fall ist.152 Darüber hinaus ist eine unabhängige 147 Zusätzlich enthält die Vorschrift das Recht des Betroffenen, soweit es um Werbung geht, der beabsichtigten Verwendung der Daten kostenfrei zu widersprechen; zudem sieht Art. 15 den Schutz vor nachteiligen Entscheidungen vor, die allein aufgrund einer automatisierten Datenverarbeitung zur Erstellung eines Persönlichkeitsprofils oder zur Bewertung seiner beruflichen Leistung, Kreditwürdigkeit oder der Zuverlässigkeit seines Verhaltens dient, siehe dazu Schild, EuZW 1996, S. 553. 148 Es sei denn, es bestehen gesetzliche Verpflichtungen, Art. 16. 149 Schild, EuZW 1996, S. 553. 150 Brühann, in: Grabitz/Hilf, Bd. III, Art. 18, Rn. 1 ff. 151 Siehe Erwägungsgrund Nr. 49.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

241

Kontrollstelle einzurichten, die die Anwendung der nach der Richtlinie erlassenen datenschutzrechtlichen Regelungen zu überwachen hat (Art. 28). Auf Ebene der Gemeinschaft wurde auf Grundlage von Art. 29 der Richtlinie eine Datenschutzgruppe eingerichtet. Sie setzt sich aus unabhängigen Vertretern der Mitgliedstaaten (meist den Datenschutzbeauftragten) zusammen und ihr obliegt vor allem, die Wahrung der Rechte der betroffenen Personen sicherzustellen. Auch gibt sie Stellungnahmen gegenüber der Kommission zum Schutzniveau in der Gemeinschaft und in Drittländern ab und unterstützt diese bei allen Aktivitäten und Rechtsakten, die einen Bezug zum Datenschutz aufweisen.153 Letztendlich bietet sie ein Forum für den Austausch nationaler Erfahrung und Beratung von bisher ungelösten oder neu entstandenen datenschutzrechtlichen Problemen.

3. Beurteilung Die Richtlinie stellt klar, dass es sich bei personenbezogenen Daten nicht um jederzeit frei zugängliche Informationen handelt.154 Ihre Verwendung ist grundsätzlich begrenzt. Dementsprechend liegt der Richtlinie das – wenn auch nicht ausdrücklich erwähnte – Prinzip zugrunde, dass auf die Verarbeitung personenbezogener Daten so weit wie möglich verzichtet werden sollte.155 Zudem lässt sich festhalten, dass die Richtlinie deutliches Gewicht 152 Während die Meldepflicht aus dem französischen Recht stammt, trug man mit der Schaffung des Datenschutzbeauftragten dem deutschen System Rechnung, jedoch mit dem Unterschied, dass die Richtlinie dessen Unabhängigkeit voraussetzt, was jedoch bisher nur bei betrieblichen, nicht hingegen bei behördlichen Datenschutzbeauftragten zutraf. Zudem lag die Kontrolle bei weisungsgebundenen Aufsichtsbehörden, vgl. Schild, EuZW 1996, S. 554; Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.) AEL 1997, S. 134 zu der umstrittenen Frage der Anpassung des BDSG im Einzelnen Haslach, DuD 1999, S. 470, Brühann/Zerdick, CR 1996, S. 435; Weber, CR 1995, S. 298; Rudolf, Datenschutzkontrolle in Deutschland und die Europäische Datenschutzrichtlinie, in Burmeister (Hg.), Verfassungsstaatlichkeit, Festschrift für K. Stern, S. 1357. 153 Heil, DuD 1999, S. 471. Damit handelt es sich nicht um eine den nationalen Kontrollstellen übergeordnete Instanz, da der Rat und die Kommission auf eine Intervention in die nationale Kontrolltätigkeit bewusst verzichtet haben. Sie stellt die Verbindung zwischen der nationalen Kontrolle und der durch die Richtlinie manifestierten supranationalen Verantwortung für einen effizienten Datenschutz her, vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung, Rn. 41. 154 Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.) AEL 1997, S. 127. 155 Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.), AEL 1997, S. 127, der auch darauf verweist, dass das Prinzip der Datenvermeidung ausdrücklich erst nach dem Siegeszug des Internets Aufnahme in datenschutzrechtliche Vorschriften gefunden hat.

242

Teil 3: Datenschutz in der Europäischen Gemeinschaft

auf das Recht auf informationelle Selbstbestimmung legt.156 Dies zeigt sich insbesondere daran, dass die Verarbeitung grundsätzlich von der Zustimmung des Betroffenen abhängig ist.157 Darüber hinaus bestehen vielfältige Beteiligungsrechte des Betroffenen. Außerdem bewirkt die Kombination von bereits existierenden Datenschutzregelungen der Mitgliedstaaten ein deutlich höheres Schutzniveau als die als Vorbild dienende Datenschutzkonvention.158 Anzumerken ist auch, dass die Richtlinie, indem sie nicht mehr zwischen der Datenverarbeitung im öffentlichen und privaten Bereich unterscheidet, der zunehmenden Bedeutung der Datenverarbeitung im privaten Sektor Rechnung trägt. Sie symbolisiert daher die Abkehr des Datenschutzes von einem reinen Abwehrrecht gegenüber dem Staat zu einem umfassenderen Recht und ist damit Ausdruck einer entscheidenden Richtungsänderung im Datenschutz.159 Durch die Richtlinie werden aber auch die Kompetenzen der Mitgliedstaaten im Bereich des Datenschutzes zurückgedrängt. Da sie eine vollständige Harmonisierung der datenschutzrechtlichen Regelungen vorsieht,160 ist es den Mitgliedstaaten nicht gestattet, von diesen Vorgaben abzuweichen.161 Dennoch hat die Richtlinie keine gänzlich übereinstimmenden Datenschutzvorschriften in Europa geschaffen, da sie dem nationalen Gesetzgeber viel Gestaltungsspielraum überlässt.162 Gleichwohl wird der wesentliche Inhalt nationaler Datenschutzgesetze aber durch die Gemeinschaft vorgegeben. Im Gegensatz zu anderen Richtlinien der Gemeinschaft sind die Auswirkungen der Harmonisierung bei der Datenschutzrichtlinie jedoch nicht ausschließlich wirtschaftlicher Art.163 So könnte man argumentieren, dass mit der Da156 Mayer-Schönberger, Data-Protection in Europe, in: Agre/Rotenberg (Hg.), Technology and Privacy: The New Landscape, S. 234; Schneider, CR 1993, S. 35. 157 Art. 7 lit. a; vgl. Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.) AEL 1997, S. 129; zudem ergeben sich auch die Ausnahmen der Richtlinie zumeist aus der Selbstbestimmung des Betroffenen, vgl. Burkert, Internationale Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 48. 158 Pearce/Platten, JCMS 1998, S. 532. 159 Der Staat braucht nicht mehr selbst die Daten zu sammeln, sondern greift einfach bei privaten Datensammlern zu, vgl. Lavranos, DuD 1996, S. 402, Hassemer, DuD 1995, S. 448. 160 Brühann, AfP 1998, S. 350; Rüpke EuZW 1993, S. 150; Ehmann/Sutschet, RDV 1997, S. 4. 161 Jedoch lässt sie in einigen Bereichen den Mitgliedstaaten auch eindeutig einen gewissen Gestaltungsspielraum, wie etwa durch die Generalklausel in Art. 5, die vorsieht, dass die Mitgliedstaaten nach Maßgabe des Kapitels (Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten) die Voraussetzungen näher bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. 162 Wuermeling, NJW-CoR 1995, S. 112.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

243

tenschutzrichtlinie ein Instrument geschaffen wurde, das auch zur Herleitung der Gemeinschaftsgrundrechte dienen kann. Zwar bezieht sich der EuGH dabei streng genommen nur auf die Verfassungsüberlieferungen der Mitgliedstaaten, allerdings ist die Richtlinie in diesem besonderen Fall durchaus mit diesen vergleichbar.164 Da sie ausdrücklich auch den Schutz der Grundrechte bezweckt, werden – soweit vorhanden – die nationalen Grundrechte auf Datenschutz bis zu einem gewissen Grade ebenfalls harmonisiert. Insofern wäre es naheliegend, wenn sich der EuGH bei der Herleitung eines Gemeinschaftsgrundrechts auf Datenschutz an ihren Regelungen orientierte.

II. Datenschutz bei Rechtsakten der Europäischen Gemeinschaft Obwohl durch die Richtlinie umfassende datenschutzrechtliche Prinzipien auf Ebene der Gemeinschaft festgeschrieben worden waren, galten diese nur für die Mitgliedstaaten, da gem. Art. 249 Abs. 3 EGV nur sie die Adressaten eines solchen Rechtsaktes sind. Insofern verblieb im Datenschutzrecht der Gemeinschaft eine Lücke, da eine Verarbeitung von Daten in großem Maße auch durch die Organe der Gemeinschaft, etwa die Kommission, durchgeführt wurde.165 Auch für die europäischen Organe und Einrichtungen war deshalb ein verbindliches Datenschutzsystem unverzichtbar.166 1. Der Datenschutz im Primärrecht, Art. 286 EGV Daher wurde mit dem Amsterdamer Vertrag die Vorschrift des Art. 286 EGV in das Gemeinschaftsrecht eingeführt,167 wonach seit dem 1. Januar 1999 die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Datenverarbeitung auf die Organe und Einrichtungen der Gemeinschaft Anwendung finden. Dieser umfassende Begriff erfasst alle in Art. 249 Abs. 3 EGV aufgezählten Maßnahmen – also Verordnungen, 163 Zum Spannungsverhältnis zwischen Datenschutz und wirtschaftlicher Zielsetzung vgl. Burkert, Internationale Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 48. 164 Ähnlich auch Sule, Europol und europäischer Datenschutz, S. 80. 165 Maiani, RTD eur 2002, S. 288. 166 Brühann, AfP 1998, S. 350, Mackel in: Léger (Hg.), Commentaire Article par Article, Art. 286, Rn. 1; siehe aber auch Mitteilung der Kommission zum Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und zur Sicherheit der Informationssysteme vom 13.09.1990, KOM (90) 314, S. 16. 167 Zur Entstehungsgeschichte siehe Brühann, in: von der Groeben/Schwarze, Art. 286, Rn. 1 ff.

244

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Richtlinien und Entscheidungen – unabhängig davon, ob sie vor oder nach der Einführung der Vorschrift in Kraft getreten sind.168 Zum gegenwärtigen Zeitpunkt sind dies die allgemeine Datenschutzrichtlinie 95/46/EG und die die Telekom-Datenschutzrichtlinie ersetzende Datenschutzrichtlinie für elektronische Kommunikation.169 Angesichts der Tatsache, dass eine Bindung auch der Gemeinschaftsorgane an datenschutzrechtliche Prinzipien schon sehr viel früher durch den EuGH anerkannt worden war,170 kam die Aufnahme einer ausdrücklichen Regelung in das Primärrecht sehr spät. Sie war jedoch unbedingt erforderlich, da die freiwillige Selbstverpflichtung der Organe zur Einhaltung der in der Datenschutzrichtlinie festgehaltenen Grundsätze nicht den Anforderungen an eine an Grundrechte gebundenen Rechtsgemeinschaft genügte.171 Mit der Ergänzung des Vertrages war die Arbeit hinsichtlich des Datenschutzes für die Gemeinschaftsorgane jedoch noch nicht abgeschlossen. Art. 286 Abs. 2 EGV verpflichtet die Organe zur Einrichtung einer unabhängigen Kontrollinstanz für die Überwachung dieser Vorschrift. Auch können, soweit erforderlich, weitere „einschlägige Bestimmungen“ erlassen werden. Diesem Auftrag entsprachen das Europäische Parlament und der Rat mit dem Erlass der Verordnung Nr. 45/2001172 (Datenschutzverordnung).

168 Brühann, in: von der Groeben/Schwarze, Art. 286, Rn. 25; Haratsch, EuR 2000, S. 49. 169 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Abl. 2002 L 201/37; zudem weist Brühann darauf hin, dass auch die Anwendbarkeit datenschutzrechtlicher Vorschriften aus anderen Richtlinien, wie etwa der den Datenschutz regelnde Art. 8 der Signaturrichtlinie (Richtlinie 99/93/EG des Europäischen Parlamentes und des Rates vom 12. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, Abl. 2000 Nr. L 13712), nicht ausgeschlossen ist, Brühann, in: von der Groeben/Schwarze, Art. 286, Rn. 55. 170 EuGH, Rs. C-404/92, X. ./. Kommission, Slg. 1994 I-4737. 171 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 34, Rn. 3; Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 286 EGV Rn. 4; Herrmann, in: Streinz, EUV/ EGV, Art. 286 EGV Rn. 1. 172 Verordnung (EG) Nr. 45/2001 des Europäischen Parlamentes und des Rates vom 18. Dezember 2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, Abl. Nr. L 8, vom 12. Januar 2001, S. 1.

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

245

2. Die Datenschutzverordnung Durch die am 1. Februar 2001 in Kraft getretene Datenschutzverordnung sollte eine möglichst einheitliche Anwendung der dem grundrechtlichen Schutz der Daten dienenden Vorschriften sichergestellt werden.173 Somit hat sie eine umfassende Regelung des Datenschutzes für die Verarbeitung personenbezogener Daten durch Organe der Gemeinschaft geschaffen. Inhaltlich entspricht die Verordnung weitgehend der Datenschutzrichtlinie 95/46/EG. Änderungen ergaben sich überwiegend durch die Notwendigkeit, die Vorschriften der Richtlinie an die Bedürfnisse der Gemeinschaft als den neuen Adressaten anzupassen. So zeigen sich im Vergleich zur Richtlinie nur wenige Unterschiede, die grundsätzlichen Prinzipien der Richtlinie sind meist wortwörtlich in die Verordnung übernommen worden. Zentrale Vorschrift der Verordnung ist Art. 5, der die Rechtmäßigkeit der Verarbeitung regelt. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn: • die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die aufgrund einer primär- oder sekundärrechtlichen Vorschrift im öffentlichen Interesse oder in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, • die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, • die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist erforderlich ist, • der Betroffene seine Einwilligung gegeben hat oder • die Verarbeitung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist. Der Anwendungsbereich der Verordnung erstreckt sich auf die Verarbeitung, die im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Gemeinschaftsrechts fallen. Nicht erfasst werden also Tätigkeiten der Gemeinschaft, die auf Grundlage der Titel V und VI EUV vorgenommen werden.174 Diesbezüglich geht die Verordnung davon aus, dass „der Schutz der Grundrechte und Grundfreiheiten der Per173

Maiani, RTD eur 2002, S. 284. Siehe dazu die Erklärung 120/00 zu Art. 3 Abs. 1 der Verordnung 45/01, Dok. des Rates 14547/00 vom 13.12.2000, Annex II S. 7, abrufbar unter: http:// register.consilium.eu.int, in der sich die Kommission eindeutig für eine Anwendbarkeit auch auf Tätigkeiten im Rahmen der betreffenden Abschnitte des EUV ausgesprochen hatte. 174

246

Teil 3: Datenschutz in der Europäischen Gemeinschaft

sonen unter Beachtung des Artikels 6 EUV gewährleistet“ wird.175 Bemerkenswert ist, dass von der Verordnung also auch die Datenverarbeitung erfasst wird, die lediglich teilweise in den Anwendungsbereich des Gemeinschaftsrechts fällt. Dieser im Vergleich zur Datenschutzrichtlinie weitere Anwendungsbereich lässt sich dadurch erklären, dass auf Ebene der Gemeinschaft keine nationalen Vorschriften existieren, die gleichsam als Auffangregelungen fungieren. Durch die weite Vorschrift ist aber in jedem Fall sichergestellt, dass der Datenschutz gewährleistet ist. Neu ist zudem eine Regelung über die Änderung der Zweckbestimmung (Art. 6). Danach dürfen personenbezogene Daten nur dann für andere Zwecke als die, für die sie erhoben wurden, verarbeitet werden, wenn die Änderung der Zwecke durch die internen Vorschriften des Organs oder der Einrichtung der Gemeinschaft ausdrücklich erlaubt ist. Auch Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme und -vorgänge erfasst werden, dürfen für keinen anderen Zweck als die Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten verwendet werden. Weiterhin wurde eine Vorschrift für die Übermittlung personenbezogener Daten innerhalb von oder zwischen Organen oder Einrichtungen der Gemeinschaft eingeführt (Art. 7). Daten dürfen demnach nur weiterübermittelt werden, wenn sie für die rechtmäßige Erfüllung der Aufgaben erforderlich sind, die in den Zuständigkeitsbereich des Empfängers fallen. Zudem gilt auch hier der Grundsatz der Zweckbindung. Während eine Übermittlung an Empfänger, die zwar nicht Organe oder Einrichtungen der Gemeinschaft, aber der Datenschutzrichtlinie unterworfen sind, relativ unproblematisch ist,176 gelten für ebensolche, nicht an die Datenschutzrichtlinie gebundene Empfänger ähnliche Regelungen wie für die Übermittlung von Daten an Drittstaaten. So muss unter anderem im Land des Empfängers oder innerhalb der empfangenden internationalen Organisation ein angemessenes Schutzniveau gewährleistet sein (Art. 9). Abgesehen davon, dass die Verordnung vorsieht, dass neben der Kommission auch der 175 Vgl. Erwägungsgrund Nr. 15 Verordnung (EG) Nr. 45/2001 des Europäischen Parlamentes und des Rates vom 18. Dezember 2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, Abl. Nr. L 8, vom 12. Januar 2001, S. 1. 176 Diesbezüglich sieht Art. 8 vor, dass der Empfänger nachweisen muss, dass die Daten entweder für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder zur Ausübung der öffentlichen Gewalt gehört, erforderlich sind (Abs. 1) oder die Datenübermittlung notwendig ist und kein Grund zu der Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten (Abs. 2).

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

247

Europäische Datenschutzbeauftragte zu unterrichten ist, wenn ein solches Schutzniveau nicht gewährleistet werden kann, ist der Mechanismus aber weitgehend mit dem der Datenschutzrichtlinie identisch. Die Beteiligungsrechte des Betroffenen entsprechen ebenfalls weitgehend denen der Datenschutzrichtlinie, wenn auch erforderliche Konkretisierungen vorgenommen worden sind. So sieht etwa das Auskunftsrecht in Art. 13 vor, dass der Betroffene innerhalb von drei Monaten nach Eingang eines entsprechenden Antrags unentgeltlich die Bestätigung zu erhalten hat, ob die betreffenden Daten verarbeitet wurden oder nicht, und dass er zudem Auskunft über den Zweck, den Empfänger, die Herkunft der Daten und ihren logischen Aufbau verlangen kann. Zudem sind die Ansprüche auf Berichtigung (Art. 14), Sperrung (Art. 15) und Löschung (Art. 16) nunmehr in eigenen Bestimmungen festgehalten. Die augenfälligste durch die Datenschutzverordnung eingeführte Neuerung ist allerdings die Einrichtung des Amtes eines Europäischer Datenschutzbeauftragten als unabhängige Kontrollinstanz. Seine Befugnisse sind in Art. 46 der Verordnung aufgezählt. Er kann unter anderem betroffene Personen beraten, den für die Verarbeitung der Daten Verantwortlichen ermahnen oder verwarnen, die Berichtigung, Sperrung, Löschung oder Vernichtung aller unter Verletzung einer datenschutzrechtlichen Bestimmung verarbeiteten Daten anordnen. Des weiteren ist er befugt, die Verarbeitung vorübergehend oder endgültig zu verbieten sowie den Gerichtshof anzurufen, oder einem dort anhängigen Verfahren beizutreten.177 In der Zusammenschau zeigt sich, dass die Position des Einzelnen gegenüber der Gemeinschaft bei der Verarbeitung personenbezogener Daten durch die Verordnung unzweifelhaft gestärkt wurde. Während sich der Betroffene vor Erlass der Verordnung nur auf seine allgemeinen Grundrechte stützen konnte, existiert nunmehr ein auf die spezifischen Probleme des Datenschutzes zugeschnittenes System, dessen detaillierte Regelungen den Grundsätzen der Datenschutzrichtlinie entsprechen. Für den Grundrechtsschutz in der Gemeinschaft bedeutet die Einführung dieser Vorschrift daher eine bedeutende Wandelung. Dem Einzelnen wird ein Grundrecht gewährt, das – wenngleich auch auf die Fälle, in denen die Verarbeitung durch die Organe der Gemeinschaft erfolgt, beschränkt – deutlich über die allgemeinen Rechtsgrundsätze hinaus geht. Gleichwohl kann man nicht sagen, dass dies bereits die letzte Stufe der Entwicklung des für die Gemeinschaftsorgane 177 Darüber hinaus kann er das betroffene Organ bzw. die betroffene Einrichtung, sowie das Europäische Parlament, den Rat und die Kommission mit der Sache befassen. Weiterhin ist er befugt, von dem für die Verarbeitung Verantwortlichen Zugang zu allen für seine Untersuchung relevanten Daten und Räumlichkeiten zu erhalten.

248

Teil 3: Datenschutz in der Europäischen Gemeinschaft

geltenden Datenschutzrechts darstellt.178 Insbesondere die Verarbeitung von Daten durch Organe der Gemeinschaft im Rahmen von Tätigkeiten, die in den Anwendungsbereich des Unionsvertrages fallen, bedürfen weiterhin einer ausdrücklichen Regelung. 3. Das Verhältnis der verschiedenen datenschutzrechtlichen Regelungen der Gemeinschaft untereinander Wenn auch deutlich geworden ist, dass sich aus der Verordnung umfassende Rechte des Einzelnen gegenüber der Gemeinschaft ergeben, so ist damit noch nicht geklärt, in welchem Verhältnis die Verordnung, die Datenschutzrichtlinie179 und Art. 286 EGV zueinander stehen. Dabei zeigt sich bei genauerer Betrachtung, dass diese Frage nicht isoliert beantwortet werden kann. Ausschlaggebend ist, wie man das Verhältnis zwischen Art. 286 EGV und der Datenschutzrichtlinie beurteilt. Zunächst war insbesondere unklar, was es bedeuten sollte, dass die sekundärrechtlichen Regelungen nach Art. 286 Abs. 1 EGV auf die Gemeinschaft „Anwendung finden“. Da sich Richtlinien gem. Art. 249 Abs. 3 nur an die Mitgliedstaaten wenden, stand an sich außer Zweifel, dass die Gemeinschaft nicht wie ein Mitgliedstaat zur Umsetzung der Richtlinien verpflichtet war.180 Insofern deutet sich an, dass die Richtlinien in Verbindung mit Art. 286 Abs. 1 EGV nicht in ihrer gewöhnlichen sekundärrechtlichen Funktion zum Tragen kommen können. Wesentlich für die Bestimmung des Verhältnisses ist also, wie man die Verweisung in Abs. 1 interpretiert.181 Nähme man an, dass es sich um eine inkorporierende Verweisung handelt, hätte dies zur Folge, dass die Datenschutzrichtlinie für die Gemeinschaftsorgane im Range primären Gemeinschaftsrechts stünde und somit nicht ohne weiteres auf seine Grundrechtskonformität überprüft werden könnte. Es ist daher davon auszugehen, dass durch die Verweisung lediglich der Anwendungsbereich der Richtlinie ausgedehnt wird, wobei sie ihren sekundärrechtlichen Charakter nicht verliert.182 Nicht geklärt ist hingegen, welche Auswirkungen dies für die Rechtsverbindlichkeit der Richtlinie hat. So ist etwa Haratsch der Auffassung, dass 178

Vgl. Maiani, RTD eur 2002, S. 306. Der Einfachheit halber soll im Folgenden nur auf die Richtlinie 95/46/EG eingegangen werden, gleiches gilt aber auch für die die sektorspezifischen Richtlinien 97/66/EG bzw. nunmehr 2002/58/EG. 180 Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 286 EGV, Rn. 3; Haratsch, EuR 2000, S. 53. 181 Siehe die umfassende Darstellung bei Haratsch, EuR 2000, S. 53. 182 Haratsch, EuR 2000, S. 45; Herrmann in: Streinz, EUV/EGV, Art. 286 EGV, Rn. 2. 179

B. Rechtsakte und Vorschriften im Bereich des Datenschutzes

249

die Datenschutzrichtlinie auch als eine „gemeinschaftsgerichtete Richtlinie“ ihren rechtlichen Charakter bewahre und damit für die Gemeinschaft nur hinsichtlich ihres Ziels verbindlich sei.183 Dementsprechend wäre die Gemeinschaft zum Erlass eines Umsetzungsaktes verpflichtet, was durch die Datenschutzverordnung geschehen ist. Im Ergebnis bestünde zwischen den einzelnen Rechtsakten ein eindeutiges Hierarchieverhältnis, an dessen Ende die Datenschutzverordnung steht. Gegen dieses Verständnis spricht nach Auffassung Hermanns jedoch, dass Art. 286 Abs. 1 EGV die „Anwendung auf die Organe“ anordnet und der Erlass weiterer Bestimmungen gemäß Abs. 2 nur dann erfolgen soll, wenn sie „erforderlich“ sind. Wenn man bei Erlass dieser Vorschrift aber davon ausgegangen wäre, dass es einer generellen Umsetzung durch eine Verordnung bedurft hätte, wäre diese Wortwahl nicht sinnvoll gewesen, da die Erforderlichkeit bereits absehbar gewesen wäre.184 Gegen eine bloße Zielverbindlichkeit der Richtlinie spreche weiterhin, dass die Datenschutzrichtlinie Vorschriften beinhalte, die unmittelbare Rechten und Pflichten für die Organe begründen und keiner Umsetzung bedürfen.185 Auch Maiani geht davon aus, dass die Verweisung auf die Richtlinie in Art. 286 Abs. 1 EGV losgelöst von der sonst für Richtlinien geltenden Vorschrift des Art. 249 EGV zu betrachten ist. Ihr gegenüber sei Art. 286 EGV gewissermaßen als lex specialis zu begreifen.186 Dementsprechend sei Art. 286 Abs. 1 EGV dahingehend zu verstehen, dass die Datenschutzrichtlinie nur hinsichtlich ihres Regelungsgegenstandes, nicht jedoch auch in ihrem normalen systematischen Zusammenhang bzw. ihrer rechtlichen Stellung anwendbar ist. Im Ergebnis stellt sich die Verordnung daher nicht als Umsetzungsakt, sondern als Ergänzung der Datenschutzrichtlinie dar. Für die Rechte des Einzelnen hat diese Frage nur geringe Bedeutung. Nach beiden Auffassungen ist die Verordnung im Lichte der Richtlinien auszulegen, und subjektive Rechte können sich aus beiden Rechtsakten ergeben. Geht man von der Verordnung als Umsetzungsakt der Richtlinie aus, bedeutet dies automatisch auch deren Anerkennung als höherrangiges Recht, an deren Maßstab die Verordnung zu messen ist. Konkrete Rechte für den Einzelnen lassen sich in erster Linie aus der Verordnung ableiten, die er gemäß Art. 32 Datenschutzverordnung auch vor dem EuGH geltend 183 Haratsch, EuR 2000, S. 52; dem folgend: Kingreen, in: Calliess/Ruffert, EUV/EGV, Art. 286 EGV, Rn. 2 und Brühann, in: von der Groeben/Schwarze, Art. 286, Rn. 34. 184 Herrmann, in: Streinz, EUV/EGV, Art. 286 EGV, Rn. 3. 185 Bspw. Art. 29, 30, 31 und 33 der Datenschutzrichtlinie, siehe dazu Ehmann/ Helfrich, EG-Datenschutzrichtlinie, Art. 34 Rn. 3. 186 Maiani, RTD eur 2002, S. 293.

250

Teil 3: Datenschutz in der Europäischen Gemeinschaft

machen kann. Zusätzlich ergeben sich aber unter Umständen auch subjektive Rechte unmittelbar aus der Richtlinie. Hier muss – auch wenn sie grundsätzlich nur hinsichtlich ihres Ziels als verbindlich anzusehen ist – ebenso wie im Verhältnis zu den Mitgliedstaaten auch gegenüber der Gemeinschaft gelten, dass sich Rechte des Einzelnen aus einzelnen Richtlinienbestimmungen herleiten lassen, wenn diese unmittelbare Wirkung haben.187 Auch wenn man die Datenschutzverordnung nicht als Umsetzungsakt begreift, ist sie am Maßstab der Richtlinie zu messen, steht sie im Rang doch unter dieser. Dies ergibt sich aus der Systematik des Art. 286 EGV. Dient die Verordnung nämlich nicht der Umsetzung der Richtlinie, so ist in ihr eine „erforderliche Bestimmung“ i. S. d. Art. 286 Abs. 2 EGV zu sehen, da sie die inhaltlich unvollständige und somit einer unmittelbaren Anwendung entgegenstehende Richtlinie ergänzt.188 Auch wenn dem Rat hinsichtlich der Erforderlichkeit ein gewisser Beurteilungsspielraum zuzubilligen ist, so kann Abs. 2 ihn nicht ermächtigen, eine die Ziele in Abs. 1 in Frage stellende Vorschrift zu erlassen. Andernfalls wäre es den Organen der Gemeinschaft ohne weiteres möglich, jederzeit eigenständig Ausnahmevorschriften und zusätzliche Rechtfertigungsmöglichkeiten zu den in Abs. 1 genannten Rechtsakten zu erlassen.189 Dementsprechend sind alle Rechtsakte, die aufgrund der in Abs. 2 enthaltenen Ermächtigung erlassen wurden – also auch die Verordnung – im Vergleich zu den in Abs. 1 genannten Vorschriften, als in der Normenhierarchie niedriger anzusehen. Letztendlich kann es daher dahingestellt bleiben, welche Auffassung Vorrang genießen sollte. In jedem Fall begründen sich Rechte des Betroffenen zunächst auf die Verordnung, wobei diese, sollte ein Konflikt mit der Richtlinie auftreten, in deren Lichte auszulegen ist. 4. Ergebnis Zusammenfassend kann man sagen, dass Art. 286 und die Datenschutzverordnung das gemeinschaftsrechtliche System des Datenschutzes um den aus grundrechtlicher Sicht wichtigsten Aspekt komplettieren. Sie regeln ausdrücklich und umfassend die Rechte des Einzelnen gegenüber den Organen der Gemeinschaft. Zwar zeigt die Rechtsprechung des Gerichtshofes, dass die Betroffenen bereits vor der Einführung der Regelungen nicht gänzlich schutzlos gestellt waren, jedoch existiert nun neben den ungeschriebenen 187 St. Rspr. des EuGH seit Rs. C-9/70, Grad ./. Finanzamt Traunstein, Slg. 1970, 825. 188 Herrmann, in: Streinz, EUV/EGV, Art. 286 EGV, Rn. 3. 189 Ähnlich Maiani, RTD eur 2002, S. 295.

C. Ein Grundrecht auf Datenschutz

251

Gemeinschaftsgrundrechten erstmalig auch ein explizit auf die Bedürfnisse des Einzelnen beim Umgang mit Daten zugeschnittenes Recht. Im Unterschied zu dem allgemeinen Gemeinschaftsgrundrecht auf Datenschutz ist es jedoch nicht allumfassend, da es weder gegenüber den Mitgliedstaaten (soweit der Anwendungsbereich des Gemeinschaftsrechts eröffnet ist), noch im Bereich der dritten Säule Anwendung findet.190 Seinem Inhalt und seiner Zielrichtung nach handelt es sich aber, wenn auch vielleicht nicht um ein echtes Grundrecht, so jedoch eindeutig um ein grundrechtlich geprägtes Recht.191 Es liegt daher nahe, eine Verbindung zwischen dem allgemeinen Gemeinschaftsgrundrecht auf Datenschutz und diesen Vorschriften anzunehmen und sie bei der Auslegung zu berücksichtigen. Insofern ist die Annahme zutreffend, dass die materiellen Regelungen der Verordnung teilweise geeignet sind, den Schutzbereich des Grundrechts zu konkretisieren.192

C. Ein Grundrecht auf Datenschutz Inwieweit sich die primär- und sekundärrechtlichen Rechtsakte der Gemeinschaft mit datenschutzrechtlichem Bezug tatsächlich auf den Grundrechtsschutz auswirken, soll im Folgenden untersucht werden. Im Zentrum steht dabei die allgemeine Datenschutzrichtlinie als das erste und weitreichendste Instrument auf Gemeinschaftsebene. Sie nennt nicht nur in ihrem Art. 1 Abs. 1 den Grundrechtsschutz ausdrücklich als Ziel der Richtlinie, zudem heißt es im zehnten Erwägungsgrund: „Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und Grundfreiheiten, insbesondere des auch in Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen.“ 190 Zu der umstrittenen Frage der Anwendbarkeit des Art. 286 EGV auf die zweite und dritte Säule sowie den Defiziten im Datenschutz im Bereich des Unionsrechts Brühann, in: von der Groeben/Schwarze, Art. 286, Rn. 83 ff. 191 A. A. wohl Beutler, in: Von der Groeben/Schwarze (Hg.), EGV/EUV Kommentar, Art. 6 EUV Rn. 82, der über Art. 286 EGV den Schutzbereich des Rechts auf Privatlebens auch auf ein Recht auf informationelle Selbstbestimmung ausgeweitet sieht. Von einem Grundrecht geht wohl auch Nicolaysen, EuR 2003, S. 722 aus. Währenddessen spricht Reich von einem „direkt wirkenden Bürgerrecht“, Bürgerrechte in der Europäischen Union, S. 440. 192 Schorkopf, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 14 I 1, Rn. 37.

252

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Da die Herleitung der Gemeinschaftsgrundrechte auch im Bereich des Datenschutzes jedoch weiterhin dem EuGH obliegt, stellt sich die Frage, inwieweit die Datenschutzrichtlinie Eingang in die Rechtsprechung des Gerichtshofes gefunden hat.

I. Die Rechtssache TR. und P. Fisher Der erste Fall mit datenschutzrechtlichem Bezug, mit dem der Gerichtshof sich nach Erlass der Richtlinie zu beschäftigen hatte, war der Fall TR. und P. Fisher.193 Die Kläger, Herr und Frau Fisher, bewirtschafteten drei landwirtschaftliche Betriebe. Als sie beabsichtigten, Beihilfen für die Stilllegung einzelner Parzellen zu beantragen, bemühten sie sich vergeblich, die für den Antrag erforderlichen Informationen über die frühere Bewirtschaftung der Flächen zu erhalten. Nachdem weder der Eigentümer noch der vorige Pächter bereit waren, ihnen diese Informationen zu beschaffen, wandten sie sich an die zuständige Behörde. Diese verweigerte jedoch mit dem Hinweis auf das Datenschutzgesetz von 1984 (Data Protection Act) jede Weitergabe der erbetenen Informationen. Nachdem die Kläger dargelegt hatten, dass sie die erforderlichen Informationen nicht aus anderer Quelle erhalten konnten, übersandte ihnen die Behörde zwar grundlegende Angaben zu den landwirtschaftlichen Betrieben, nicht jedoch Informationen darüber, welche Kulturen nach den Felddatenausdrucken des Vorjahres auf den verschiedenen Feldern angebaut worden waren. Den daraufhin eingereichten Antrag auf die Gewährung von Ausgleichszahlungen für Flächenstilllegungen, lehnte die Behörde für zwei Parzellen ab, da für diese aufgrund der früheren Bewirtschaftung keine Stilllegungszahlungen gewährt werden konnten. Als die Behörde schließlich sogar Sanktionen verhängte, weil die Kläger nicht beihilfefähiges Land stillgelegt hatten, legten diese gegen die Entscheidung einen Rechtsbehelf ein. In dem sich anschließenden gerichtlichen Verfahren machten sie geltend, dass es zu der Stilllegung nur gekommen sei, weil die Behörde sich geweigert hatte, die erforderlichen Einzelheiten mitzuteilen. Da die Speicherung dieser Informationen auf eine Verordnung der Gemeinschaft194 zurückging, legte das mit der Sache befasste Gericht dem Gerichtshof mehrere die Auslegung dieser Verordnung betreffende Fragen vor. Darin möchte es insbesondere wissen, ob die betreffenden Vorschriften der Verordnung in Verbindung mit den allgemeinen Rechtsgrundsätzen des Gemeinschaftsrechts eine Weitergabe der Daten zulassen. 193 194

EuGH, Rs. C-369/98, TR. und P. Fisher, Slg 2000, I-6751. Verordnung (EWG) Nr. 3887/92.

C. Ein Grundrecht auf Datenschutz

253

Im Ergebnis bejaht der Gerichtshof diese Frage. Dabei weist er zunächst darauf hin, dass die betreffende Bestimmung der Verordnung ausdrücklich vorsieht, dass die Datenbank, in der die Informationen gespeichert sind, bei der zuständigen Behörde eingesehen werden kann. Zwar schreibe Art. 9 der Verordnung zugleich vor, dass die Mitgliedstaaten die erforderlichen Maßnahmen treffen müssten, um den Schutz der erhobenen Daten zu gewährleisten, jedoch enthalte die Regelung keine Angaben zu den Einzelheiten dieses Schutzes. Darüber hinaus ist nach Auffassung des Gerichtshofes auch das schutzwürdige Interesse des Beihilfeantragsstellers zu berücksichtigen. Wenn man diesem Interesse ausreichend Rechnung tragen wolle, sei die britische Regelung, die vorsah, dass die erhobenen Daten nur mit der Einwilligung des Übermittlers der Informationen weitergegeben werden durften (und dies auch nur, wenn zwingende Gründe dies erfordern) unzulässig.195 Schließlich sei bei der Entscheidung, ob bestimmte Informationen aus der Datenbank weitergegeben werde dürfen, eine Abwägung der widerstreitenden Interessen erforderlich, wobei bei einer Bewertung der Interessen der Betroffenen in Bezug auf persönliche Daten der Schutz der Freiheiten und der Grundrechte beachtet werden müsse.196 In diesem Zusammenhang verweist er auf die Datenschutzrichtlinie, die Kriterien enthalte, die geeignet seien, bei der Bewertung herangezogen zu werden.197 Auch hält der Gerichtshof es nicht weiter für problematisch, dass diese zum Zeitpunkt des Urteils noch nicht in Kraft getreten war, da „aus ihrer zehnten und elften Begründungserwägung [folge], dass sie auf Gemeinschaftsebene allgemeine Grundsätze übernahm, die in den Rechten der Mitgliedstaaten bereits anerkannt waren.“198

Nachdem er festgestellt hat, dass die Richtlinie in Art. 7 lit. f die Weitergabe von Daten zur Verwirklichung eines berechtigten Interesses des Empfängers der Daten erlaubt, sofern nicht die Rechte des Betroffenen überwiegen, weist er darauf hin, dass der Kläger im vorliegenden Fall ein wesentliches und berechtigtes Interesse wahrgenommen hatte. In letzter Konsequenz sei die Abwägung jedoch Aufgabe des nationalen Gerichts. Dem Urteil liegt eine ähnliche Konstellation wie im Fall Stauder zugrunde. Wiederum geht es um die Durchsetzung von auf einer Verordnung beruhendem Gemeinschaftsrecht durch eine nationale Behörde, jedoch mit dem Unterschied, dass der Kläger diesmal nicht den Datenschutz begehrte, sondern dessen Lockerung. In seiner Urteilsbegründung setzt sich der EuGH erstmalig ausdrücklich mit allgemeinen Fragen des Datenschutzes 195 196 197 198

EuGH, EuGH, EuGH, EuGH,

Rs. Rs. Rs. Rs.

C-369/98, C-369/98, C-369/98, C-369/98,

TR. TR. TR. TR.

und und und und

P. P. P. P.

Fisher, Fisher, Fisher, Fisher,

Slg Slg Slg Slg

2000, 2000, 2000, 2000,

I-6751, I-6751, I-6751, I-6751,

Rn Rn Rn Rn

30. 31. 33. 34.

254

Teil 3: Datenschutz in der Europäischen Gemeinschaft

auseinander und macht unmissverständlich deutlich, dass dabei Grundrechte eine wesentliche Rolle spielen. Zwar benennt er das betroffene Grundrecht nicht ausdrücklich als ein Recht auf Datenschutz, im Gegensatz zu früheren Urteilen knüpft er jedoch auch nicht vorrangig auf das Recht auf Achtung des Privatlebens an. Gleichzeitig deutet die unmittelbare Bezugnahme auf die Datenschutzrichtlinie stark darauf hin, dass er von einem weitgehend eigenständigen Recht auf Datenschutz ausgeht. Bedeutsam wird dies vor allem bei der Abwägung der widerstreitenden Interessen. Hier zeigt sich die besondere Rolle der Datenschutzrichtlinie. Da der EuGH in ihr nur eine Ausprägung der ohnehin schon in den Mitgliedstaaten anerkannten allgemeinen Grundsätze sieht, zieht er sie heran, um den Inhalt des gemeinschaftsrechtlichen Rechts auf Datenschutz zu bestimmen. Besonders bemerkenswert ist dabei, dass er explizit auf einzelne Bestimmungen der Richtlinie verweist (im konkreten Fall Art. 7 lit f.). Damit kann als gesichert gelten, dass dem Inhalt dieser Vorschrift grundrechtliche Qualität zukommt. Da diese Regelung jedoch lediglich einen von mehreren Grundsätzen in Bezug auf die Zulässigkeit der Verarbeitung von Daten zum Ausdruck bringt, ist davon auszugehen, dass alle in Art. 7 der Datenschutzrichtlinie aufgezählten Grundsätze auch Bestandteil der allgemeinen Rechtsgrundsätze der Gemeinschaft im Bereich des Datenschutzes sind. Durch die ausdrückliche Bezugnahme auf eine Vorschrift der Richtlinie unterscheidet sich der EuGH in seiner Vorgehensweise auch deutlich vom EGMR. Obwohl diesem mit der Datenschutzkonvention ebenfalls ein spezielles Instrument zur Verfügung steht, in dem grundlegende, von der überwiegenden Anzahl der Mitgliedstaaten anerkannte datenschutzrechtliche Prinzipien verankert sind, hat er es bis jetzt vermieden, auf einzelne Vorschriften Bezug zu nehmen. Stattdessen zieht er sie nur allgemein heran, um seine unter Gesichtspunkten des Datenschutzes vorgenommene Auslegung von Art. 8 EMRK zu bekräftigen. Zusammenfassend kann man sagen, dass der EuGH im Urteil TR. und P. Fisher die Existenz eines Gemeinschaftsgrundrechts auf Datenschutz anerkennt, dessen Inhalt durch die in der Datenschutzrichtlinie festgehaltenen Grundsätze geprägt wird. Zumindest die Grundsätze in Art. 7 Datenschutzrichtlinie werden auch durch das Gemeinschaftsgrundrecht gewährleistet. Zu berücksichtigen ist jedoch, dass die Entwicklung hiermit keinesfalls als abgeschlossen betrachtet werden kann. Schließlich war die Richtlinie zu dem im Verfahren maßgeblichen Zeitpunkt noch nicht in Kraft getreten, so dass das Gericht sie nicht direkt heranziehen konnte und somit unklar blieb, welche Rolle die Datenschutzrichtlinie im Grundrechtssystem der Gemeinschaft letztendlich übernehmen würde.

C. Ein Grundrecht auf Datenschutz

255

II. Die Rechtssache Österreichischer Rundfunk Die tatsächliche Bedeutung der Datenschutzrichtlinie für den Grundrechtsschutz in der Gemeinschaft zeigte sich erstmalig in der Rechtssache Österreichischer Rundfunk u.a.199 Dabei stellte sich heraus, dass sie nicht nur den Inhalt eines Gemeinschaftsgrundrechts auf Datenschutz, sondern auch dessen Reichweite beeinflusst. 1. Ausgangslage und Problemstellung Den Ausgangsverfahren lagen Rechtsstreitigkeiten zwischen zwei österreichischen Arbeitnehmern und ihrem Arbeitgeber, dem Österreichischen Rundfunk (ORF), bzw. zwischen letzterem und dem österreichischen Rechnungshof zugrunde. Dabei ging es um die Vereinbarkeit von § 8 des österreichischen Bundesverfassungsgesetzes über die Begrenzung von Bezügen öffentlicher Funktionäre (BezBegrBVG) mit den in der Richtlinie 95/46 festgelegten datenschutzrechtlichen Prinzipien. Nach § 8 BezBegrBVG sind die der Kontrolle des Rechnungshofes unterliegenden Rechtsträger verpflichtet, diesem alle an die Arbeitnehmer bzw. Ruhebezugsempfänger gezahlten Bezüge mitzuteilen, soweit ein bestimmter Betrag überschritten wird. Als jedoch einige Rechtsträger, darunter der ORF, die Weiterleitung der Informationen über die Bezüge unter Hinweis auf einen Verstoß gegen datenschutzrechtliche Grundsätze verweigerten, kam es zu einer gerichtlichen Auseinandersetzung, in deren Verlauf sich die Antragsgegner unter anderem auf die Vorschriften der Richtlinie 95/46 und Art. 8 EMRK beriefen. Eine Verletzung der aus diesen Vorschriften fließenden Rechte machten auch die Antragsgegner des anderen Ausgangsverfahrens, Frau Neukomm und Herr Lauermann, geltend. Sie hatten den Erlass von einstweiligen Verfügungen beantragt, mit denen ihrem Arbeitgeber, dem ORF (als öffentlichrechtliche Rundfunkanstalt) untersagt werden sollte, die angeforderten Daten an den Rechnungshof zu übermitteln. Die beiden mit den Sachen beschäftigten Gerichte legten dem EuGH beinahe gleichlautende Fragen vor, die dann zu einem gemeinsamen Verfahren und einer gemeinsamen Entscheidung verbunden wurden. Dabei ging es zunächst um die Auslegung der Art. 1, 2, 6, 7 und 22 der Richtlinie 96/46/EG in Verbindung mit Art. 6 EUV und Art. 8 EMRK. Die vorlegenden Gerichte wollten insbesondere wissen, ob eine nationale Regelung, die eine öffentlich-rechtliche Rundfunkanstalt als Rechtsträger zur Mitteilung und ein 199 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk u. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 65.

256

Teil 3: Datenschutz in der Europäischen Gemeinschaft

staatliches Organ zur Erhebung und Weiterleitung von Einkommensdaten zum Zweck der Veröffentlichung der Namen und Einkommen der Arbeitnehmer einer öffentlich-rechtlichen Rundfunkanstalt verpflichtet, mit diesen datenschutzrechtlichen Grundsätzen der Gemeinschaft vereinbar ist. Außerdem fragte es nach der unmittelbaren Anwendbarkeit dieser Vorschriften. 2. Das Vorbringen der Beteiligten und Erwägungen der vorlegenden Gerichte Da dem Fall ein Sachverhalt ohne grenzüberschreitenden Bezug zugrunde lag, stellte sich für die Beteiligten zunächst jedoch die Frage nach der Anwendbarkeit der Datenschutzrichtlinie. Dementsprechend finden sich in ihren Ausführungen zunächst eine Vielzahl von Argumenten, um die Anwendbarkeit zu begründen. So wurde etwa vorgebracht, dass die Kontrolltätigkeit des Rechnungshofes wegen ihrer möglichen Auswirkungen auf die Freizügigkeit der Arbeitnehmer bzw. auf deren Arbeitsbedingungen in den betroffenen Einrichtungen Gebiete erfasse, die durch gemeinschaftsrechtliche Vorschriften200 geregelt sind und daher in den Anwendungsbereich des Gemeinschaftsrechts fallen. Auch die Tatsache, dass § 8 BezBegrBVG eine Umsetzungsnorm der Richtlinie darstelle, spreche für die Anwendbarkeit des Gemeinschaftsrechts. Die vorlegenden Gerichte begründeten die Anwendbarkeit des Gemeinschaftsrechts mit dem Verweis auf den in Art. 1 Abs. 1 formulierten Gegenstand der Richtlinie. Da sie den vollen Schutz der Grundrechte und Grundfreiheiten gewährleisten wolle, müsse die Richtlinie auch auf die Verarbeitung personenbezogener Daten Anwendung finden, die für die Ausübung einer öffentlichen Kontrolltätigkeit erfolgt.201

200 Genannt wurden etwa die Sozialvorschriften des Gemeinschaftsrechts in Art. 136, 137 und 141 EGV, die Richtlinie 76/207/EWG des Rates vom 9. Februar 1976 zur Verwirklichung des Grundsatzes der Gleichbehandlung von Männern und Frauen hinsichtlich des Zugangs zur Beschäftigung, zur Berufsbildung und zum beruflichen Aufstieg sowie in Bezug auf die Arbeitsbedingungen und die Verordnung (EWG) Nr. 1408/71 des Rates vom 14. Juni 1971 zur Anwendung der Systeme der sozialen Sicherheit auf Arbeitnehmer und Selbständige sowie deren Familienangehörige, die innerhalb der Gemeinschaft zu- und abwandern, in der durch die Verordnung (EG) Nr. 118/97 des Rates vom 2. Dezember 1996 geänderten und aktualisierten Fassung. 201 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk u. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Schlussanträge GA Tizzano, Slg. 2003, I-4989, Rn. 50 ff.

C. Ein Grundrecht auf Datenschutz

257

3. Die Schlussanträge von Generalanwalt Tizzano Generalanwalt Tizzano geht in seinen Schlussanträgen davon aus, dass die Erhebung der Daten, ihre Weiterleitung und anschließende Veröffentlichung im vorliegenden Fall nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen und daher nicht vom Anwendungsbereich der Richtlinie erfasst werden. Folglich sei der Gerichtshof für die Prüfung der Vereinbarkeit einer solchen Vorschrift mit den allgemeinen Grundsätzen des Gemeinschaftsrechts im Bereich des Datenschutzes unzuständig. Als ein Argument für die Unanwendbarkeit der Richtlinie 95/46 führt der Generalanwalt an, dass es sich bei der in Frage stehenden Tätigkeit um eine öffentliche Kontrolltätigkeit handele, die von den österreichischen Stellen aufgrund einer selbständigen politisch-institutionellen Entscheidung vorgesehen und mit Verfassungsrang geregelt wurde. Folglich diene sie nicht der Erfüllung einer gemeinschaftsrechtlichen Verpflichtung.202 Äußerst knapp geht er auch auf die von den Beteiligten vorgebrachten Argumente ein. Hinsichtlich des Zusammenhangs zu Art. 141 und Art. 39 EGV führt er an, dass „niemand wirklich [hat] erklären können, welche Bedeutung die hier fragliche Tätigkeit im Hinblick auf Art. 141 EG haben könnte“. Noch eindeutiger lehnt er jeglichen Bezug zu Art. 39 EGV ab. Da sich grenzüberschreitende Aspekte aus den Vorlagebeschlüssen allenfalls hypothetisch ergäben, erscheine ihm dieses Argument als „bemüht und jedenfalls nicht überzeugend“.203 Im Wesentlichen stützt er seine Auffassung aber auf die Rechtsgrundlage der Datenschutzrichtlinie, Art. 95 EGV. Hauptzweck der Richtlinie sei es, den freien Verkehr personenbezogener Daten zu fördern, während die Wahrung der Grundrechte lediglich ein wesentlicher Wert und Erfordernis sei, dem der Gemeinschaftsgesetzgeber Rechnung getragen habe und der somit keinen selbständigen Regelungsgegenstand der Richtlinie darstelle. Dies veranlasst ihn zu dem Schluss, dass die Richtlinie den Einzelnen hinsichtlich der Verarbeitung personenbezogener Daten nur insoweit zu schützen beabsichtige, als dies der Förderung des freien Datenverkehrs diene. Andernfalls käme es seiner Auffassung nach zu der „unangemessenen Folge, dass auch Datenverarbeitungen im Rahmen der Ausübung von Tätigkeiten, die mit der Errichtung und dem Funktionieren des Binnenmarktes nichts zu tun haben, in den Anwendungsbereich der Richtlinie fallen würden.“204 202

EuGH, verb. chischer Rundfunk Schlussanträge GA 203 EuGH, verb. chischer Rundfunk Schlussanträge GA

Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreiu. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Tizzano, Slg. 2003, I-4989, Rn. 43. Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreiu. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Tizzano, Slg. 2003, I-4989, Rn. 46.

258

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Ein selbständiges Ziel der Richtlinie könne die Wahrung der Grundrechte aber schon deshalb nicht darstellen, weil die Gemeinschaft dann die ihr im Rahmen der Kompetenznorm des Art. 95 EGV gewährten Befugnisse überschritten hätte. In diesem Zusammenhang weist der Generalanwalt darauf hin, dass der Gerichtshof erst kürzlich festgestellt habe,205 dass Maßnahmen gemäß Art. 95 EGV die Voraussetzungen für die Errichtung und das Funktionieren des Binnenmarktes verbessern sollen. Dabei geht Generalanwalt Tizzano offensichtlich davon aus, dass dem Schutz der Grundrechte eine solche Funktion nicht zukomme. Wenn man die Wahrung der Grundrechte dennoch als eigenständiges Ziel der Richtlinie anerkenne, wandele man die Vorschrift in eine allgemeine Kompetenz zur Regelung des Binnenmarktes um. Dies widerspreche nicht nur dem Wortlaut der Bestimmung, sondern sei auch mit dem in Art. 5 EGV verankerten Prinzip der begrenzten Einzelermächtigung unvereinbar. Einen Konflikt mit dem Prinzip der begrenzten Einzelermächtigung hält er im vorliegenden Fall aber schon deshalb für offensichtlich, weil der Gerichtshof im Gutachten 2/94206 ausdrücklich bekräftigt habe, dass keine Bestimmung des Vertrages den Gemeinschaftsorganen allgemein die Befugnis verleihe, Vorschriften auf dem Gebiet der Menschenrechte zu erlassen. 4. Die Auffassung des Gerichts Der Gerichtshof schließt sich den Schlussanträgen des Generalanwalts nicht an. Er ist der Auffassung, dass die Kontrolltätigkeit des Rechnungshofes durchaus in den Anwendungsbereich der Datenschutzrichtlinie fällt. Bedenken bestünden jedoch hinsichtlich der Vereinbarkeit der österreichischen Vorschrift mit den Regelungen der Richtlinie, deren Überprüfung im konkreten Fall aber Aufgabe des nationalen Gerichts sei. a) Die Anwendbarkeit der Richtlinie Zunächst setzt sich der EuGH ausführlich mit den von Generalanwalt Tizzano vorgebrachten Argumenten auseinander, kommt aber – anders als dieser – zu dem Ergebnis, dass sich aus der Heranziehung von Art. 95 EGV als Rechtsgrundlage keine Rückschlüsse auf einen engen Anwen204 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk u. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Schlussanträge GA Tizzano, Slg. 2003, I-4989, Rn. 53. 205 EuGH, Rs. C-376/98, Deutschland/Parlament und Rat, Slg. 2000, I-8419. 206 EuGH, Gutachten 2/94 zum Beitritt der Gemeinschaft zur Konvention zum Schutze der Menschenrechte und Grundfreiheiten, Slg. 1996, I-1759.

C. Ein Grundrecht auf Datenschutz

259

dungsbereich der Richtlinie ziehen lassen. Unter Berufung auf die Urteile Deutschland/Parlament und Rat zur Tabakrichtlinie207 und British American Tabacco208 stellt er fest, dass es für die Rechtfertigung der Verwendung von Art. 95 EGV entscheidend darauf ankomme, dass der Rechtsakt tatsächlich die Bedingungen für die Errichtung und das Funktionieren des Binnenmarktes verbessern solle. Die Heranziehung von Art. 95 EGV als Rechtsgrundlage setze aber nicht voraus, dass in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen den Mitgliedstaaten bestehe. Andernfalls wäre die Abgrenzung des Anwendungsbereichs ungewiss und hinge von Zufälligkeiten ab. Dies liefe seiner Meinung nach aber dem Hauptzweck der Richtlinie zuwider, der darin bestehe, die Rechtsund Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen. Diese weite Interpretation des Anwendungsbereiches sieht der Gerichtshof auch durch den Wortlaut der Richtlinie bestätigt.209 b) Die Vereinbarkeit der nationalen Vorschrift mit der Datenschutzrichtlinie Nachdem der Gerichtshof die grundsätzliche Anwendbarkeit der Richtlinie bejaht hat, untersucht er, ob die österreichische Vorschrift, die Rechtsträger zur Mitteilung und staatliche Organe zur Erhebung und Weiterleitung von Einkommensdaten verpflichtet, mit der Richtlinie vereinbar ist. Dabei stellt er zunächst fest, dass die Speicherung und Übermittlung der Daten den Tatbestand der Verarbeitung personenbezogener Daten im Sinne von Art. 2 lit. b der Richtlinie erfüllt. Dies hat zur Folge, dass die Grundsätze in Bezug auf die Qualität der Daten aus Art. 6 – hier insbesondere der lit. b und c – zu beachten sind. Danach dürfen Daten ausschließlich für eindeutige und festgelegte Zwecke erhoben, nur in Übereinstimmung mit diesen Zwecken weiterverarbeitet werden und nicht über die Zwecke, für die sie erhoben und/oder weiterverarbeitet werden, hinausgehen. Weiterhin müssten 207 EuGH, Rs. C-376/98, Deutschland/Parlament und Rat, Slg. 2000, I-8419, Rn. 85. 208 EuGH, Rs. C-491/01, British American Tobacco Investments und Imperial Tobacco, Slg. 2002, I-1453, Rn. 60. 209 Hier führt das Gericht gleich mehrere Vorschriften an. So werde zum einen der Anwendungsbereich in Art. 3 Abs. 1 sehr weit definiert und nicht davon abhängig gemacht, dass die Datenverarbeitung in einem tatsächlichen Zusammenhang mit dem freien Verkehr zwischen den Mitgliedstaaten stehe. Auch sind nach seiner Auffassung die in Art. 3 Abs. 2 genannten Ausnahmen anders formuliert und nicht auf die Tätigkeiten beschränkt, die in den Anwendungsbereich des Unionsvertrages fallen bzw. persönliche oder familiäre Angelegenheiten betreffen, siehe dazu Rn. 43 ff. des Urteils.

260

Teil 3: Datenschutz in der Europäischen Gemeinschaft

die Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten aus Art. 7 der Richtlinie beachtet werden. Anschließend weist der Gerichtshof auf die in Art. 13 aufgezählten Ausnahmen und Einschränkungen hin. Bevor er sich aber mit der Frage der Einschränkbarkeit auseinandersetzt, gibt der EuGH zu bedenken, dass die Bestimmungen der Richtlinie, soweit sie die Verarbeitung personenbezogener Daten betreffen, die zu Beeinträchtigungen insbesondere des Rechts auf Privatleben führen können, im Lichte der Gemeinschaftsgrundrechte auszulegen sind. Dies ergebe sich schon daraus, dass der Schutz der Grundrechte – wenn auch nicht als Hauptziel – Eingang in Art. 1 Abs. 1 und die Begründungserwägungen der Richtlinie gefunden habe.210 Daher sei für die Anwendung der Richtlinie und insbesondere der Art. 6 Abs. 1 lit. c, 7 lit. c und e und Art 13 zunächst zu prüfen, ob die betreffende Regelung einen Eingriff in die Privatsphäre darstellt und ob gegebenenfalls ein solcher Eingriff nach Art. 8 EMRK gerechtfertigt ist. Daher sieht sich der Gerichtshof veranlasst, eine umfassende Prüfung der Vereinbarkeit der österreichischen Regelung mit Art. 8 EMRK vorzunehmen. Hinsichtlich des Anwendungsbereichs von Art. 8 stellt er fest, dass der Europäische Gerichtshof für Menschenrechte (EGMR) in den Urteilen Amann 211 und Rotaru 212 den Begriff des Privatlebens weit ausgelegt hat, so dass auch berufliche Tätigkeiten erfasst werden. Daher falle die Erhebung personenbezogener Daten über die beruflichen Einkünfte Einzelner zur Weitergabe an Dritte in den Anwendungsbereich des Art. 8 EMRK. Auch stelle die Weitergabe einen Eingriff in dieses Recht dar, da es, wie der EGMR ebenfalls in Amann festgestellt habe, dabei nicht darauf an210 So heißt es in der zehnten Begründungserwägung: „Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen.“ Die elfte Begründungserwägung stellt fest, dass die in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Grundrechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphäre, die in dem Übereinkommen des Europarates vom 28. Januar 1981 zum Schutze der Personen bei der automatischen Verarbeitung personenbezogener Daten enthaltenen Grundsätze konkretisieren und erweitern. 211 EGMR, Urteil vom 16. Februar 2000, Reports 2000-II, § 65, siehe dazu oben unter Teil 2, A.I.2.b)cc)(4)(a). 212 EGMR, Urteil vom 4. Mai 2000, Reports 2000-V, § 43, siehe dazu oben unter Teil 2, A.I.2.b)cc)(4)(b).

C. Ein Grundrecht auf Datenschutz

261

komme, ob die Informationen als sensibel anzusehen sind oder ob die Betroffenen Nachteile erlitten haben. Bei der Untersuchung der Rechtfertigung lässt der Gerichtshof zunächst offen, ob § 8 Abs. 3 BezBegrG den Anforderungen, die der EGMR an die Vorhersehbarkeit gesetzlicher Regelungen stellt, genügt und geht sogleich auf die Frage der Verhältnismäßigkeit ein. Die Regelung habe das Ziel, Druck auf die Rechtsträger auszuüben, um die Bezüge in angemessenen Grenzen zu halten. Da Art. 8 Abs. 2 EMRK auf das wirtschaftliche Wohl des Landes abstelle und Art. 6 Abs. 1 lit. b auf festgelegte, eindeutige und rechtmäßige Zwecke Bezug nehme, sei ein solches Ziel durchaus als berechtigter Zweck im Sinne dieser Vorschriften anzusehen. Sodann prüft er, ob dieser Eingriff in einer demokratischen Gesellschaft für die Erreichung des mit ihm verfolgten berechtigten Zwecks notwendig ist. Auch hier orientiert sich der Gerichtshof an der Rechsprechung des EGMR213 und benennt die gegeneinander abzuwägenden Rechtsgüter: das Interesse Österreichs an der bestmöglichen Verwaltung öffentlicher Mittel einerseits und die Schwere der Beeinträchtigung des Privatlebens der Betroffenen andererseits. Auch wenn die Abwägung letztendlich Aufgabe des nationalen Gerichts sei, wirft das Gericht doch die Frage auf, ob der Zweck nicht ebenso wirksam erreicht werden könnte, wenn die personenbezogenen Daten ausschließlich den Kontrollorganen zugänglich gemacht und zudem nur die Bezüge allgemein und nicht die tatsächlichen Jahreseinkünfte gegenüber der Öffentlichkeit mitgeteilt würden, da diese Rückschlüsse auf die persönliche und familiäre Situation der einzelnen Arbeitnehmer zuließen. Auch erscheine es aus seiner Sicht nicht ausgeschlossen, dass durch die Veröffentlichung des Einkommens die Einstellungsmöglichkeit der Betroffenen bei einem anderen Unternehmen inner- oder außerhalb Österreichs geschmälert würden. Käme das nationale Gericht zu dem Ergebnis, dass die Regelung unverhältnismäßig und daher nicht mit Art. 8 Abs. 2 EMRK vereinbar ist, hätte dies zur Folge, dass die Vorschrift zwangsläufig auch nicht den Erfordernissen der Verhältnismäßigkeit in den Art. 6 Abs. 1 lit. c und Art. 7 lit. c oder e der Richtlinie genügt.214 213 Danach ist eine Maßnahme notwendig, wenn ein zwingendes gesellschaftliches Bedürfnis besteht und sie in einem angemessenen Verhältnis zu dem verfolgten Zweck steht, siehe u. a. EGMR, Urteil vom 24. November 1986, Gillow/Vereinigtes Königreich, Serie A, Nr. 109, § 55. 214 Die Frage der unmittelbaren Anwendbarkeit der Vorschriften der Richtlinie, die sich anschließend stellt, wirft keine weiteren Probleme auf. Das Gericht hält die Bestimmungen der Art. 6 Abs. 1 lit. c und Art. 7 lit. c und e der Richtlinie 95/46 für hinreichend genau, damit sich ein Einzelner vor nationalen Gerichten auf sie berufen kann.

262

Teil 3: Datenschutz in der Europäischen Gemeinschaft

5. Bewertung Bei dem Urteil Österreichischer Rundfunk handelt es sich um eine Leitentscheidung zum Datenschutz in der Gemeinschaft. Im Zentrum stehen die Aussagen des EuGH zur Reichweite der Richtlinie und der Vereinbarkeit der nationalen Vorschrift mit den datenschutzrechtlichen Grundsätzen der Gemeinschaft. Indem er einen weiten Anwendungsbereich der Richtlinie annimmt, ist es ihm möglich, eine Überprüfung nationaler Vorschriften anhand von Gemeinschaftsgrundrechten vorzunehmen. Der dabei anzulegende Maßstab ergibt sich aus den Vorschriften der Datenschutzrichtlinie und Art. 8 EMRK. Zugleich fügt sich das Urteil in eine Reihe von Entscheidungen zu Kompetenzfragen der Gemeinschaft ein.215 a) Die Anwendbarkeit der Richtlinie Das Urteil des Gerichtshofs zeigt, dass der Datenschutzrichtlinie ein sehr weiter Anwendungsbereich zukommt, der sich auch auf rein innerstaatliche Sachverhalte erstrecken kann. Damit erweitert die Richtlinie den durch die direkte Anwendung der Grundfreiheiten gewährleisteten Schutz, der einen grenzüberschreitenden Bezug voraussetzt.216 Dieses Ergebnis erscheint in sofern nachvollziehbar, als dass – wie bereits gezeigt – Art. 3 Abs. 2 der Richtlinie durchaus eine Auslegung zulässt, nach der lediglich Tätigkeiten, die nicht in den Kompetenzbereich der Gemeinschaft fallen, von der Anwendung der Richtlinie ausgenommen sind.217 Dementsprechend finden sich auch in der Literatur zur Datenschutzrichtlinie218 nur wenige Hinweise zur Auslegung der in Art. 3 Abs. 2 formulierten Ausnahmen. Man ging wohl weitgehend davon aus,219 dass die Datenschutzrichtlinie, ebenso wie andere Harmonisierungsregelungen, nicht nur auf grenzüberschreitende 215 Zu dieser Frage siehe Siemen, EuR 2004, S. 311 ff.; siehe auch Coudray, CMLR Vol. 41 (2004), S. 1368. 216 So auch schon Brühann, in: Grabitz/Hilf, Bd. III, A 30, Rn. 43. 217 Dafür, dass lediglich die zweite und dritte Säule der EU nicht in den „Anwendungsbereich des Gemeinschaftsrechts“ fällt, auch Simitis, Data Protection in the European Union – the Quest for Common Rules, in: Weber (Hg.), AEL 1997 Vol VIII-I, S. 95 (117). 218 Siehe dazu die Hinweise bei Dammann/Simitis, EG-Datenschutzrichtlinie, S. 11; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 3. 219 Vgl. Vassilaki, REDP 1994, S. 114. Hingegen geht Schild davon aus, dass es für eine Abgrenzung zwischen gemeinschaftsbezogenen und nicht gemeinschaftsbezogenen öffentlichen Bereichen entscheidend auf die Binnenmarktrelevanz ankomme und diese daher bei der Umsetzung der Richtlinie – außer in klassischen Gebieten wie dem Strafrecht – nur schwer zu leisten sein wird, Schild, EuZW 1996, S. 550.

C. Ein Grundrecht auf Datenschutz

263

Sachverhalte Anwendung findet, sondern auch die ausschließlich im Inland stattfindende Datenverarbeitung erfasst.220 Indem der EuGH die Reichweite der Richtlinie unabhängig von den Voraussetzungen für die Anwendbarkeit primärrechtlichen Vorschriften über den Binnenmarkt bestimmt, trägt er zudem der besonderen Rolle des Datenschutzes in der Gemeinschaft Rechnung, dessen ausdrückliche Aufgabe es ist, einen Ausgleich zwischen dem Interesse an einem möglichst ungehinderten Datenverkehr und dem Schutz der Persönlichkeit herzustellen.221 Sehr viel stärker als beispielsweise bei dem Recht auf Achtung des Privatlebens aus Art. 8 EMRK oder dem deutschen Grundrecht auf informationelle Selbstbestimmung kommt hierin der wirtschaftliche Bezug dieses Rechts zum Ausdruck. So verpflichtet Art. 1 Abs. 1 der Datenschutzrichtlinie zwar die Mitgliedstaaten, bei der Verarbeitung personenbezogener Daten die Grundrechte und Grundfreiheiten zu achten, zugleich darf der Grundrechtsschutz aber nicht zu einer Beschränkung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten führen. Folglich können die Mitgliedstaaten nur bei rein nationalen Sachverhalten die Maßnahmen zum Grundrechtsschutz frei bestimmen. Aufgrund der immer komplexeren technischen Möglichkeiten und der unüberschaubaren Anzahl von Datenverarbeitungsvorgängen stellt sich aber das Problem der Kontrolle. Insbesondere durch den Austausch von Daten über das Internet ist es heute beinahe unmöglich festzustellen, ob nicht unter Umständen auch der Datenaustausch zwischen den Mitgliedstaaten betroffen ist. Insofern bietet es sich in der Tat an, bereits im Vorfeld sicherzustellen, dass der freie Datenverkehr sowie die Rechte des Individuums, und hier insbesondere die Privatsphäre, gewahrt werden. Dies erreicht der Gerichtshof durch eine Vorverlagerung des Anwendungsbereichs der durch die Datenschutzrichtlinie gewährleisteten Datenschutzgrundrechte der Gemeinschaft. Die Notwendigkeit der Anwendbarkeit der Datenschutzrichtlinie ergibt sich so gleichsam aus der Natur der Sache, nämlich dem einzelnen Datum als kaum kontrollierbare Einheit.

220

Siehe etwa Däubler, in: Tinnefeld/Philipps/Heil (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 118, Fn. 33 Brühann, AfP 1998, S. 346. Eine ausführlichere Auseinandersetzung findet sich bei Siemen, EuR 2004, S. 312 f. 221 So für die Telekommunikation Gridl, Datenschutz in globalen Telekommunikationssystemen, S. 16; kritisch zu dieser Vorgehensweise aber Classen, CMLR 41 (2004), S. 1382.

264

Teil 3: Datenschutz in der Europäischen Gemeinschaft

b) Das Grundrecht auf Datenschutz – Das Zusammenspiel mit Art. 8 EMRK In dem darauf folgenden Abschnitt, in dem der Gerichtshof sich mit der Vereinbarkeit der nationalen Regelung mit den gemeinschaftsrechtlichen Vorschriften über den Datenschutz auseinandersetzt, erhellt er das Verhältnis zwischen der Datenschutzrichtlinie und den allgemeinen Rechtsgrundsätzen im Bereich des Datenschutzes bzw. Art. 8 EMRK. Dass dies notwendig war, deutet sich schon in den Vorlagefragen der Gerichte an. So hatte etwa das Gericht im Verfahren Neukomm/Lauermann, in dem die Antragsteller eine Verletzung sowohl ihrer Grundrechte – insbesondere des in Art. 8 EMRK verankerten Rechts auf Achtung des Privatlebens – als auch der Bestimmungen der Richtlinie geltend gemacht hatte, gefragt, wie einzelne Vorschriften der Richtlinie in Verbindung mit Art. 6 EU und Art. 8 EMRK auszulegen seien.222 Nachdem dieses Verfahren mit der Rechtssache Österreichischer Rundfunk zu einem gemeinsamen Verfahren verbunden worden war, formulierte der Gerichtshof eine gemeinsame, allgemeine Vorlagefrage. Er geht davon aus, dass es den vorlegenden Gerichten im Wesentlichen um die Vereinbarkeit der nationalen Regelung mit der Datenschutzrichtlinie geht. Dementsprechend prüft er zunächst, ob die nationale Regelung den Grundsätzen der Datenschutzrichtlinie entspricht. Er weist darauf hin, dass jede Verarbeitung personenbezogener Daten den Grundsätzen in Bezug auf die Qualität der Daten aus Art. 6 genügen muss, wobei die Regeln hinsichtlich der Zulässigkeit der Verarbeitung aus Art. 7 der Richtlinie beachtet werden müssen. Ausnahmen seien ausschließlich aus den durch Art. 13 der Richtlinie zugelassenen Gründen möglich.223 Da die Bestimmungen der Richtlinie ihrerseits im Lichte der Grundrechte auszulegen sind, untersucht er zugleich, ob die staatliche Regelung mit den Grundrechten und Grundfreiheiten und „insbesondere dem Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ vereinbar ist. In den Augen des EuGH ist dies die Voraussetzung für die Anwendung der Datenschutzrichtlinie und hierbei insbesondere der Vorschriften der Art. 6 Abs. 1 lit. c, Art. 7 lit. c und e und Art. 13.224 Insofern zeigt sich zunächst kaum ein Unterschied zu der Vorgehensweise im Fall TR. und P. Fisher. Ebenso wie die Verordnung aus dem Agrar222 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk u. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Schlussanträge GA Tizzano, Slg. 2003, I-4989, Rn. 22. 223 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 65. 224 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 72.

C. Ein Grundrecht auf Datenschutz

265

bereich legt der EuGH nun auch die Datenschutzrichtlinie am Maßstab der Grundrechte aus, wobei insbesondere der Datenschutz zu beachten ist. Hier stößt er allerdings auf das Problem, dass er im Fall TR. und P. Fisher festgestellt hatte, dass sich die Einzelheiten der Ausprägung dieses Rechts aus den Vorschriften der Richtlinie entnehmen lassen. Streng genommen müsste er also die Richtlinie am Maßstab der Richtlinie überprüfen. Um einen Zirkelschluss zu vermeiden, bleibt ihm letztendlich nur die Überprüfung am Maßstab des Art. 8 EMRK. Dies veranlasst den EuGH zu einer eingehenden Auseinandersetzung mit der Rechtsprechung des EGMR zur Beurteilung der Verarbeitung personenbezogner Daten im Zusammenhang mit Art. 8 EMRK. Dabei stehen die Urteile des EGMR in den Sachen Amann und Rotaru im Mittelpunkt und im Ergebnis kann der EuGH einen Eingriff in das Recht auf Achtung des Privatlebens unproblematisch feststellen. Anschließend prüft er ebenso ausführlich die Rechtfertigung des Eingriffs in Art. 8 EMRK. Obwohl der Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens nicht über die Vereinbarkeit einer nationalen Rechtsnorm mit dem Gemeinschaftsrecht entscheiden kann, sondern lediglich befugt ist, dem vorlegenden Gericht alle Kriterien für die Auslegung des Gemeinschaftsrechts an die Hand zu geben, damit dieses die Lage selbst beurteilen kann,225 kommt seine Einschätzung im Ergebnis doch einer solchen Gültigkeitsentscheidung gleich. Zum einen schlägt der Gerichtshof vor, auf die Veröffentlichung der Einkommensdaten zu verzichten und sie nur dem Rechnungshof zugänglich zu machen; zum anderen lässt er erkennen, dass er in der österreichischen Regelung einen relativ schwerwiegenden Eingriff in das Recht auf Privatleben des Betroffenen sieht. Im Ergebnis nimmt der EuGH damit eine Prüfung am Maßstab von Art. 8 EMRK vor, die sich – bis auf das nicht ausdrücklich formulierte Ergebnis – in Umfang und Prüfungsintensität von den Urteilen des EGMR nicht merklich unterscheidet. Es ist auffällig, wie eng der EuGH sich im Vergleich zu vorangegangenen Urteilen an Art. 8 EMRK und der dazu entwickelten Rechtsprechung des EGMR orientiert.226 So nimmt er – soweit ersichtlich – erstmalig auch bei der Prüfung der Schranken des Gemeinschaftsgrundrechts auf die Rechtfertigungsmöglichkeiten des Art. 8 Abs. 2 EMRK Bezug, indem er untersucht, ob die Maßnahmen „in einer demokratischen Gesellschaft notwendig“ sind. Gleichwohl zeigt sich an dieser Stelle auch, wie eng die Verzahnung zwischen Art. 8 ERMK und der Datenschutzrichtlinie in den Augen des EuGH ist. So stellt er fest, dass der Zweck der Maßnahme – nämlich die Ausübung von Druck auf die Rechtsträger, um die 225 226

EuGH, Rs. 292/92, Hünermund, Slg. 1993, I-6787, Rn. 8. So auch Classen, CMLR 41 (2004), S. 1384.

266

Teil 3: Datenschutz in der Europäischen Gemeinschaft

Bezüge in angemessenen Grenzen zu halten – sowohl als berechtigtes Ziel im Sinne von Art. 8 Abs. 2 EMRK als auch von Art. 6 Abs. 1 lit. b der Richtlinie anzusehen ist. Es bestätigt sich, dass es systematische Gründe sind, die den EuGH zwingen, die allgemeinen Rechtsgrundsätze des Rechts auf Datenschutz in erster Linie aus Art. 8 EMRK herzuleiten.227 In dem Urteil finden sich daher auch eindeutige Hinweise, dass er den Grundsätzen aus Art. 6, 7 und 13 der Datenschutzrichtlinie ebenfalls grundrechtliche Qualität zumisst. Insgesamt hat es den Anschein, als lege der EuGH Art. 8 EMRK seinerseits im Lichte der Datenschutzrichtlinie aus. So fällt hinsichtlich der Auslegung von Art. 8 EMRK bei genauerer Betrachtung ein gravierender Unterschied ins Auge. Im Gegensatz zum Straßburger Gerichtshof hält der EuGH einen Bezug der Daten zum Privatleben nicht für erforderlich, um den Anwendungsbereich von Art. 8 EMRK als eröffnet anzusehen. Der Schutzbereich des durch den EuGH garantierten Rechts ist damit weiter als der des Rechts auf Datenschutz unter der Konvention. Obwohl an sich also Art. 8 EMRK den Maßstab für den Datenschutz auf Gemeinschaftsebene bildet, da ein Verstoß gegen diese Vorschrift zwangsläufig zur Unvereinbarkeit mit den maßgeblichen Bestimmungen der Datenschutzrichtlinie führt,228 ist das Recht auf Datenschutz in der Gemeinschaft daher nicht vollständig deckungsgleich mit dem Konventionsrecht. Gleichwohl kommt ihm eine grundrechtliche Qualität zu. Der grundrechtliche Bezug des Falles zeigt sich bereits in der Formulierung der Vorlagefrage. Die Bestimmungen der Datenschutzrichtlinie werden in unmittelbarem Zusammenhang mit den für die Herleitung von Gemeinschaftsgrundrechten relevanten Vorschriften genannt. Auch die dem Ausgangsverfahren Neukomm/Lauermann zugrunde liegende Fallkonstellation macht die grundrechtliche Relevanz des Urteils deutlich. Da sich die Antragsgegner gegenüber dem Staat auf die Unvereinbarkeit der Regelung des § 8 BezBegrBVG mit datenschutzrechtlichen Grundsätzen beriefen, ging es in dem Verfahren unter anderem um die Geltendmachung von Rechten im Verhältnis zwischen Bürger und Staat, also einem Bereich, der traditionell durch Grundrechte geregelt ist.229 Nationale Grundrechte spielten im Ausgangsverfahren jedoch keine Rolle. Die Antragsgegner machten nicht ihre Rechte aus § 1 Datenschutzgesetz 1978 und 227 Dies verkennt Classen, CMLR 41 (2004), S. 1383, wenn er kritisiert, dass der EuGH Art. 8 EMRK bei der Auslegung zu große Bedeutung zumisst. 228 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01 Rechnungshof/Österreichischer Rundfunk u. a. und Neukomm und Lauermann/Österreichischer Rundfunk, Rn. 91. 229 So für die deutschen Grundrechte BVerfGE 7, 198 (294); für die Gemeinschaftsgrundrechte statt vieler: Rengeling, Grundrechtsschutz in der Europäischen Gemeinschaft, 1993, S. 203.

C. Ein Grundrecht auf Datenschutz

267

Art. 8 EMRK, sondern aus Art. 8 EMRK und der EG-Datenschutzrichtlinie geltend. Allerdings kommt die Datenschutzrichtlinie zunächst nur in ihrer objektiven (Grundrechts-)Funktion zum Tragen. Eine subjektivrechtliche und damit eine eigenständige grundrechtliche Bedeutung erhält sie erst im Zusammenhang mit der unmittelbaren Anwendbarkeit, da sich nur dann der Einzelne auch gegenüber dem Staat auf ihre Bestimmungen berufen kann. c) Ergebnis Durch sein Urteil im Fall Österreichischer Rundfunk ist es dem EuGH gelungen, den Grundrechtsschutz durch Gemeinschaftsgrundrechte weit voranzutreiben und dadurch die nationalen Grundrechte in ihrer Bedeutung zurückzudrängen.230 Durch die extensive Auslegung des Anwendungsbereiches kann sich der Einzelne auch bei rein nationalen Sachverhalten auf unmittelbar anwendbare Vorschriften der Datenschutzrichtlinie berufen. Da die Richtlinie ihrerseits auf die Grundrechte und Grundfreiheiten verweist, sieht sich der Gerichtshof außerdem veranlasst, die in Frage stehende Regelung nicht nur am Maßstab der Richtlinie, sondern auch anhand der allgemeinen Rechtsgrundsätze des Gemeinschaftsrechts im Bereich des Datenschutzes zu beurteilen. Letztlich kommt es damit zu einer Grundrechtsprüfung.231

III. Das Urteil Lindquist Nur kurze Zeit später erhielt der EuGH erneut Gelegenheit, zum Datenschutz in der Gemeinschaft Stellung zu nehmen. Aus grundrechtlicher Sicht enthält das Urteil jedoch nur wenige Neuerungen, seine Bedeutung liegt vor allem in der Aufklärung von Fragen, die sich im Zusammenhang mit der Datenschutzrichtlinie und ihrer Anwendbarkeit auf die Verarbeitung personenbezogener Daten im Internet stellten.232 Dementsprechend soll sich die folgende Darstellung auf einzelne Aspekte des Urteils beschränken.233 230 Einen Konflikt zwischen den beiden Ebenen des Grundrechtschutzes prophezeite bereits Kilian, Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld/Philipps/Heil (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 99. Jedoch hat sich die Abschwächung der Freiheitsgarantien im Vergleich zum deutschen Recht bisher nicht bewahrheitet. 231 Zu den Auswirkungen, die dies für den Grundrechtsschutz des Einzelnen hat, siehe Siemen, EuR 2004, S. 316. 232 Insgesamt betrachtet steht das Urteil, jedenfalls was die Anwendbarkeit der Richtlinie betrifft, im Schatten der Entscheidung Österreichischer Rundfunk. Dabei ist jedoch anzumerken, dass Generalanwalt Tizzano seinen Schlussantrag im Fall Lindquist zeitlich vor dem im Fall Österreichischer Rundfunk gestellt hatte und in letzterem lediglich auf seine Ausführungen in der Sache Lindquist verweist. Dies zeigt den engen Zusammenhang, der zwischen den beiden Entscheidungen besteht.

268

Teil 3: Datenschutz in der Europäischen Gemeinschaft

1. Ausgangslage und Vorlagefragen Frau Lindquist hatte in ihrer Kirchengemeinde in Schweden eine Internetseite eingerichtet, um Konfirmanden den Zugang zu Informationen zu erleichtern. Bereitgestellt wurden Informationen über Frau Lindquist, die in der Gemeinde als Katechetin tätig war, und einige ihrer Arbeitskollegen, die über die Existenz der Seite jedoch nicht unterrichtet waren. Nachdem Frau Lindquist erfahren hatte, dass die Webseite von einigen Kollegen missbilligt worden war, nahm sie die Seite umgehend aus dem Netz. Die schwedische Staatsanwaltschaft leitete jedoch Strafverfolgungsmaßnahmen wegen eines Verstoßes gegen das schwedische Gesetz über personenbezogene Daten (PUL) ein, durch das die Richtlinie 95/46 in schwedisches Recht umgesetzt worden war. Im Rahmen des dann folgenden Gerichtsverfahrens legte das schwedische Gericht mehrere die Auslegung der Richtlinie betreffende Fragen vor. 2. Stellungnahme des Gerichts Durch die umfassenden und breit gefächerten Vorlagefragen erhielt der Gerichtshof Gelegenheit, zu vielen bisher ungeklärten Aspekten der Datenschutzrichtlinie Stellung zu nehmen. Eingangs stellt er fest, dass es sich bei einem erkenntlichen Hinweis auf eine Person auf einer Internetseite um eine Verarbeitung personenbezogener Daten handelt.234 Da es zur Wiedergabe der Informationen auf einer Internetseite nach dem gegenwärtigen Stand der Technik eines Hochladens der Seite auf einen Server sowie anderer damit verbundener Vorgänge bedürfe, um die Seiten zugänglich zu machen und diese Vorgänge zumindest teilweise in automatisierter Form erfolgten, handele es sich auch um eine automatisierte Verarbeitung personenbezogener Daten.235 Weiterhin hatte sich der EuGH damit auseinanderzusetzen, ob die besagte Handlung unter eine der in Art. 3 Abs. 2 Richtlinie 95/46 genannten Ausnahmen fällt. Hier wiederholt der Gerichtshof zunächst seine Aussage aus dem Fall Österreichischer Rundfunk, in dem er festgestellt hatte, dass die Formulierung „Tätigkeiten, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen“ nicht dahin ausgelegt werden könne, dass in jedem Einzelfall geprüft werden muss, ob die betreffende konkrete Tätigkeit 233

Zu weiteren Einzelheiten siehe Siemen, EuR 2004, S. 317 ff. EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 25. 235 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 27. 234

C. Ein Grundrecht auf Datenschutz

269

den freien Verkehr zwischen den Mitgliedstaaten unmittelbar beeinträchtigt.236 Anders als im oben genannten Fall war bei der Tätigkeit von Frau Lindquist aber kein wirtschaftlicher Bezug zu erkennen; vielmehr war sie ehrenamtlicher und religionsgemeinschaftlicher Natur. Um zu beurteilen, ob auch solche Tätigkeiten in den Anwendungsbereich der Richtlinie 95/46 fallen, musste der Gerichtshof sich eingehender mit der Systematik der in Art. 3 Abs. 2 erster und zweiter Gedankenstrich vorgesehenen Ausnahmen auseinandersetzen. Hinsichtlich der in Art. 3 Abs. 2 erster Gedankenstrich aufgeführten Beispiele stellt das Gericht fest, dass sie spezifische Tätigkeiten der Staaten oder staatlicher Stellen und nicht die Tätigkeiten von Einzelpersonen betreffen. Daher seien die dort vorgesehenen Ausnahmen nur auf Tätigkeiten anwendbar, die dort ausdrücklich genannt sind oder zumindest derselben Kategorie zugeordnet werden können, was auf die Tätigkeit von Frau Lindquist nicht zutreffe.237 Auch die unter dem zweiten Gedankenstrich aufgeführten Ausnahmen sind auf den vorliegenden Fall nicht anwendbar. Hier verweist der Gerichtshof auf die Begründungserwägungen der Richtlinie, in der als Beispiele für Datenverarbeitung, die von einer natürlichen Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird, der Schriftverkehr und die Führung von Anschriftenverzeichnissen genannt werden. Wenn die Verarbeitung personenbezogener Daten in der Veröffentlichung im Internet bestehe, würden die Daten aber einer unbegrenzten Zahl von Personen zugänglich gemacht, so dass die Ausnahme offensichtlich nicht eingreife.238 Die Bereitstellung der Informationen durch Frau Lindquist im Rahmen ihrer ehrenamtlichen Tätigkeit fällt daher in den Anwendungsbereich der Richtlinie. Ferner möchte das schwedische Gericht wissen, ob die Bestimmungen der Datenschutzrichtlinie eine Beschränkung enthalten, die im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder zu anderen innerhalb der Europäischen Union geltenden Rechten und Freiheiten steht, die dem Recht aus Art. 10 EMRK entsprechen. Der EuGH weist auf den Zielkonflikt der Richtlinie zwischen der Gewährleistung des freien Datenverkehrs und der Wahrung der Grundrechte hin. Jedoch sieht er keinen Anlass, an der Vereinbarkeit der Richtlinie mit den allgemeinen Grundsätzen des Gemeinschaftsrechts, insbesondere den Grundrechten, zu zweifeln. Ein Aus236 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 40. 237 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 44. 238 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 46 ff.

270

Teil 3: Datenschutz in der Europäischen Gemeinschaft

gleich der widerstreitenden Rechte und Interessen müsse daher im konkreten Fall, also auf nationaler Ebene, bei der Anwendung der Umsetzungsvorschriften gefunden werden.239 Im vorliegenden Fall seien also die Meinungsäußerungsfreiheit von Frau Lindquist gegen den Schutz der Privatsphäre der Betroffenen abzuwägen. Dabei müssten die nationalen Behörden nicht nur ihr nationales Recht im Einklang mit der Richtlinie auslegen, sondern außerdem auch darauf achten, dass diese Auslegung nicht mit den Gemeinschaftsgrundrechten oder anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert.240 Hier bestätigt das Gericht, dass der Schutz der Privatsphäre die Anwendung wirksamer Sanktionen erfordert. Jedoch sei angesichts des sehr weiten Anwendungsbereiches der Richtlinie und den daraus erwachsenden zahlreichen und weitgehenden Verpflichtungen insbesondere der Grundsatz der Verhältnismäßigkeit zu beachten. Von besonderem Gewicht sei dabei die Dauer der Zuwiderhandlung und die Bedeutung, die der Schutz der verbreiteten Daten für die Betroffenen hat.241 Im Ergebnis ist es also Aufgabe der nationalen Gerichte, das Recht auf Meinungsäußerung zu berücksichtigen. Die Bestimmungen der Datenschutzrichtlinie als solche enthalten jedoch keinen Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit.

IV. Bewertung Die Aussagen des Gerichtshofes zur Anwendbarkeit der Richtlinie bestätigen die im Urteil Österreichischer Rundfunk eingeschlagene Linie. Frau Lindquist hatte vorgebracht, dass eine Tätigkeit nur dann in den Anwendungsbereich des Gemeinschaftsrechts falle, wenn diese einen wirtschaftlichen Bezug aufweist. Die Einrichtung von Internetseiten in der Freizeit stelle aber gerade eine Freizeitaktivität dar, sei nicht auf Gewinnerzielung ausgerichtet und weise daher keinen wirtschaftlichen Bezug auf. Hier zeigt sich eine starke Ähnlichkeit zu der Argumentation von Generalanwalt Tizzano im Fall Österreichischer Rundfunk zur Reichweite von Art. 2 Abs. 2 erster Gedankenstrich. In beiden Fällen bestehen starke Bedenken, den Anwendungsbereich der Datenschutzrichtlinie über die originären Tätigkeitsbereiche der Gemeinschaft (die Wirtschaft bzw. den Binnenmarkt) hinaus 239 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 85. 240 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 87. 241 EuGH, Rs. C-101/01, Bodil Lindquist/Åklagarkammaren Jönköping, Slg. 2003, I-12971, Rn. 89.

C. Ein Grundrecht auf Datenschutz

271

auch bis in den privaten oder rein innerstaatlichen Bereich hinein auszudehnen. Der Gerichtshof bestätigt aber die enge Auslegung der in Art. 3 Abs. 2 aufgeführten Ausnahmetatbestände.242 Ausschlaggebendes Element für die Zuordnung zum privaten oder familiären Bereich ist folglich nicht die Gewinnerzielungsabsicht. Letztlich entscheidend ist der Zweck und die Art und Weise der Verarbeitung.243 Die in Art. 3 Abs. 2 zweiter Gedankenstrich aufgezählten Ausnahmen sind nur für die Datenverarbeitung innerhalb eines sehr überschaubaren Personenkreises gedacht. Hierin zeigt sich deutlich die zunehmende Bedeutung des Gemeinschaftsrechts auch im nichtwirtschaftlichen Bereich und damit die „fortlaufende Ausweitung der Gemeinschaftsaktion“244. Angesichts der Gefahren, die dem Recht auf Privatleben des Einzelnen durch das Internet drohen, erscheint dieses Ergebnis zwingend.245 Auf die Gewährung von Grundrechtsschutz durch die Richtlinie hat die Einbeziehung rein privater Tätigkeiten keine Auswirkungen. Angesichts der grundrechtsschützenden Funktion der Datenschutzrichtlinie könnte man bei oberflächlicher Betrachtung annehmen, dass es durch die Anwendbarkeit der Richtlinie auf Tätigkeiten von Privaten zu einer Drittwirkung von Grundrechten kommen kann. Hier sind jedoch die für das Regelungsinstrument der Richtlinie geltendenden Besonderheiten zu berücksichtigen. Da der EuGH eine horizontale unmittelbare Anwendbarkeit wegen der damit verbundenen Belastung für den Bürger in ständiger Rechtsprechung verneint hat,246 stellt sich für ihn die Frage des Grundrechtsschutzes durch die Richtlinie im privaten Bereich nicht. Dies gilt uneingeschränkt jedoch nur für das über die Richtlinie vermittelte Grundrecht auf Datenschutz in seiner subjektivrechtlichen Funktion. Anders ist dies für die objektivrechtliche Seite zu beurteilen, denn durch das Gebot der richtlinienkonformen Auslegung können Richtlinien durchaus mittelbar im Verhältnis zwischen Bürgern wirken. Zudem zeigen sich die widerstreitenden Interessen der Bürger im Bereich des Datenschutzes in besonderem Maße, da diesem der Konflikt mit der Meinungs- und Informationsfreiheit geradezu immanent ist.247 Diesen unvermeidbaren Gegen242

So auch Ehmann/Helfrich, EG Datenschutzrichtlinie, Art. 3, Rn. 29. So auch Fechner, JZ 2004, S. 247. 244 Zur dynamischen Ausweitung der Gemeinschaftsaktion Oppermann, Europarecht, Rn. 1899. 245 Zur Beeinträchtigung des Rechts auf Achtung des Privatlebens durch das Internet, vgl. Cadoux/Tabatoni, Commentaire 2000, S. 57 f.; Fechner, JZ 2004, S. 246. 246 EuGH, Rs. 152/84, Marshall, Slg. 1986, 723; EuGH, Rs. 91/92, Faccini Dori, Slg. 1994, I-3325. Siehe dazu auch Everling, Die Verantwortung des Gerichtshofes der Europäischen Gemeinschaften für die europäische Informationsordnung, in: Lamnek/Tinnefeld (Hg.), Globalisierung und informationelle Rechtskultur in Europa, S. 190. 243

272

Teil 3: Datenschutz in der Europäischen Gemeinschaft

satz sieht selbstverständlich auch der Gerichtshof, wobei die einzige Lösungsmöglichkeit in der Abwägung zwischen den wiederstreitenden Interessen besteht.

D. Ergebnis Die jüngsten datenschutzrechtlichen Urteile des EuGH haben zu einer rasanten Weiterentwicklung eines Grundrechts geführt. So bestätigt sich nicht nur, was sich in früheren Urteilen bereits andeutete und auch in der Literatur seit geraumer Zeit vertreten wurde,248 nämlich dass der EuGH den Datenschutz als allgemeinen Rechtsgrundsatz der Gemeinschaft anerkennt, sondern es entsteht auch eine bisher unbekannte Form eines Gemeinschaftsgrundrechts: ein durch eine Richtlinie vermitteltes Grundrecht auf Datenschutz. In diesem Zusammenhang zeigt sich zudem, dass Art. 8 EMRK eine besondere Rolle im Datenschutzrecht der Gemeinschaft zukommt.

I. Ein durch die Datenschutzrichtlinie geprägtes Gemeinschaftsgrundrecht Ausgangspunkt dieser Entwicklung ist die Rechtssache TR. und P. Fisher, in der der Gerichtshof deutlich macht, dass in der Gemeinschaft allgemeine Rechtsgrundsätze bestehen, die durch die Datenschutzrichtlinie lediglich übernommen wurden. Er erkennt damit ein Gemeinschaftsgrundrecht auf Datenschutz an, dessen Inhalt weitgehend durch den Inhalt der Richtlinie bestimmt wird. Das Urteil Österreichischer Rundfunk bestätigt nicht nur die Existenz dieses Grundrechts, sondern erweitert zugleich dessen Anwendungsbereich über das bisher im Zusammenhang mit Gemeinschaftsgrundrechten bekannte Maß hinaus. Durch den weiten Anwendungsbereich der Datenschutzrichtlinie sind auch Akte, die sonst nur einer Überprüfung anhand von nationalen Grundrechten zugänglich sind249 – jedenfalls im Bereich des Datenschutzes – an Gemeinschaftsgrundrechten zu messen. Dies ist insofern 247

Brühann, in: Grabitz/Hilf, Bd. III, A 30, Rn. 20. Statt vieler Everling, Die Verantwortung des Gerichtshofs der Europäischen Gemeinschaften für die Europäische Informationsordnung, in: Lamnek/Tinnefeld (Hg.), Globalisierung und informationelle Rechtskultur in Europa, S. 190 und Mähring, EuR 1991, S. 369 ff. 249 Zur Überprüfung von Maßnahmen der Mitgliedstaaten anhand der Gemeinschaftsgrundrechte siehe Ruffert, EuGRZ 1995, S. 528; Jürgensen/Schlünder, AöR 121 (1996), S. 208; Beutler, in: von der Groeben/Schwarze, EGV, Art. 6 EUV Rn. 68 vgl. auch später unter Teil 3, E.II.1. 248

D. Ergebnis

273

bemerkenswert, als dass bereits seit längerer Zeit anerkannt ist, dass die Mitgliedstaaten beim Vollzug unmittelbar anwendbarer Richtlinien an Gemeinschaftsgrundrechte gebunden sind.250 Das Recht auf Datenschutz wird hier jedoch gerade nicht gegen eine die Richtlinie umsetzende Maßnahme geltend gemacht, sondern durch die Richtlinie vermittelt.251 Dies geschieht entweder durch eine richtlinienkonforme Auslegung252 der mitgliedstaatlichen Vorschrift oder – wenn eine solche nicht möglich ist – indem sie unangewendet gelassen wird.253 Soweit der jeweiligen Richtlinienbestimmung unmittelbare Wirkung zukommt, kann der Einzelne sich auf dieses Recht auch vor den nationalen Gerichten berufen.254 Immer dann, wenn der Einzelne sich auf sein durch die Richtlinie vermitteltes Recht auf Datenschutz beruft, bestimmt sich der Inhalt des Rechts – in entsprechender Anwendung des Grundsatzes aus dem Urteil Österreichischer Rundfunk – aus Art. 8 EMRK. Somit kommt der Datenschutzrichtlinie im Zusammenhang mit den Gemeinschaftsgrundrechten eine doppelte Funktion zu. Zum einen gibt sie Aufschluss über den Inhalt des Gemeinschaftsgrundrechts auf Datenschutz, zum anderen vermittelt sie selbst einen grundrechtlichen Schutzanspruch und bestimmt die Reichweite dieses Rechts im Verhältnis zu den nationalen Grundrechten. 250 Vgl. Engel, ELJ 2001, S. 161; Kingreen, in: Calliess/Ruffert, EGV, Art. 6, Rn. 58. 251 Vgl. Siemen, EuR 2004, S. 315. 252 Danach sind die Mitgliedstaaten verpflichtet, die nationalen Vorschriften mit den Bestimmungen der Richtlinie in Übereinstimmung zu bringen, vgl. EuGH, Rs. C-106/89, Marleasing, Slg. 1990, I-4135, Rn. 8; EuGH, Rs. 334/92, Wagner Miret, Slg. 1993, I-6911, Rn. 20; EuGH, Rs. C-91/92, Faccini Dori, Slg. 1994, I-3325, Rn. 26; EuGH, verb. Rs. C-240/98 bis 244/98, Océano, Slg. 2000, I-4941, Rn. 30. Dabei ist die richtlinienkonforme Auslegung nicht bloß Auslegungsmethode, vielmehr ist sie Anleitung zur Erzielung eines bestimmten Ergebnisses. Ihre Anwendbarkeit ist nicht auf Fälle beschränkt, in denen die nationale Norm ausdrücklich als Durchführungsbestimmung der Richtlinie erlassen wurde. Sie ist auch zu beachten, wenn die betreffende Norm bereits vorher erlassen wurde. Vgl. Schroeder, in: Streinz, EUV/EGV, Art. 249, Rn. 126. 253 EuGH, Rs. C-262/97, Engelbrecht, Slg. 2000, I7321, Rn. 40; EuGH, Rs. 157/86, Murphy, Slg. 1988, 673, Rn. 11. 254 Zur unmittelbaren Anwendbarkeit des Primärrechts, EuGH, Rs. 26/62, van Gend en Loos, Slg. 1963, 1, Rn. 10 und 12. Zu Richtlinien EuGH, Rs. 8/81, Becker, Slg. 1982, 53, Rn. 29. Voraussetzung ist, dass der Mitgliedstaat die Richtlinie überhaupt nicht oder unvollständig umgesetzt hat obwohl die Umsetzungsfrist abgelaufen ist und es sich um eine Richtlinienbestimmung handelt, die inhaltlich unbedingt und klar formuliert ist. Vgl. EuGH, Rs. 8/81, Becker, Slg. 1982, 53, Rn. 25. Noch nicht abschließend geklärt ist, ob die unmittelbare Wirkung einer Richtlinie auch die Existenz eines subjektiven Rechts voraussetzt, vgl. dazu Ruffert, in: Calliess/ Ruffert, EUV/EGV, Art. 249, Rn. 87 ff., Schroeder, in: Streinz, EUV/EGV, Art. 249, Rn. 126.

274

Teil 3: Datenschutz in der Europäischen Gemeinschaft

II. Das Recht auf Datenschutz – ein hybrides Grundrecht Insofern kann man sagen, dass auf Gemeinschaftsebene ein Grundrecht auf Schutz personenbezogener Daten besteht, dessen Ausprägung jedoch davon abhängig ist, aus welcher Quelle es sich im konkreten Fall herleitet. Das Recht auf Datenschutz im Fall TR. und P. Fisher entspricht einem Gemeinschaftsgrundrecht nach herkömmlichem Verständnis. Wie der dem Fall zugrunde liegende Sachverhalt zeigt, wird dieses Recht vor allem relevant, wenn es um die objektive Wirkung der Gemeinschaftsgrundrechte – nämlich die Vereinbarkeit einer sekundärrechtlichen Vorschrift255 mit den Gemeinschaftsgrundrechten – geht. Hier leitet sich das Grundrecht auf Datenschutz, ebenso wie alle anderen Gemeinschaftsgrundrechte,256 aus den allgemeinen Rechtsgrundsätzen ab und wird nur mittelbar von der Datenschutzrichtlinie beeinflusst. Anders stellt sich die Situation bei dem durch die Datenschutzrichtlinie vermittelten Grundrecht dar. Der Fall Österreichischer Rundfunk zeigt, dass es Anwendung findet, wenn die Vereinbarkeit nationaler Vorschriften mit dem Sekundärrecht der Gemeinschaft in Frage steht. Da es dabei meist um Rechte des Einzelnen geht, kommt die Datenschutzrichtlinie überwiegend in ihrer subjektiven Wirkung257 zum Tragen. Entsprechendes gilt für das durch sie vermittelte Grundrecht. Es handelt sich dabei um das Gemeinschaftsgrundrecht auf Datenschutz in seiner subjektiven Funktion. Dieses Grundrecht kann jedoch nicht durch ein Zurückgreifen auf die Datenschutzrichtlinie ausgefüllt werden, da der EuGH sonst gezwungen gewesen wäre, die Datenschutzrichtlinie an ihrem eigenen Maßstab zu prüfen. Dies umgeht er durch die direkte Bezugnahme auf Art. 8 EMRK. Ein solches Vorgehen ist im Fall TR. und P. Fisher entbehrlich. Da es nicht um das Recht auf Datenschutz aus der Richtlinie geht, kann der EuGH eine auf einer Verordnung der Gemeinschaft beruhende nationale Maßnahme am Maßstab der Datenschutzrichtlinie überprüfen, ohne dass ein vergleichbarer Konflikt bestünde. Dementsprechend findet sich in diesem Urteil auch kein Verweis auf Art. 8 EMRK, obwohl die Urteile des EGMR in Amann und Rotaru zum Zeitpunkt der Entscheidung bereits vorlagen. Es 255 Entsprechendes hat auch für die Überprüfung primärrechtlicher Vorschriften des Gemeinschaftsrechts zu gelten. 256 Dazu und zur Bedeutung von Art. 6 Abs. 2 EUV vgl. Kingreen, in: Calliess/ Ruffert, EUV/EGV, Art. 6 EUV, Rn. 33. 257 Zunehmend wird auch eine objektive Wirkung von Richtlinien anerkannt, da die Richtlinie von den Mitgliedstaaten bei der Erfüllung ihrer Aufgaben zu beachten ist, ohne dass es darauf ankommt, dass ihre Vorschriften von den Einzelnen geltend gemacht werden. Vgl. Bach, JZ 1990, S. 1111 ff.; Klein, FS Everling, S. 642 ff.; Schroeder, in: Streinz, EUV/EGV, Art. 249, Rn. 123.

D. Ergebnis

275

zeigt sich, dass kein einheitliches Gemeinschaftsgrundrecht auf Datenschutz existiert. Vielmehr ist davon auszugehen, dass das Grundrecht auf Datenschutz entweder durch den allgemeinen Rechtsgrundsatz oder aber unmittelbar durch die Datenschutzrichtlinie vermittelt werden kann. Auf den Inhalt des Grundrechts hat dies – soweit ersichtlich – kaum Auswirkungen. Die Fälle zeigen, dass sich das grundsätzliche Verbot der Weitergabe personenbezogener Daten an Dritte sowohl in den durch die Datenschutzrichtlinie übernommenen allgemeinen Rechtsgrundsätzen258 als auch in Art. 8 EMRK findet.259 Zudem deuten die Ausführungen des EuGH im Urteil Österreichischer Rundfunk darauf hin, dass er die Grundsätze der Art. 6, 7 und 13 der Richtlinie ebenfalls als Kerngehalt eines Gemeinschaftsgrundrechts betrachtet. Es ist jedoch anzumerken, dass eine abschließende Bewertung an dieser Stelle noch nicht möglich ist. Aufschluss über die inhaltliche Übereinstimmung der sich unterschiedlichen Maßstäben bedienenden Rechte können nur weitere Urteile des EuGH geben. Da nicht anzunehmen ist, dass der EuGH zwischen den beiden Varianten des Grundrechts einen qualitativen Unterschied sieht, ist davon auszugehen, dass er die beiden Varianten zu einem einheitlichen Grundrecht auf Datenschutz verschmelzen wird. Dann wird es keine Rolle mehr spielen, ob sich das Grundrecht im konkreten Fall aus den in der Datenschutzrichtlinie verkörperten allgemeinen Rechtsgrundsätzen oder Art. 8 EMRK herleitet. Ebenfalls nicht endgültig beurteilt werden kann an dieser Stelle, wie sich die beiden Varianten des Grundrechts kategorisieren lassen. Zweifelsfrei handelt es sich bei dem durch die allgemeinen Rechtsgrundsätze vermittelten Recht auf Datenschutz um ein eigenständiges Grundrecht, weil es seine inhaltliche Ausprägung vor allem durch die Datenschutzrichtlinie und nicht durch ein Recht auf Achtung des Privatlebens erfährt. Gleichzeitig erscheint nicht ausgeschlossen, dass das durch die Richtlinie vermittelte Recht durch seinen engen Bezug zu Art. 8 EMRK (ähnlich wie das Recht auf Datenschutz unter der EMRK) nur einen – wenn auch weitgehend eigenständigen – Teilaspekt des Gemeinschaftsgrundrechts auf Achtung des Privatlebens darstellt. Für ein eigenständiges Grundrecht auf Datenschutz spricht aber auch bei dieser Variante, dass es die Richtlinie in ihrer grundrechtlichen Funktion und nicht das Recht auf Privatleben ist, die das Recht vermittelt, und 258

So weist der EuGH darauf hin, dass Artikel 7 lit. f der Datenschutzrichtlinie, der als allgemeiner Rechtsgrundsatz anerkannt wird, die Weitergabe von Daten erlaubt, wenn sie zur Verwirklichung eines berechtigten Interesses eines Dritten erforderlich ist. Im Umkehrschluss bedeutet dies, dass dem grundsätzlichen Verbot der Weitergabe ebenfalls die Qualität eines allgemeinen Rechtsgrundsatzes zukommt, EuGH, Rs. C-369/98, TR. und P. Fisher, Slg. 2000, I-6751, Rn. 35. 259 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 74.

276

Teil 3: Datenschutz in der Europäischen Gemeinschaft

dass sich der Bezug zu Art. 8 EMRK nur aus einer technischen Notwendigkeit ergibt. Im Ergebnis kann man daher sagen, dass sich das Recht auf Datenschutz in der Gemeinschaft als ein hybrides Grundrecht darstellt, dessen Inhalt sich je nach seiner Funktion aus unterschiedlichen Quellen speist. Beruft sich der Einzelne auf sein aus der Richtlinie fließendes Recht auf Datenschutz, besteht eine Anbindung an Art. 8 EMRK, nicht jedoch im Falle des gewöhnlichen Rechts auf Datenschutz als allgemeinem Rechtsgrundsatz. Damit stellt sich das Grundrecht auf Datenschutz nicht nur inhaltlich als ein neues Recht dar, es nimmt zudem unter dogmatischen Gesichtspunkten in der Gemeinschaftsrechtsordnung eine besondere Stellung ein.260

III. Auswirkungen Nach den neuesten Urteilen des EuGH stellt sich die Situation hinsichtlich des grundrechtlichen Datenschutzes in der Gemeinschaft verändert dar. Über die konkreten Auswirkungen lässt sich aufgrund der spärlichen Rechtsprechung jedoch zum jetzigen Zeitpunk nur spekulieren. Grundsätzlich wird man unterscheiden müssen, ob es um den Grundrechtsschutz gegenüber Akten der Mitgliedstaaten oder der Gemeinschaft geht. Hinsichtlich der Überprüfbarkeit von Akten der Mitgliedstaaten auf ihre Vereinbarkeit mit Gemeinschaftsgrundrechten ist zunächst anzumerken, dass das Urteil Österreichischer Rundfunk die Möglichkeiten erweitert hat. Den Mitgliedstaaten gegenüber kann sich der Einzelne grundsätzlich auf sein durch die Datenschutzrichtlinie vermitteltes Gemeinschaftsgrundrecht auf Datenschutz berufen – vorausgesetzt der Anwendungsbereich der Richtlinie ist eröffnet. Anders beurteilt sich die Situation bei der Überprüfung von Akten der Gemeinschaft. Auf die grundrechtliche Überprüfung von Legislativakten findet weiterhin das Grundrecht auf Datenschutz als allgemeiner Rechtsgrundsatz Anwendung. Offen bleibt, an welchem Maßstab auf Gemeinschaftsebene Akte der Exekutive zu überprüfen sind. Hier gilt Art. 286 EGV i. V. m. den Vorschriften der Datenschutzverordnung. Soweit in diesem Zusammenhang Grundrechte in ihrer subjektivrechtlichen Funktion geltend gemacht werden, könnte man sagen, dass eine der Lage im Fall Österreichischer Rundfunk vergleichbare Ausgangssituation besteht, da der Einzelne ein Grundrecht aus einem sekundärrechtlichen Akt der Gemeinschaft ablei260 Eine vergleichbare Konstellation ist aber bei allen Richtlinien der Germeinschaft mit einem starken Grundrechtsbezug denkbar, so etwa bei der Richtlinie 2000/43/EG vom 29. Juni 2000 zur Anwendung des Gleichbehandlungsgrundsatzes ohne Unterschied der Rasse oder der ethnischen Herkunft, Abl. L-180/22 vom 19.07.2000.

D. Ergebnis

277

tet. Da sichergestellt werden muss, dass die Vorschriften der Datenschutzverordnung ihrerseits grundrechtskonform sind, erscheint es naheliegend, auch hier Art. 8 EMRK als Prüfungsmaßstab heranzuziehen.

IV. Der Einfluss der EMRK Die Analyse der Rechtsprechung hat die besondere Bedeutung, die Art. 8 EMRK im Zusammenhang mit dem Recht auf Privatleben auf Gemeinschaftsebene zukommt, deutlich gemacht. Auch wenn der Gerichtshof die in der EMRK verankerten Rechte nicht unmittelbar in das Gemeinschaftsrecht übernimmt, sondern sie nur als Ausdruck der allgemeinen Grundsätze und der unter den Mitgliedstaaten anerkannten gemeinsamen Werte versteht,261 nimmt er sie immer direkter in Bezug. Während die Bedeutung von Art. 8 EMRK zunächst in der Ausgestaltung eines Gemeinschaftsgrundrechts auf Privatleben bestand, bleibt sein Einfluss auch mit zunehmender Ausprägung eines weitgehend eigenständigen Grundrechts auf Datenschutz bestehen. Eine besonders wichtige Funktion hat Art. 8 EMRK bei der Berufung auf unmittelbar anwendbare Vorschriften der Datenschutzrichtlinie, da die Bestimmungen der Richtlinie ihrerseits am Maßstab des Gemeinschaftsgrundrechts auf Datenschutz geprüft werden. Hinweise auf die gemeinsame Verfassungsüberlieferung der Mitgliedstaaten bezieht der EuGH insbesondere aus der zu Art. 8 EMRK entwickelten Rechtsprechung des EGMR. Durch die ausdrückliche Inbezugnahme auf die Straßburger Rechtsprechung werden die dort getroffenen fallbezogenen Aussagen auch für den EuGH maßgeblich sein. Dabei ist die Forderung, dass der EuGH neben der EMRK auch die Datenschutzkonvention des Europarates zur Grundlage seiner Rechtsprechung in Datenschutzfragen machen sollte, sicherlich nicht unberechtigt.262

261 Vgl. dazu die Schlussanträge von Generalanwalt Trabucchi, in EuGH, Rs. C-118/74, Watson und Bellmann, Slg. 1976, 1185. (1207) „Die außergemeinschaftlichen Vertragsurkunden, mit denen die Mitgliedstaaten völkerrechtliche Verpflichtungen eingegangen sind, um den Schutz dieser Rechte besser zu gewährleisten, können gewiss nicht als solche in die Gemeinschaftsrechtsordnung übernommen werden; sie können aber dazu dienen, die den Mitgliedstaaten gemeinsame Rechtsgrundsätze zu ermitteln.“. Zu der „besonderen Bedeutung“ der EMRK siehe EuGH, Rs. 260/89, ERT, Slg. 1991, I-2925, Rn. 41; EuGH, Gutachten 2/94, Slg. 1996, I-1759, Rn. 33; EuGH, Rs. 299/95, Kremzow, Slg. 1997, I-2629, Rn. 14; dazu auch Craig/de Bfflrca, EU Law, S. 324. 262 Gola, RDV 1990, S. 111.

278

Teil 3: Datenschutz in der Europäischen Gemeinschaft

V. Die Eingriffsmöglichkeiten und die Einschränkbarkeit Welche Auswirkungen die Rechtsprechung des EuGH auf die Einschränkungsdogmatik hat, ist zum gegenwärtigen Zeitpunkt schwer zu beurteilen. Es ist jedoch anzunehmen, dass sich die Unterschiede in der Herleitung des Grundrechts auf Datenschutz an dieser Stelle bemerkbar machen. In konsequenter Fortführung seiner Rechtsprechung müsste der Gerichtshof im Fall des aus den allgemeinen Rechtsgrundsätzen hergeleiteten Grundrechts die für die Gemeinschaftsgrundrechte übliche Rechtfertigungsprüfung vornehmen.263 Hingegen würde sich die Rechtfertigung einer Maßnahme, die in das durch die Richtlinie vermittelte Recht eingreift, ausschließlich nach Art. 8 Abs. 2 EMRK bestimmen. Diesen Ansatz verfolgt der Gerichtshof im Fall Österreichischer Rundfunk. Er geht davon aus, dass eine Vorschrift, die sich als unvereinbar mit Art. 8 EMRK erweist, auch nicht dem Erfordernis der Verhältnismäßigkeit nach Art. 6 Abs. 1 lit. c und Art 7 lit. c oder e der Datenschutzrichtlinie genügen kann.264 Ein Beispiel für die Prüfung der Rechtfertigung eines Eingriffs in das aus den allgemeinen Rechtsgrundsätzen des Gemeinschaftsrechts fließende Recht auf Datenschutz findet sich in der Rechtsprechung bisher nicht. Sollte sich bewahrheiten, dass der Gerichtshof diese Maßnahmen nicht ebenfalls unmittelbar an Art. 8 Abs. 2 EMRK prüfen sollte, hätte dies unter Umständen weitreichende Folgen. Auch wenn sich die Prüfungen inhaltlich weitgehend entsprechen, unterscheiden sie sich jedoch in einem wesentlichen Aspekt. Die Ziele, die mit der Maßnahme verfolgt werden dürfen, sind in Art. 8 Abs. 2 EMRK enumerativ aufgezählt, während sie im Anwendungsbereich der allgemeinen Rechtsgrundsätze einer Entwicklung durch die Rechtsprechung des Gerichtshofes zugänglich sind. Damit wären die Voraussetzungen für eine Rechtfertigung eines Eingriffs in das durch die Richtlinie vermittelte Recht enger als im Falle eines Eingriffs in das herkömmliche Gemeinschaftsgrundrecht auf Datenschutz. Die Ausbildung unterschiedlicher Standards könnte der EuGH vermeiden, indem er die in Art. 13 der Datenschutzrichtlinie niedergelegten Prinzipien als Ausdruck der allgemeinen Rechtsgrundsätze betrachtet. Da Art. 13 einen Katalog der Ausnahmen und Einschränkungen enthält, der sich kaum von dem des Art. 8 Abs. 2 EMRK unterscheidet,265 würde es im Ergebnis 263

Zu den dabei geltenden Grundsätzen im Einzelnen oben unter Teil 3, A.III. EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 91. 265 Art. 13 Datenschutzrichtlinie entspricht auch weitgehend Art. 9 der Datenschutzkonvention, der seinerseits nach dem Vorbild der Abs. 2 der Art. 6, 8, 10 und 11 EMRK formuliert ist, vgl. Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS) 264

D. Ergebnis

279

kaum einen Unterschied machen, ob die Maßnahme am Maßstab von Art. 8 EMRK oder der Datenschutzrichtlinie zu prüfen wäre. Vorausgesetzt, der EuGH beachtet bei der Auslegung der Ausnahmen die vom EGMR aufgestellten Grundsätze, ist davon auszugehen, dass das Schutzniveau sich nicht unterscheidet.266

VI. Entwicklung Wurde zum Zeitpunkt des Inkrafttretens der Datenschutzrichtlinie noch bemängelt, dass sie am ehesten einen Marktbürgerdatenschutz, nicht jedoch einen Staatsbürgerdatenschutz bewirke,267 so muss man sagen, dass sich ihre Rolle inzwischen stark gewandelt hat. Ihr Schwergewicht, das ursprünglich eindeutig auf der Bedeutung des freien Datenaustausches für den Binnenmarkt lag,268 verlagert sich zunehmend auf den Datenschutz. Die Richtlinie kann daher nicht mehr lediglich als ein Instrument der Harmonisierung des Gemeinschaftsrechts betrachtet werden – vielmehr leistet sie, durch die Rechtsprechung des EuGH vermittelt, einen bedeutenden Beitrag zum Grundrechtsschutz. In Verbindung mit dem durch die Datenschutzrichtlinie vermittelten vergleichsweise weiten Anwendungsbereich des Grundrechts auf Datenschutz, muss man sagen, dass sich auch auf Ebene der Gemeinschaft inzwischen ein Staatsbürgerdatenschutz etabliert hat. Jedoch bleibt abzuwarten, wie sich dieser Grundrechtsschutz weiter entwickeln wird. Offen ist etwa, wie der EuGH in einem Fall entscheiden würde, in dem – anders als etwa im Fall Österreichischer Rundfunk und Lindquist – ein stärkerer Binnenmarktsbezug vorhanden ist. Insbesondere wenn die Grundfreiheiten in starkem Maße betroffen sind, wäre es spannend zu beobachten, wie der Gerichtshof einen Konflikt zwischen den zumindest grundrechtsähnlichen Grundfreiheiten269 und einem Grundrecht auf Datenschutz lösen würde.270 No. 108. Zum Verhältnis zwischen Art. 9 der Datenschutzkonvention und Art. 13 Datenschutzrichtlinie vgl. auch Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 13, Rn. 1, der Art. 13 der Datenschutzrichtlinie zwar als detaillierter, aber immer noch bedenklich weit einstuft. 266 Hiervon ist aber nicht auszugehen. Vielmehr kann man annehmen, dass der EuGH um weitgehende Übereinstimmung bei der Auslegung der beiden Vorschriften bemüht sein wird. 267 Kilian, Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld/Philipps/Heil, (Hg.) Informationsgesellschaft und Rechtskultur in Europa, S. 106. 268 Vgl. dazu Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung Rn. 8, der in diesem Zusammenhang auf die Formulierung der Überschrift der Datenschutzrichtlinie, die den Zusatz „und dem freien Datenverkehr“ enthält und den Wortlaut von Art. 1 Abs. 2 verweist.

280

Teil 3: Datenschutz in der Europäischen Gemeinschaft

E. Der Datenschutz in der Grundrechtecharta der Europäischen Union Obwohl die Grundrechtecharta ursprünglich nur den bereits existierenden Grundrechtsstandard auf Gemeinschaftsebene sichtbar machen sollte,271 enthält sie auch einige neue, bisher noch nicht ausdrücklich verbürgte Rechte. So wurde neben dem in Art. 7 GRC enthaltenen Recht auf Achtung des Privat- und Familienlebens mit Art. 8 GRC ein eigenständiges Recht auf Schutz personenbezogener Daten geschaffen. Die Eigenständigkeit zeigt sich nicht nur in der Formulierung des Schutzbereiches; auch in der Struktur hebt es sich in augenfälliger Weise von dem Recht auf Achtung des Privatlebens ab. So wird in Abs. 1 der Schutzbereich („Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“) definiert, in Art. 2 jedoch gleich ein Schrankenkatalog aufgeführt („Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“). Des weiteren werden für den Fall der Inanspruchnahme einer Schrankenregelung weitere Rechte des Betroffenen festgelegt („Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu bewirken.“). Da eine solche Vorschrift im System der Datenschutzregelungen bisher beispiellos ist, stellt sich die Frage, inwieweit bei ihrer Auslegung auf die etablierten datenschutzrechtlichen Instrumente und die dazu ergangene Rechtsprechung zurückgegriffen werden kann.

I. Die Bedeutung und Reichweite von Art. 8 GRC Aus den unverbindlichen Erläuterungen des Rates272 zu Art. 8 GRC ergibt sich, dass die Ursprünge dieser Vorschrift in allen datenschutzrecht269 Dazu grundlegend Schultz, Das Verhältnis von Gemeinschaftsgrundrechten und den Grundfreiheiten des EGV. 270 Dazu in Ansätzen Brühann, AfP 1998, S. 346. 271 Siehe dazu die Schlussfolgerungen des Vorsitzes des Europäischen Rates Köln 3. und 4. Juni 1999, Anhang IV, Beschluss des Europäischen Rates zur Erarbeitung einer Charta der Grundrechte der Europäischen Union, in dem es heißt: „Nach Auffassung des Europäischen Rates soll diese Charta die Freiheits- und Gleichheitsrechte sowie die Verfahrensgrundrechte umfassen, wie sie in der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten gewährleistet sind und wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten als allgemeine Grundsätze des Gemeinschaftsrechts ergeben. [. . .]“, abrufbar unter http://www.europarl.eu.int/summits/kol2_de.htm (April 2005).

E. Der Datenschutz in der Grundrechtecharta der EU

281

lichen Regelungen bzw. Grundsätzen des Europarechts im weiteren Sinne273 gesehen werden können. Sie stützt sich auf Art. 286 EGV, die Datenschutzrichtlinie 95/46/EG, sowie auf Art. 8 EMRK und die Datenschutzkonvention des Europarates. Auch wenn die Vorschrift somit am Ende einer langen Entwicklung steht und deren Ergebnisse erfolgreich zu repräsentieren scheint,274 birgt diese Herkunft doch auch erhebliche Schwierigkeiten für die Auslegung in sich. So wird nicht nur festzustellen sein, inwieweit die genannten datenschutzrechtlichen Instrumente zur Ausfüllung des Begriffes herangezogen werden können, sondern es ist insbesondere unklar, wie das Verhältnis zwischen dem Datenschutz auf Ebene der Gemeinschaft und dem auf der Stufe des Europarates zu beurteilen ist. 1. Allgemeiner Schutzbereich, Art. 8 Abs. 1 GRC Der Schutzbereich des Rechts auf Schutz personenbezogener Daten ist in Art. 8 Abs. 1 GRC formuliert. Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der genaue Inhalt dieses Rechts erschließt sich zwar nicht auf den ersten Blick – Hinweise auf den Schutzbereich ergeben sich aber sowohl aus dem Zusammenhang mit Abs. 2 als auch aus den Erläuterungen des Konvents. Dieser geht davon aus, dass „das Recht auf Schutz der personenbezogenen Daten [. . .] nach Maßgabe der genannten Richtlinie ausgeübt [wird]“. Dementsprechend kann man annehmen, dass die Bedeutung der Begriffe „personenbezogene Daten“ und „Verarbeitung“ denen der Richtlinie entspricht.275 In den Anwendungsbereich von Art. 8 GRC fallen somit alle Daten, welche mit einer natürlichen Person in Verbindung gebracht werden können.276 Jedoch sind juristische Personen, ebenso wie in der Datenschutzrichtlinie, ausgeschlos272 Erläuterungen des Präsidiums des Konvents CHARTE 4473/00 CONVENT 49 vom 11. Oktober 2000, abgedruckt bei: Bernsdorff/Borowsky, Die Charta der Grundrechte der Europäischen Union, S. 15 ff. Nach Bekunden des Präsidiums sind „die vorliegenden Erläuterungen in eigener Verantwortung formuliert worden. Sie haben keine Rechtswirkung, sondern dienen lediglich dazu, die Bestimmungen der Charta zu verdeutlichen.“. 273 Zu den Begriffsbezeichnungen siehe Mosler, ZaöRV 28 (1968), S. 481 ff.; H. P. Ipsen, Europäisches Gemeinschaftsrecht, S. 4 ff.; Bleckmann, Europarecht, S. 17; Oppermann, Europarecht, Rn. 2. 274 Schorkopf, in: Ehlers (Hg.) Europäische Grundrechte und Grundfreiheiten, § 14 I 1, Rn. 39, spricht von einem Aufgreifen des aquis communautaire im Hinblick auf den Datenschutz. 275 Vgl. Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 15. 276 Vgl. Art. 2 lit. a der Richtlinie 95/46/EG, sowie Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 2, Rn. 2; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2, Rn. 17; Schild, EuZW 1996, S. 551.

282

Teil 3: Datenschutz in der Europäischen Gemeinschaft

sen.277 Die Bezugnahme auf den Verarbeitungsbegriff der Richtlinie hat zur Folge, dass die gesamte Verwendung personenbezogener Daten, beginnend mit der Erhebung, erfasst wird.278 Diese weite Definition ermöglicht es, auch neue Formen der Verarbeitung mit zu berücksichtigen.279 Die Vorschrift bezweckt aber nicht nur den Schutz des Einzelnen vor einer unzulässigen Verarbeitung seiner Daten. Art. 8 Abs. 2 GRC sieht für den Fall, dass eine zulässige Verarbeitung erfolgt ist, zusätzliche Rechte für den Betroffenen vor. Der Betroffene kann Auskunft über die ihn betreffenden Daten und gegebenenfalls deren Berichtigung verlangen. Damit nimmt die Vorschrift lediglich auf Art. 12 lit. a und c der Datenschutzrichtlinie Bezug, woraus sich schließen lässt, dass die anderen Beteiligungsrechte wie etwa das Widerspruchsrecht aus Art. 14 von dem Grundrecht nicht erfasst werden sollen.280 Gleichzeitig gewährleistet Art. 8 Abs. 2 S. 2 GRC ein Auskunftsrecht, das unter der EMRK nur über den „Umweg“ der positiven Verpflichtung gewährleistet wird. Das Recht auf Schutz personenbezogener Daten beinhaltet also auch eine Schutzpflicht des Staates.281 Schließlich sieht Art. 8 Abs. 3 GRC die Überwachung durch eine unabhängige Stelle vor. Insofern nimmt die Vorschrift Bezug auf Art. 286 Abs. 2 EGV und Art. 28 der Datenschutzrichtlinie, nach der die Gemeinschaften bzw. die Mitgliedstaaten verpflichtet sind, unabhängige Kontrollstellen einzurichten.282 Für die Gemeinschaft obliegt diese Aufgabe damit gemäß Art. 24 und Art. 41 der Datenschutzverordnung dem behördlichen Daten277

Dabei war die Erstreckung auch auf juristische Personen im Konvent durchaus diskutiert worden, siehe die Nachweise bei Bernsdorff/Borowsky, Die Charta der Grundrechte der Europäischen Union, S. 293. Eine Ausnahme kann unter Umständen jedoch für den Bereich der elektronischen Kommunikation gelten. So sieht die die Datenschutzrichtlinie 95/46/EG ergänzende Richtlinie 02/58/EG in ihren Erwägungsgründen Nr. 7, 8, 12 und 17 ausdrücklich auch den Schutz juristischer Personen vor. Vgl. Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 17. 278 Art. 2 lit. b und Art. 3 Richtlinie 95/46/EG, sowie Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 16. 279 Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 16; siehe auch Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2, Rn. 28. 280 Vgl. Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 23. 281 Allgemeiner auch von Bogdandy, Grundrechtsgemeinschaft als Integrationsziel? Grundrechte und das Wesen der Europäischen Union, in: Duschanek/Griller (Hg.), Grundrechte für Europa, S. 78. 282 Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 24.

E. Der Datenschutz in der Grundrechtecharta der EU

283

schutzbeauftragten bzw. dem Europäischen Datenschutzbeauftragten.283 Ein Recht des Betroffenen auf Anrufung des Datenschutzbeauftragten wurde aber nicht übernommen.284 2. Schranken des Art. 8 Abs. 2 GRC Art. 8 GRC ist eines der wenigen Rechte der Charta, das einen eigenen Schrankenkatalog aufweist.285 Die in Art. 8 Abs. 2 aufgeführten Schrankenbestimmungen entsprechen weitgehend den in Art. 6 und 7 der Datenschutzrichtlinie geregelten Zulässigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten, obgleich nicht alle dort festgeschriebenen Prinzipien explizit wiederholt werden. Es findet sich aber beispielsweise der Grundsatz der Verarbeitung nach Treu und Glauben aus Art. 6 Abs. 1 lit. a der Richtlinie und der Zweckbindungsgrundsatz aus Art. 6 Abs. 1 lit. b. Da auch die Schranken nach Maßgabe der Richtlinie auszuüben sind, ist davon auszugehen, dass diese Prinzipien als ebenso umfassend zu verstehen sind wie ihre Vorbilder in der Richtlinie. Das bedeutet, dass im Rahmen des Art. 8 Abs. 2 GRC auch die Grundsätze der Erheblichkeit und des Verbots des Erhebungsexzesses,286 der sachlichen Richtigkeit und Aktualität287 und der zulässigen Aufbewahrungsdauer288 berücksichtigt werden müssen. Dies liegt schon deshalb auf der Hand, weil alle im Katalog des Art. 6 Abs. 1 der Richtlinie enthaltenen Rechte einen ausdrücklichen Bezug zur Zweckbestimmung aufweisen. Weniger deutlich ist die Verbindung zwischen Art. 8 Abs. 2 GRC und den Zulässigkeitsgrundsätzen in Art. 7 der Richtlinie. Zwar entspricht der Grundsatz, dass eine Verarbeitung nur mit Einwilligung der betroffenen Per283 Von einer Übernahme des status quo spricht daher Mahlmann, ZEuS 2000, S. 435. 284 Dies hatte insbesondere der Bundesbeauftragte für Datenschutz gefordert, siehe dazu die Stellungnahme des Bundesbeauftragten für Datenschutz zur Anhörung der Europaausschüsse des Bundestages und des Bundesrates am 5.4.2000, S. 2 ff.; abrufbar unter: http://www.bfd.bund.de/Europa/page2.html (April 2005). 285 Anders als in der EMRK wurde bei den meisten Rechten bewusst auf die Schranken verzichtet. Dafür enthält Art. 52 GRC eine allgemeine Schrankenbestimmung, die grundsätzlich für alle Rechte der Charta gilt, vgl. Grabenwarter, DVBl. 2001, S. 2. Eine Ausnahme von diesem Prinzip stellen das Eigentumsrecht und das Recht auf Schutz personenbezogener Daten dar, in denen sich spezifische Schrankenregelungen finden. Angesicht der Erläuterungen des Präsidiums, die lediglich auf Art. 52 verweisen, wird jedoch angezweifelt, ob die Schranken überhaupt als solche erkannt worden sind, vgl. Schmitz, JZ 2001 S. 838. 286 Art. 6 Abs. 1 lit. c Richtlinie 95/46/EG. 287 Art. 6 Abs. 1 lit. d Richtlinie 95/46/EG. 288 Art. 6 Abs. 1 lit. e Richtlinie 95/46/EG.

284

Teil 3: Datenschutz in der Europäischen Gemeinschaft

son erfolgen kann, dem Art. 7 lit. a, jedoch sind die anderen in dieser Vorschrift enthaltenen Ausnahmevorschriften nicht in die Grundrechtecharta mit aufgenommen worden. Stattdessen stellt Art. 8 Abs. 2 GRC lediglich fest, dass neben einer Einwilligung auch eine sonstige gesetzlich geregelte legitime Grundlage ausreicht, um eine Verarbeitung durchzuführen. Da sowohl die Datenschutzrichtlinie als auch die Datenschutzverordnung289 aber einen abschließenden Katalog der Zulässigkeitsvoraussetzungen enthalten, können die Grundrechtsverpflichteten aus der „gesetzlichen Grundlage“ i. S. d. Art. 8 Abs. 2 GRC keine weitergehenderen Befugnisse zum Erlass von Ausnahmevorschriften herleiten. Ebenfalls ist nicht davon auszugehen, dass man die Verarbeitungsbefugnisse im Verhältnis zur Richtlinie einschränken wollte.290 Im Ergebnis ist daher der Katalog der Zulässigkeitsvoraussetzungen des Art. 7 der Richtlinie in Art. 8 Abs. 2 GRC hineinzulesen. 3. Schranken des Art. 52 GRC Zusätzlich zu den in Art. 8 GRC selbst festgelegten Schranken ist das Recht auf Datenschutz aber auch den allgemeinen Schrankenregelungen des Art. 52 GRC unterworfen.291 Die Vorschrift sieht unterschiedliche Regelungen hinsichtlich der Einschränkbarkeit vor. So wird zwischen Rechten, die denen der EMRK entsprechen (Art. 53 Abs. 3), Rechten, die in den Gemeinschaftsverträgen oder dem Vertrag über die Europäische Union begründet sind (Art. 52 Abs. 2), und den übrigen Rechten (Abs. 1) unterschieden. Da Art. 52 Abs. 2 und 3 für alle Vorschriften, die dem Vertrag bzw. der EMRK entlehnt sind, leges speciales darstellen,292 ist zunächst festzustellen, ob eine dieser Regelungen auf Art. 8 GRC Anwendung findet. a) Rechte, die den durch die EMRK garantierten Rechten entsprechen, Art. 52 Abs. 3 GRC Gemäß Art. 52 Abs. 3 GRC haben Rechte der Charta, die den durch die EMRK garantierten Rechten entsprechen, die gleiche Bedeutung und Tragweite, wie sie ihnen in der genannten Konvention verliehen werden. Aus289

Art. 5 Richtlinie 95/46/EG. Vgl. Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 22. 291 Vgl. Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 52, Rn. 15. Generell zu den Schrankenregelungen auch Kenntner, ZRP 2000, S. 423 ff. 292 Bernsdorff, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 8, Rn. 14; Streinz, in: Streinz, EUV/EGV, Art. 52 GR-Charta, Rn. 8; i. E. auch Grabenwarter, DVBl. 2001, S. 2; Schmitz, JZ 2001, S. 838. 290

E. Der Datenschutz in der Grundrechtecharta der EU

285

drücklich vorgesehen ist auch, dass das Recht der Union einen weitergehenden Schutz gewähren kann. Wie bereits festgestellt worden ist, enthält die EMRK kein ausdrückliches Recht auf Datenschutz. Fraglich ist aber, ob man nicht dennoch sagen kann, dass Art. 8 GRC einem durch die EMRK garantierten Recht entspricht, weil es seinen Ursprung in einem Teilaspekt des Rechts auf Achtung des Privatlebens aus Art. 8 EMRK hat und insofern dort eine inhaltliche „Entsprechung“ findet. Dies hätte zur Folge, dass auch die Rechtsprechung des EGMR zum Datenschutz in besonderer Weise zu berücksichtigen wäre.293 Die systematische Auslegung des Begriffs „entsprechen“ in Art. 52 Abs. 3 GRC ergibt jedoch, dass der gleiche Lebenssachverhalt von der jeweiligen Garantie erfasst sein muss.294 Schon an dieser Stelle zeigt sich, dass Art. 8 GRC in der EMRK keine Entsprechung findet, da sein Regelungsbereich nur personenbezogenen Daten erfasst und damit enger ist als Art. 8 EMRK, dessen Regelungsbereich sich auf das Privatleben allgemein erstreckt. Für eine Eigenständigkeit spricht auch die Tatsache, dass Art. 8 GRC zwar von Art. 8 EMRK inspiriert ist, aber der Datenschutzrichtlinie nachgebildet ist. Schließlich ergibt sich aus den Erläuterungen des Konvents, dass Art. 8 GRC gerade keine Entsprechung in der EMRK finden soll.295 Daher wird man bei Rechten, deren Inhalte auch in den Schutzbereich eines EMRKGrundrechts fallen, die aber – wie der Datenschutz – überhaupt noch nicht im Text der EMRK enthalten sind, sondern erst seit der Rechtsprechung des EGMR als vom Konventionsrecht erfasst angesehen werden, nicht von einem Entsprechen i. S. d. Art. 52 Abs. 3 GRC ausgehen können.296

293

So noch Grabenwarter, DVBl. 2001, S. 2. Sich dem anschließend Philippi, Die Charta der Grundrechte der Europäischen Union, S. 27 und auch Holoubek, Die liberalen Rechte der Grundrechtecharta im Vergleich zur Europäischen Menschenrechtskonvention, in: Duschanek/Griller (Hg.), Grundrechte für Europa, S. 30. 294 Vgl. Grabenwarter, Die EMRK in der europäischen Verfassungsentwicklung, in: Cremer/Giegerich/Richter/Zimmermann (Hg.) Tradition und Weltoffenheit des Rechts, S. 1135, der auf den in der deutschen Grundrechtsdogmatik gebräuchlichen Begriff des Regelungsbereichs in Abgrenzung zum engeren Begriff des Schutzbereichs verweist. Siehe dazu Pieroth/Schlink, Staatsrecht II Grundrechte, Rn. 197. 295 So ist die Vorschrift weder in dem in den Erläuterungen aufgeführten Katalog der Artikel der Charta, die dieselbe Bedeutung und Tragweite wie die entsprechenden Artikel der Europäischen Menschenrechtskonvention haben, noch in dem derjenigen Artikel, die dieselbe Bedeutung haben wie die entsprechenden Artikel der EMRK, deren Tragweite aber umfassender ist, aufgeführt. 296 Vgl. Grabenwarter, Die EMRK in der europäischen Verfassungsentwicklung, in: Cremer/Giegerich/Richter/Zimmermann (Hg.) Tradition und Weltoffenheit des Rechts, S. 1136; Lemmens, MJ 2001, S. 57.

286

Teil 3: Datenschutz in der Europäischen Gemeinschaft

b) Rechte die in den Gemeinschaftsverträgen oder im Vertrag über die Europäische Union begründet sind, Art. 52 Abs. 2 GRC Nach Art. 52 Abs. 2 GRC erfolgt die Ausübung der durch die Charta anerkannten Rechte, die in den Gemeinschaftsverträgen oder im Vertrag über die Europäische Union begründet sind, im Rahmen der dort festgelegten Bedingungen und Grenzen. Angesichts des in Art. 286 EGV verankerten Rechts auf Datenschutz könnte man argumentieren, dass Art. 52 Abs. 2 EGV für Art. 8 GRC eine besondere Schrankenregelung bereithält. Einer solchen Annahme steht jedoch bereits die Systematik des Art. 286 EGV entgegen. Wie beschrieben, verweist die Vorschrift nur auf die entsprechenden Sekundärrechtsakte der Gemeinschaft, erweitert so deren Anwendungsbereich und führte zum Erlass der Datenschutzverordnung. Dies hat zur Folge, dass der Datenschutz in den Gemeinschaftsverträgen sekundärrechtlich realisiert297 und nicht durch das Primärrecht begründet wird.298 Zudem ist zu bedenken, dass der Ursprung des Rechts aus Art. 8 GRC wenn auch nicht allein, so aber zum überwiegenden Teil, in der Datenschutzrichtlinie299 und der Rechtsprechung des EGMR zu Art. 8 EMRK zu sehen ist und Art. 286 EGV selbst ebenfalls auf dieser Grundlage beruht. Auch aus diesem Grund scheint es nicht angebracht, davon auszugehen, dass Art. 8 GRC auf Art. 286 EGV begründet ist.300 Die Vorschrift des Art. 52 Abs. 2 EGV findet daher ebenfalls keine Anwendung. c) Die allgemeine Schrankenvorschrift des Art. 52 Abs. 1 GRC Letztlich bleibt daher im Zusammenhang mit Art. 8 GRC nur der allgemeine Schrankenvorbehalt des Art. 51 Abs. 1 GRC anwendbar. Die Einschränkung des Rechts auf Schutz personenbezogener Daten muss also gesetzlich vorgesehen sein und dessen Wesensgehalt achten. Zudem darf eine Einschränkung nur unter Wahrung des Verhältnismäßigkeitsgrundsatzes vorgenommen werden, wenn sie notwendig sind und den von der Union anerkannten, dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Damit übernimmt die Schrankenregelung weitgehend die Voraussetzungen, die der Gerichtshof in seinen Urteilen für die Rechtfertigung auf297

Vgl. Nicolaysen, Europarecht I, S. 131. Vgl. auch Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 52, Rn. 25, der in diesem Zusammenhang auf die überwiegend objektivrechtliche Funktion des Art. 286 EGV abstellt. 299 So aber Grabenwarter, DVBl. 2001, S. 4. 300 In diese Richtung, wenn auch nicht ganz eindeutig, Grabenwarter, DVBl. 2001, S. 4. 298

E. Der Datenschutz in der Grundrechtecharta der EU

287

gestellt hat.301 Ergänzt wird der durch die Rechtsprechung entwickelte Katalog um das Erfordernis einer gesetzlichen Grundlage. Dieser Gesetzesvorbehalt soll – wie auch in der EMRK – als weit gefasst verstanden werden, so dass auch das Gewohnheitsrecht darunter fällt.302 Erfasst werden – je nach Kompetenzverteilung – sowohl gesetzliche Maßnahmen der Gemeinschaft als auch der Mitgliedstaaten.303 Eine weitere Änderung gegenüber der Formel des EuGH findet sich in der Formulierung des Zieles der Maßnahme. Dieses muss nicht nur dem Gemeinwohl dienen, sondern zudem auch von der Union anerkannt sein. Folglich sind nur ausdrücklich in den Verträgen verankerte Ziele der Gemeinschaft von der Schrankenregelung erfasst.304 Aufgenommen wurde schließlich auch das Ziel des Schutzes der Rechte und der Freiheiten anderer. d) Ergebnis Auch nach der Grundrechtecharta sind die Schrankenregelungen des Art. 8 Abs. 2 EMRK auf das gemeinschaftliche Recht auf Schutz personenbezogener Daten nicht anwendbar. Insofern ergibt sich – von den Fällen des Grundrechtsschutzes durch die Datenschutzrichtlinie abgesehen – kein grundsätzlicher Unterschied zu dem durch die Rechtsprechung des EuGH gewährleisteten Grundrecht auf Datenschutz. Doch ist der vom Gerichtshof aufgestellte Katalog der Rechtfertigungsvoraussetzungen vervollständigt worden. Ob dies den Schrankenbestimmungen der Charta und damit letztlich auch dem Grundrecht an sich305 zu einer besseren Wirksamkeit verhilft, bleibt abzuwarten. 301 Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 52, Rn. 18, mit Verweis auf EuGH, Rs. C-292/97, Karlsson, Slg. 2000, I-2737, Rn. 45; Mahlmann, ZEuS 2000, S. 439. 302 Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 52, Rn. 20. Darüber hinaus ist wohl davon auszugehen, dass nur abstrakt-generelle Regelungen den Gesetzesvorbehalt erfüllen. Außerdem stellt sich die Frage, inwieweit die gesetzliche Vorschrift auf die Entscheidung eines demokratisch legitimierten Parlamentes zurückgehen muss. Kommissionsakte dürften der Anforderung der Schrankenbestimmung daher nur genügen, wenn sie ihrerseits auf eine gesetzliche Grundlage gestützt werden können, vgl. Hector, Die Charta der Grundrechte der Europäischen Union, in: Bröhmer (Hg.), Der Grundrechtsschutz in Europa, S. 202. 303 Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 52, Rn. 20. 304 Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 52, Rn. 20, der in diesem Zusammenhang Art. 2 EGV, aber auch solche Ziele, die durch spezielle Bestimmungen des Vertrages wie Art. 30 und 39 EGV geschützt werden, nennt. 305 Zu diesem Zusammenhang siehe Kenntner, ZRP 2000, S. 424.

288

Teil 3: Datenschutz in der Europäischen Gemeinschaft

II. Der Anwendungsbereich der Charta Es zeigt sich, dass mit Inkrafttreten der Charta dem Einzelnen ein Recht auf Schutz personenbezogner Daten gewährt wird, das im Vergleich zu den bisher bestehenden Rechten sehr detailliert formuliert ist. Dabei stellt sich jedoch die Frage, inwieweit dieses materiell umfassende Recht auch zur Anwendung kommt. 1. Die Funktion des Art. 51 Abs. 1 GRC Der Anwendungsbereich der Grundrechtecharta ist in Art. 51 GRC definiert. Danach gilt sie für die Organe und Einrichtungen der Union unter Einhaltung des Subsidiaritätsprinzips und für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Anzumerken ist zunächst, dass mit dem Begriff Union auch die Gemeinschaften und das Gemeinschaftsrecht mit umfasst werden, die Anwendbarkeit also nicht etwa auf die zweite und dritte Säule beschränkt werden soll.306 Die Wendung „Organe und Einrichtungen der Union“ findet sich auch in Art. 286 EGV. Mit „Organen“ sind in erster Linie die in Art. 5 EUV und Art. 7 EGV genannten Institutionen gemeint. Da der Konvent aber bestrebt war, einen möglichst lückenlosen Schutz gegenüber der europäischen Hoheitsgewalt zu schaffen, ist der Begriff weit auszulegen, so dass die Charta etwa auch gegenüber dem Europäischen Rat Anwendung findet.307 Einrichtungen sind alle Instanzen, die durch die Gründungsverträge oder durch sekundäres Recht geschaffen wurden.308 Im Bereich des Grundrechtsschutzes gegenüber der Gemeinschaft ändert sich daher durch die Vorschriften der Grundrechtecharta an sich nicht viel. Über Art. 286 EGV und die Datenschutzverordnung wird dem Betroffenen bereits vor Inkrafttreten der Grundrechtecharta ein Recht auf Schutz seiner personenbezogenen Daten gewährt. Anders stellt sich die Situation hingegen bezüglich des Datenschutzes gegenüber den Mitgliedstaaten dar. Eine Bindung an die Gemeinschaftsgrund306 Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 51, Rn. 17; siehe auch Griller, Der Anwendungsbereich der Grundrechtecharta, in: Duschanek/Griller (Hg.), Grundrechte für Europa, S. 136. Insofern hat man mit der Formulierung der Charta der Entwicklung vorgriffen, da die Unterscheidung zwischen Gemeinschaft und Union mit dem Verfassungsentwurf aufgehoben wurde. Dort ist nunmehr ausschließlich von „Union“ die Rede. 307 Hummer, Grundrechtecharta, S. 76; Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 51, Rn. 18. 308 Erläuterungen des Präsidiums zu Art. 51; Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 51, Rn. 19.

E. Der Datenschutz in der Grundrechtecharta der EU

289

rechte besteht nur, soweit die Mitgliedstaaten das Recht der Union durchführen, wobei die Charta jedoch keinen Hinweis enthält, wann man von einer solchen „Durchführung“ sprechen kann. Anhaltspunkte für die Auslegung des Begriffs lassen sich jedoch der Rechtsprechung des EuGH entnehmen.309 Auch er geht davon aus, dass die Maßnahmen der Mitgliedstaaten am Maßstab der Gemeinschaftsgrundrechte zu prüfen sind, wenn sie mit der Durchführung von Gemeinschaftsrecht befasst sind.310 Dies ist beim Vollzug von Verordnungen311 oder unmittelbar anwendbaren Richtlinienbestimmungen,312 sowie bei der Umsetzung von Richtlinien in nationales Recht der Fall.313 Gemeinsam ist diesen Situationen, dass die Handlungen der Mitgliedstaaten einen starken gemeinschaftsrechtlichen Bezug aufweisen,314 sodass sie sich in einer sogenannten agency situation befinden.315 Eine „Durchführung“ von Gemeinschaftsrecht ist bei den geschriebenen Grundrechten also dann anzunehmen, wenn Mitgliedstaaten Gemeinschaftsrecht vollziehen und umsetzen.316 Zugleich scheint bei einem Vergleich zwischen Art. 51 GRC und der Grundrechtsrechtsprechung des EuGH aber auch eine gewisse Zurückhaltung geboten. So unterscheidet sich die Formulierung „bei der Durchführung des Rechts der Union“ in auffälliger Weise von der Formel, die der Gerichtshof in seiner jüngeren Rechtsprechung zur Bindung der Mitgliedstaaten an die Grundrechte verwendet hat. Danach finden die Gemeinschaftsgrundrechte dann Anwendung, wenn eine nationale Regelung in den „Anwendungsbereich des Gemeinschaftsrechts fällt“.317 Jedoch ist diese Formulierung das Ergebnis einer sich über einen längeren Zeitraum erstre309 Eine ausführliche Auseinandersetzung mit der Durchführung i. S. d. Art. 51 Abs. 1 GRC findet sich bei Große Wentrup, Die Europäische Grundrechtecharta im Spannungsfeld der Kompetenzverteilung zwischen Europäischer Union und Mitgliedstaaten, S. 66 ff. 310 EuGH, verb. Rs. 201 und 202/85, Klensch, Slg. 1986, 3477; EuGH Rs. 5/88, Wachauf, Slg. 1989, 2609. 311 EuGH, verb. Rs. 201 und 202/85, Klensch, Slg. 1986, 3477; EuGH Rs. C-63/93, Duff, Slg. 1996, I-569. 312 Dazu Cirkel, Die Bindungen der Mitgliedstaaten an die Gemeinschaftsgrundrechte, S. 93; Große Wentrup, Die Europäische Grundrechtecharta im Spannungsfeld der Kompetenzverteilung zwischen Europäischer Union und Mitgliedstaaten, S. 52. 313 So für die Auslegung und Anwendung, EuGH, verb. Rs. C-74/95 und C-129/95, Strafverfahren gegen X., Slg. 1996, I-6609, Rn. 25. Dafür, dass dies dann erst Recht für die Umsetzung von Richtlinien gelten muss: Große Wentrup, Die Europäische Grundrechtecharta im Spannungsfeld der Kompetenzverteilung zwischen Europäischer Union und Mitgliedstaaten, S. 54. 314 Ruffert, EuGRZ 1995, S. 527. 315 Weiler/Lockhart, CMLR 1995, S. 73; ähnlich auch García, ELJ 2002, S. 495. 316 Siehe dazu auch Weiler, Fundamental rights and fundamental boundaries, in: Neuwahl/Rosas (Hg.), The European Union and Human Rights, S. 69.

290

Teil 3: Datenschutz in der Europäischen Gemeinschaft

ckenden Entwicklung. Zu Beginn ging auch der EuGH davon aus, dass die Mitgliedstaaten die Gemeinschaftsgrundrechte zu berücksichtigen haben, wenn sie mit der Durchführung von Gemeinschaftsrecht befasst sind.318 Die Ausweitung auf den Anwendungsbereich erfolgte erst später.319 Damit ist diese Abweichung nicht zufällig, sondern stellt eine bewusste und vom abschließenden Konsens des Konvents getragene Einschränkung gegenüber der bisherigen Rechtsprechung des EuGH dar.320 Die Mitgliedstaaten sollten bei der Behandlung innerstaatlicher Sachverhalte in Bereichen, die thematisch der EU offen stehen oder auch nur tatsächlich von ihr in Anspruch genommen würden, gerade nicht an die Charta gebunden sein.321 Mit der Vorschrift wurde also bewusst eine Einschränkung des Anwendungsbereiches der Charta bezweckt. Da die Erläuterungen aber keine verbindlichen Vorgaben für die Interpretation enthalten, bedeutet dies noch nicht, dass Art. 51 Abs. 1 GRC tatsächlich restriktiv ausgelegt wird.322 Zweifel ergeben sich insbesondere bei genauer Betrachtung der jüngeren Rechtsprechung des EuGH zum Datenschutz, die der EuGH in dem Urteil Österreichischer Rundfunk geprägt hat. 2. Der Konflikt mit der Rechtsprechung des EuGH zum Datenschutz Fraglich ist vor allem, ob die Begrenzung des Anwendungsbereiches der Grundrechtecharta tatsächlich zu einer unabhängigeren Stellung der Mitgliedstaaten führt. Sicherlich ist durch den Ausschluss der Fälle, die in den „Anwendungsbereich des Gemeinschaftsrechts“ fallen, auf den ersten Blick die Anwendbarkeit der Charta auf Maßnahmen der Mitgliedstaaten reduziert: Rein nationale Rechtsakte, die keine Grundlage im Gemeinschaftsrecht haben, wie etwa Einschränkungen der Grundfreiheiten,323 werden nicht 317

EuGH, Rs. C-15/90, SPUC/Grogan, Slg. 1991, I-4685, Rn. 31; EuGH, Rs. C-299/95, Kremzow, Slg. 1997, I-2629. 318 EuGH, verb. Rs. 201 und 202/85, Klensch, Slg. 1986, 3477; EuGH, Rs. 5/88, Wachauf, Slg. 1989, 2609. 319 EuGH, Rs. C-260/89, ERT, Slg. 1991, 2925, seitdem ständige Rechtsprechung, vgl. EuGH, Rs. C-94/00, Roquettes Frères, Slg. 2002, I-9011, Rn. 25. 320 Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 51, Rn. 24; García, ELJ 2002, S. 495; auch Eeckhout, CMLR 2002, S. 961, weist darauf hin, dass die in der bisherigen Rechtsprechung verwendete Formulierung „Anwendungsbereich des Gemeinschaftsrechts“ weiter ist als „Durchführung“. 321 Konventsmitglied Friedrich in Änderungsvorschlag 378, siehe Borowsky, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union, Art. 51, Rn. 6. 322 Für eine weite Auslegung spricht sich auch Eeckhout, CMLR 2002, S. 993, aus.

E. Der Datenschutz in der Grundrechtecharta der EU

291

am Maßstab der Charta überprüft – und das, obwohl ein Bezug zum Gemeinschaftsrecht besteht. Bei genauerer Betrachtung zeigt sich jedoch, dass die „Durchführungsmaßnahmen“ nicht notwendiger Weise eine engere Verbindung zum Gemeinschaftsrecht aufweisen, als solche, die lediglich „in den Anwendungsbereich des Gemeinschaftsrechts“ fallen. Trotz der restriktiven Regelung des Art. 51 Abs. 1 GRC kann es daher unter Umständen zu einer Anwendbarkeit der Gemeinschaftsgrundrechte auf rein innerstaatliche Sachverhalte kommen. Und mehr noch: Im Gegensatz zu Maßnahmen, die in den „Anwendungsbereich“ fallen, ist dies sogar dann möglich, wenn kein gemeinschaftsrechtlicher Bezug gegeben ist. So handelte es sich im Fall Österreichischer Rundfunk genau genommen um eine rein nationale Maßnahme des Mitgliedstaates ohne gemeinschaftsrechtlichen Bezug. Dennoch hat der EuGH die Gemeinschaftsgrundrechte für anwendbar erklärt, weil die Regelung in den Anwendungsbereich der Richtlinie fiel und daher als „gemeinschaftsrechtlicher Durchführungsakt“ des Mitgliedstaates zu beurteilen war. Dieses Ergebnis lässt sich nur durch die deutliche Ausweitung des Anwendungsbereiches der Gemeinschaftsgrundrechte erklären, die dadurch entstanden ist, dass der EuGH in diesem Fall den „Anwendungsbereich des Gemeinschaftsrechts“ i. S. d. Richtlinie von der Frage der Kompetenzen losgelöst hat.324 Seiner Auffassung nach „setzt die Heranziehung von Art. 100 a (95 n. F.) EG-Vertrag als Rechtsgrundlage nicht voraus, dass in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen Mitgliedstaaten besteht.“325

In der Folge beurteilt sich die österreichische Regelung als eine gemeinschaftsrechtliche Durchführungsmaßnahme, obwohl sie ausschließlich einen Bereich betrifft, in dem keine Kompetenzen der Gemeinschaft bestehen. Folglich wäre die Grundrechtecharta anwendbar. Im Bereich des Datenschutzes verfehlt daher die einschränkende Formulierung des Art. 51 Abs. 1 GRC ihre Wirkung. Das Beispiel zeigt, dass sich allein durch die Beschränkung des Anwendungsbereiches der Grundrechtecharta auf die „Durchführung des Gemeinschaftsrechts“ ihr Einfluss auf die Befugnisse der Mitglied323 Für weitere Fälle, die in den Anwendungsbereich des Gemeinschaftsrechts fallen, aber keine Durchführung des Gemeinschaftsrecht darstellen vgl. Eeckhout, CMLR 2002, S. 961. 324 Zum Zusammenhang zwischen Grundrechtswirkungen und Gemeinschaftskompetenz siehe Wolf, Vom Grundrechtsschutz „in Europa“ zu allgemeinverbindlich geltenden europäischen Grundrechten in: Bröhmer (Hg.), Der Grundrechtsschutz in Europa, S. 11, m. w. N. 325 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk, Slg. 2003, I-4989.

292

Teil 3: Datenschutz in der Europäischen Gemeinschaft

staaten nicht verringert.326 Indem der Gerichtshof die Parallelität zwischen Grundrechtsschutz und Kompetenzabgrenzung aufgibt,327 provoziert er zugleich den Konflikt mit Art. 51 Abs. 1 GRC.328 Hinsichtlich der grundrechtlichen Beurteilung von Maßnahmen der Mitgliedstaaten sind die Voraussetzungen für die Anwendbarkeit der Grundrechtecharta enger als die für die ungeschriebenen Gemeinschaftsgrundrechte. Wie sich dieser Konflikt in der Praxis auswirken wird, ist an dieser Stelle noch nicht abzusehen. Es könnte bedeuten, dass zumindest im Bereich des Datenschutzes auch mit Inkrafttreten der Charta ein Anwendungsbereich für die Gemeinschaftsgrundrechte als allgemeine Rechtsgrundsätze verbleiben würde.329

III. Ergebnis und Ausblick Im Vergleich zu dem bisher durch die Rechtsprechung garantierten Gemeinschaftsgrundrecht auf Datenschutz stellt sich das Recht aus Art. 8 GRC als subjektiv ausgeprägtes Grundrecht dar. Insofern zeigt sich eine besondere Nähe zu dem Recht auf Datenschutz unter der EMRK, wenn dieses auch, wie gezeigt, keinen besonderen Einfluss auf das neue Grundrecht haben wird. Zugleich findet sich damit erstmalig ein ausdrücklich formuliertes Recht auf Datenschutz in einem Grundrechtskatalog auf internationaler Ebene. Indem Art. 8 GRC festschreibt, dass eine Verarbeitung personenbezogener Daten nur mit Einwilligung des Betroffenen oder auf gesetzlicher Grundlage und nur zu einem festgelegten Zweck erfolgen darf, beruht die 326 Ein ähnliches Ergebnis sieht Eekhout für den Bereich des Asylrechts voraus, CMLR 2002, S. 977. Dies fordert für die Gemeinschaftsgrundrechte ganz allgemein auch Griller, Der Anwendungsbereich der Grundrechtecharta, in: Duschanek/Griller (Hg.) Grundrechte für Europa, S. 144. 327 Eine solche nimmt Nicolaysen, EuR 2003, S. 728, an; vgl. auch Toth, CMLR 34 (1997), S. 493; Hector, Die Charta der Grundrechte der Europäischen Union, in: Bröhmer (Hg.), Der Grundrechtsschutz in Europa, S. 192; für den Datenschutz auch Vassilaki, REDP 1994, S. 113. 328 Der Zusammenhang zwischen Kompetenzen und Grundrechten geht zurück auf das Gutachten 2/94, in dem der EuGH festgestellt hatte, dass der Gemeinschaft eine Kompetenz zur Regelung von Grundrechten zusteht. Jedoch kann diese Feststellung nicht absolut gelten, da es dann der Gemeinschaft in einigen Bereichen verboten wäre, notwendige Folgeregelungen zu treffen, siehe Eeckhout, CMLR 2002, S. 983. 329 Zu den Auswirkungen des Inkraftretens der Grundrechtecharta auf die Rechtsprechung des EuGH siehe Griller, Der Anwendungsbereich der Grundrechtecharta, in: Duschanek/Griller (Hg.) Grundrechte für Europa, S. 134. Auf die ungelösten Fragen hinsichtlich der Grenzen der Bindung an die Gemeinschaftsgrundrechte bei der Durchführung von Richtlinien weist bereits Grabenwarter, DVBl. 2001, S. 3 hin.

F. Der Datenschutz im Verfassungsentwurf, Art. I-50

293

Vorschrift im Wesentlichen auf der Selbstbestimmung des Betroffenen. Auch die Auskunfts- und Berichtigungsrechte sowie die Überwachung durch eine unabhängige Stelle betonen die Autonomie des Einzelnen im selbstbestimmten Umgang mit seinen Daten. Insofern ist das durch die Grundrechtecharta garantierte Recht konzeptionell durchaus mit dem vom BVerfG entwickelten Recht auf informationelle Selbstbestimmung vergleichbar.330 Anders als bei dem durch die EMRK gewährten Recht auf Datenschutz oder dem ungeschriebenen Gemeinschafsgrundrecht steht damit erstmalig der Einzelne und seine Entscheidungsfreiheit im Mittelpunkt eines solchen Rechts. Schließlich wird mit der Einführung eines speziellen Grundrechts auf Schutz personenbezogener Daten der besonderen Bedeutung Rechnung getragen, die dem Datenschutz in der Gemeinschaft zukommt.331

F. Der Datenschutz im Verfassungsentwurf, Art. I-50 Schließlich ist zu erwähnen, dass der Datenschutz neben der Grundrechtecharta noch an anderer Stelle Eingang in den Verfassungsentwurf gefunden hat. So heißt es in Art. I-50 der Verfassung: „(1) Jeder Mensch hat das Recht auf Schutz der ihn betreffenden personenbezogenen Daten. (2) Durch Europäische Gesetze oder Rahmengesetze werden Regeln über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr festgelegt. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht.332

Angesichts des speziellen Grundrechts auf Schutz personenbezogener Daten in Art. 8 GRC überrascht die Aufnahme eines Rechts in dieser Gestalt. So hat Art. I-50 Abs. 1 den Charakter eines Grundrechts und scheint ledig330 Vgl. Hector, Die Charta der Grundrechte der Europäischen Union, in: Bröhmer (Hg.), Der Grundrechtsschutz in Europa, S. 196. 331 Craig/de Bfflrca, EU Law, S. 359, a. A. jedoch Bergkamp, CLSR 2002, S. 33; Maiani, RTD eur 2002, S. 283. 332 CIG 86/04, vom 25. Juni 2004, RK 2003/2004, Vorläufige konsolidierte Fassung des Vertrages über eine Verfassung für Europa. Anders der Wortlaut des Art. I-50 im ursprünglichen Konventsentwurf. Dort hieß es in Abs. 2: „Europäische Gesetze legen Regeln über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr fest. Die Einhaltung dieser Vorschriften wird von einer unabhängigen Behörde überwacht.“

294

Teil 3: Datenschutz in der Europäischen Gemeinschaft

lich in einer kürzeren Form zu wiederholen, was durch Art. 8 GRC ohnehin schon gewährleistet ist.333 Zudem befindet sich die Vorschrift im Titel VI des Verfassungsentwurfs, der mit „das Demokratische Leben der Union“ überschrieben ist. Auch hierdurch zeigt sich der grundrechtliche Charakter der Vorschrift. Anders beurteilt sich die Situation jedoch hinsichtlich des Absatzes 2. In ihm finden sich einige Elemente des jetzigen Art. 286 EGV, insgesamt geht er jedoch weit darüber hinaus. Auffällig ist zunächst, dass er sich nicht nur mit der Regelung des Datenschutzes gegenüber den Organen und Einrichtungen der Gemeinschaft beschäftigt, sondern außerdem auch die Mitgliedstaaten mit einbezieht. Damit enthält er im Gegensatz zu Art. 286 EGV eine umfassende Kompetenz der Gemeinschaft im Bereich des Datenschutzes. Während bei der Regelung des Datenschutzes in den Mitgliedstaaten bisher auf die allgemeine Kompetenzgrundlage des Art. 95 EGV zurückgegriffen werden musste,334 wird die Gemeinschaft mit Inkrafttreten der Verfassung nunmehr über eine spezielle Kompetenznorm verfügen, die auch die Bereiche der bisherigen dritten Säule mit umfasst.335 Besonders interessant ist dabei, dass der ursprüngliche Konventsentwurf als Mittel zur Ausübung der Kompetenzen der Union ausdrücklich nur das Europäische Gesetz336 vorsah, während in der durch die Regierungskonferenz angenommenen Fassung nunmehr auch den Erlass von Rahmengesetzen337 möglich ist. Diese Änderung ist für den Datenschutz in der Mitgliedstaaten von großer Bedeutung. Zwar sieht Art. 286 EGV für den Datenschutz gegenüber der Gemeinschaft bzw. der Union bereits heute die Regelung mittels Verordnung vor. Im Verhältnis zu den Mitgliedstaaten sind bisher jedoch ausschließlich Richtlinien verwendet worden. Eine Abkehr von dieser Form der Rechtsakte hätte weitreichende Konsequenzen ge333 Dementsprechend finden sich in den Dokumenten des Verfassungskonvents auch Vorschläge, den Absatz ersatzlos zu streichen, siehe Convention, Title VI: The Democratic Life of the Union, Suggestion for amendment of Article: I-50: Protection of personal data, by Members: Mr. Andrew Duff, Mr. Lamberto Dini, Mr. Paul Helminger, Mr. Rein Lang, Lord Maclennan, abrufbar unter: http://www.euro pean-convention.eu.int (April 2005). 334 Dazu Spannowsky, REDP 1991, S. 39. 335 Siehe dazu Adenas/Zleptnig, Surveillance and Data Protection: Regulatory Approaches in the EU and Member States, EBLR 2003, 781. 336 Dieses ist in Art. I-32 Abs. 1 Uabs. 2 VV als Rechtsakt mit allgemeiner Geltung, der in allen seinen Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt, definiert. 337 Das Rahmengesetz entspricht der bisherigen Richtlinie der Gemeinschaft. Gemäß Art. I-32, Abs. 1, Uabs. 3 VV ist es ein Gesetzgebungsakt, der für jeden Mitgliedstaat, an den es gerichtet ist, hinsichtlich des zu erreichenden Ziels verbindlich ist, jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel überlässt.

G. Gesamtergebnis

295

habt. Ungeachtet der Tatsache, dass die bisher erlassenen Richtlinien im Bereich des Datenschutzes bereits eine totale Harmonisierung vorgenommen haben338 und der Datenschutz in den Mitgliedstaaten daher bereits gemeinschaftsrechtlich determiniert ist, belassen die Datenschutzrichtlinien den Mitgliedstaaten einen gewissen Handlungsspielraum.339 Die Beschränkung auf den Erlass von Europäischen Gesetzen hätte diesen Handlungsspielraum beseitigt und die Kompetenzen der Mitgliedstaaten folglich zusätzlich eingeschränkt. Es ist schwierig zu prognostizieren, welche Rolle Art. I-50 nach Inkrafttreten der Verfassung spielen wird. Von großer Bedeutung ist die Vorschrift schon allein aufgrund ihrer Funktion als Kompetenznorm. Aus grundrechtlicher Sicht steht jedoch zu erwarten, dass sie neben Art. 8 GRC keine eigenständige Bedeutung erlangen wird.

G. Gesamtergebnis Nachdem der Datenschutz auch in der Europäischen Gemeinschaft zunächst nur einen Teilaspekt des Gemeinschaftsgrundrechts auf Achtung des Privatlebens dargestellt hatte, entwickelte der EuGH durch seine Rechtsprechung in den letzten Jahren ein eigenständiges Grundrecht auf Datenschutz. Sein Inhalt wird in erster Linie durch die Datenschutzrichtlinie bestimmt, in der die allgemeinen Rechtsgrundsätze der Gemeinschaft Niederschlag gefunden haben. Dementsprechend bildet sie den Maßstab für den Datenschutz in der Gemeinschaft. In der Folge werden Informationen, unabhängig davon, ob diese den privaten oder öffentlichen Bereich betreffen, geschützt. Zugleich kommt den in Art. 6, 7 und 13 enthaltenen grundlegenden Prinzipien grundrechtliche Qualität zu. Jedoch wird der grundrechtliche Datenschutz nicht allein durch die allgemeinen Rechtsgrundsätze gewährt. Seit dem Urteil im Fall Österreichischer Rundfunk ist zudem ein aus der Datenschutzrichtlinie fließendes Recht des Einzelnen anerkannt, dessen Gehalt der Gerichtshof vor allem durch die Heranziehung von Art. 8 EMRK bestimmt. Während sich in der Rechtsprechung inhaltliche Unterschiede zwischen diesen Formen des Grundrechts des EuGH bisher nicht ausmachen lassen, erweitert das durch die Richtlinie vermittelte Recht jedoch in erheblichem Maße den Anwendungsbereich der Gemeinschaftsgrundrechte gegenüber den Mitgliedstaaten. Welche Auswirkungen die Einführung dieses durch die Richtlinie vermittelten Grundrechts haben wird, kann an dieser Stelle nicht abschließend beur338 339

Siehe dazu oben unter Teil 3, B.I.3. Siehe etwa die Regelung des Art. 5 Abs. 1 der Richtlinie 95/46/EG.

296

Teil 3: Datenschutz in der Europäischen Gemeinschaft

teilt werden. Es ist jedoch zu vermuten, dass eine Koexistenz dieser beiden Aspekte des Grundrechts auf Datenschutz mit ihrer unterschiedlichen Ausprägung auf Dauer nicht möglich sein wird. Um die Zugänglichkeit des Grundrechts weiterhin zu gewährleisten, wird man von einem einheitlichen Anwendungsbereich des Grundrechts ausgehen müssen, der durch die Richtlinie gegenüber den Mitgliedstaaten ausgeweitet wird, während der Inhalt des Rechts sowohl durch die Datenschutzrichtlinie als auch durch Art. 8 EMRK bestimmt wird. Dabei wird Art. 8 EMRK jedoch gemeinschaftsrechtlich ausgelegt, sodass anders als nach der Rechtsprechung des Straßburger Gerichtshofes kein Bezug der Daten zum Privatleben erforderlich ist. Die Richtlinie nimmt im Datenschutzrecht der Gemeinschaft aber nicht nur wegen ihrer Rolle bei der Herleitung der allgemeinen Rechtsgrundsätze eine besondere Position ein, die weit über die Bedeutung eines gewöhnlichen Sekundärrechtsaktes hinausgeht. Sie bildete zudem die Grundlage für alle datenschutzrechtlichen Rechtsakte der Gemeinschaft, die nach ihrem Inkrafttreten erlassen wurden und auch Art. 8 der Grundrechtecharta diente sie als Vorbild. Es ist zu erwarten, dass das ungeschriebene Grundrecht auf Datenschutz zukünftig durch das positive Recht der Grundrechtecharta abgelöst werden wird. Mit Inkrafttreten der Charta wird sich der Einfluss der Richtlinie auf den grundrechtlichen Datenschutz in der Gemeinschaft daher noch verstärken. Zugleich ist mit dem Inkrafttreten aber auch ein Rückschritt verbunden. Maßnahmen der Mitgliedstaaten sind in wesentlich geringerem Maße einer Kontrolle am Maßstab der Gemeinschaftsgrundrechte zugänglich als bisher. Damit das erreichte Schutzniveau im Bereich des grundrechtlichen Datenschutzes nicht gefährdet wird, sollten die von der Rechtsprechung entwickelten Grundsätze bei der Interpretation der Charta weiterwirken, was aufgrund ihres durch ihre Herkunft begründeten höheren Ranges auch möglich erscheint.340

340

So jedenfalls Nicolaysen, EuR 2003, S. 728.

Teil 4

Das besondere Problem der Übermittlung von Daten in ein Drittland Es ist gezeigt worden, dass in der Gemeinschaft ein Grundrecht auf Datenschutz gewährleistet wird. In der Folge kann der Unionsbürger eine Beeinträchtigung dieses Rechts gegenüber Maßnahmen der Gemeinschaft und in begrenztem Maße auch gegenüber Maßnahmen der Mitgliedstaaten geltend machen. Jedoch ist das Grundrecht auf Datenschutz nicht nur für die Verarbeitung personenbezogener Daten in der Gemeinschaft von Bedeutung. Besondere Relevanz kommt ihm im Zusammenhang mit der Übermittlung von Daten in Drittländer zu. Dieser ausgewählte Bereich soll daher im Folgenden kurz einer gesonderten Betrachtung unterzogen werden.1 Als der Datenverkehr aus den Mitgliedstaaten in das Nicht-EU-Ausland stark zunahm, zeigte sich, dass es nicht ausreichte, lediglich auf Ebene der Europäischen Gemeinschaft einheitliche Regelungen über den Datenschutz zu erlassen. Soweit ein unbeschränkter Datenexport in Drittländer zulässig ist, können die Vorschriften der Richtlinie mittels moderner Telekommunikationsnetze leicht umgangen werden.2

A. Der Export von Daten nach den Vorschriften der Richtlinie Um eine Verschlechterung der Rechtsposition für den Betroffenen zu verhindern, war es daher erforderlich, in die Datenschutzrichtlinie eine Regelung über den Datenexport in Drittländer aufzunehmen.3 Für den Grundrechtsschutz bedeutet dies, dass die Betroffenen auch dann einen Anspruch 1 Umfassende Darstellungen finden sich bei Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, sowie Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 ff. 2 Pearce/Platten, JCMS 1998, S. 540; Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch Datenschutzrecht, Rn. 50; Gola/Klug, Grundzüge des Datenschutzrechts, S. 20. Zu den Herausforderungen der weltweit vernetzten Informationsgesellschaft auch Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudolf, S. 514.

298

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

auf den Schutz ihrer Grundrechte haben, wenn ihre Daten in einen NichtEU-Staat übermittelt werden, um dort verarbeitet zu werden.4

I. Angemessenes Schutzniveau Grundsätzlich ist eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig, wenn dieses ein angemessenes Schutzniveau gewährleistet, (Art. 25 Datenschutzrichtlinie). Die Feststellung, ob ein solches Niveau im konkreten Fall garantiert ist, obliegt zunächst der Kontrollstelle des Mitgliedstaates, aus dem die Daten exportiert werden sollen. Kommt die betreffende Behörde zu dem Ergebnis, dass ein entsprechendes Schutzniveau nicht gewährleistet ist, ist der Mitgliedstaat verpflichtet, die Kommission zu unterrichten. Die Kommission wiederum trifft dann nach dem Verfahren des Art. 31 Abs. 2 eine Entscheidung,5 wobei sie durch einen aus Vertretern der Mitgliedstaaten zusammengesetzten Ausschuss6 sowie die Art. 29 -Datenschutzgruppe unterstützt wird. Dieser Gruppe, die aus Vertretern der Mitgliedstaaten, der Organe bzw. Institutionen der Gemeinschaft und einem Vertreter der Kommission zusammengesetzt ist, obliegt es gemäß Art. 30 Abs. 1 lit. b, zum Schutzniveau in der Gemeinschaft und in Drittländern gegenüber der Kommission Stellung zu nehmen. Stellt die Kommission schließlich fest, dass ein angemessener Schutz nicht sichergestellt ist, sind die Mitgliedstaaten verpflichtet, alle erforderlichen Maßnahmen zu treffen, um zu gewährleisten, dass keine Datenübermittlung in diese Staaten erfolgt.7 Anhaltspunkte für den dabei zugrunde zu legenden Beurteilungsmaßstab enthält Art. 25 Abs. 2. Danach sind bei der Beurteilung der Angemessenheit des Schutzniveaus insbesondere die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und Endbestimmungsland, die dort geltenden allgemeinen und sektoriellen Rechtsnormen sowie die geltenden Standesregelen und Sicherheitsmaßnahmen zu berücksichtigen. Direkte Hinweise darauf, was unter Angemessenheit zu verstehen ist, enthält die Richtlinie jedoch nicht.8 Es bleibt daher 3 Ellger, RabelsZ 1996, S. 740; vgl auch Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudolf, S. 513. 4 Simitis, NJW 1997, S. 284. 5 Art. 25 Abs. 2 und Abs. 4 Richtlinie 95/46/EG. 6 Und in dem ein Vertreter der Kommission den Vorsitz führt, Art. 31 Abs. 1. 7 Art. 25 Abs. 4 Richtlinie 95/46/EG. 8 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25, Rn. 8; Ehmann/Helfrich, EG Datenschutzrichtlinie, Art. 25, Rn. 3; siehe auch Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss ei-

A. Export von Daten nach den Vorschriften der Richtlinie

299

unklar, ob eine Gleichwertigkeit des Schutzniveaus erforderlich ist oder ob auch ein im Vergleich zur Richtlinie niedrigerer Standard im Empfängerland ausreichend sein kann, um von einem angemessenen Niveau auszugehen.9 Nach ganz überwiegender Meinung liegt den Regelungen der Richtlinie aber eine funktionale Betrachtungsweise zugrunde. Dies bedeutet, dass anhand der in Abs. 2 aufgezählten Faktoren zunächst das mit der Übermittlung verbundene Risiko für den Schutz der betroffenen Person ermittelt wird. Im Rahmen einer Abwägung wird anschließend festgestellt, ob das Risiko angesichts der durch das Drittland gewährten Schutzmaßnahmen überwiegt.10 Damit wird die Funktionalität und Effektivität des im Drittland bestehenden Systems im Hinblick auf das Ziel der Gewährleistung des Schutzes der Grundrechte und Grundfreiheiten analysiert.11 Letztlich kommt es also lediglich auf die funktionale Vergleichbarkeit der Systeme einschließlich ihrer effektiven Durchsetzung in der Praxis12 und nicht auf die Gleichwertigkeit an.13 Ist das Schutzniveau dementsprechend an die Umstände des Einzelfalls angepasst, ist es nicht ausgeschlossen, dass grundsätzlich auch ein geringerer Schutzstandard als der durch die Richtlinie vorgesehene zulässig ist.14 Bestätigt wird diese Auslegung durch einen Vergleich mit den entsprechenden Vorschriften der Datenschutzkonvention des Europarates, die die Richtlinie konkretisieren und erweitern soll.15 Danach ist eine grenzübernes internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudolf, S. 518; kritisch daher auch Lavranos, DuD 1996, S. 403. 9 Siehe dazu die umfangreiche Analyse bei Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 74 ff. 10 Vgl. Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 11 ff.; Dammann/ Simitis, EG-Datenschutzrichtlinie, Art. 25, Rn. 8; Ehmann/Helfrich, EG Datenschutzrichtlinie, Art. 25, Rn. 5; Gridl, Datenschutz in globalen Telekommunikationssystemen, S. 248; Taeger, EWS 1995, S. 79; dementsprechend geht Geis davon aus, dass Gleichwertigkeit einem Datenexportverbot gleichkomme, da sich in Drittstaaten kein gleichwertiges Datenschutzniveau finde, Geis, NJW 1997, S. 290. 11 Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung Rn. 29, Art. 25 Rn. 8; siehe auch Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 15. 12 Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 15. 13 Zu der Unterscheidung vor allem im Vergleich zu der Regelung in der Datenschutzkonvention des Europarates siehe Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 16; kritisch dazu Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung, Rn. 28. 14 Vgl. Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 93. 15 So heißt es in Erwägungsgrund Nr. 11 der Richtlinie 95/46/EG: „Die in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphäre, konkretisieren und erweitern die

300

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

schreitende Übermittlung zulässig, wenn der Empfängerstaat ein gleichwertiges Schutzniveau gewährleistet (Art. 12 Abs. 2 i. V. m. Abs. 3 lit. a). Jedoch erfasst der Anwendungsbereich des Art. 12 nur die Datenübermittlung zwischen Vertragsstaaten.16 Eine Regelung über die Übermittlung in Nichtvertragsstaaten findet sich hingegen im Zusatzprotokoll zur Datenschutzkonvention17. Dort heißt es in Art. 2 Abs. 1: „Each Party shall provide for the transfer of personal data to a recipient that is subject to the jurisdiction of a State or organisation that is not Party to the Convention only if that State or organisation ensures an adequate level of protection for the intended data transfer.“

Im Zusatzprotokoll hat man also bewusst eine andere Formulierung gewählt, woraus deutlich wird, dass man zwischen „equivalent protection“ und „adequate level of protection“ unterscheidet. Hinsichtlich der Auslegung von „adequate“ heißt es im für die Auslegung jedoch nicht verbindlichen Explanatory Report „the adequacy of the level of protection must be assessed in the light of all the circumstances relating to the transfer“.18 Auch finden sich im Explanatory Report Kriterien für die Beurteilung der Angemessenheit, die mit denen der Richtlinie beinahe identisch sind.19 Während schon vor Ausarbeitung des Zusatzprotokolls darauf hingewiesen in dem Übereinkommen des Europarats vom 28. Januar 1981 zum Schutze der Personen bei der automatischen Verarbeitung personenbezogener Daten enthaltenen Grundsätze.“ 16 Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, S. 471; Henke, Die Datenschutzkonvention des Europarates, S. 162. 17 Additional Protocol to the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Regarding Supervisory Authorities and Transborder Data Flows, vom 8. November 2001, (ETS) No. 181, Rn. 26. 18 Additional Protocol to the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Regarding Supervisory Authorities and Transborder Data Flows, Explanatory Report, adopted on 23 May 2001. 19 Während es im Explanatory Report heißt: „The level of protection should be assessed on a case-by-case basis for each transfer or category of transfers made. Thus the circumstances of the transfer should be examined and, in particular, the type of data, the purposes and duration of processing for which the data are transferred, the country of origin and the country of final destination, the general and sectoral rules of law applicable in the state or organisation in question and the professional and security rules which obtain there“, legt die Richtlinie in Art. 25 Abs. 2 folgenden Maßstab zugrunde: „the adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force in the third country in question and the professional rules and security measures which are complied with in that country.“

A. Export von Daten nach den Vorschriften der Richtlinie

301

wurde, dass die Datenschutzkonvention und die Richtlinie bei der Übermittlung zwischen Vertragsstaaten beide von einer Gleichwertigkeit ausgehen,20 ist seit dessen Inkrafttreten also auch bei der Übermittlung zwischen Nichtvertragsstaaten von einer Übereinstimmung der beiden Instrumente auszugehen. Im Ergebnis kann man daher sagen, dass das Merkmal der Angemessenheit in beiden Instrumenten nicht nur übereinstimmend auszulegen ist, sondern auch eindeutig keine Gleichwertigkeit des Datenschutzniveaus voraussetzt. Letztlich muss das Schutzniveau im Drittland also dem Kernbestand der Schutzprinzipien der Datenschutzrichtlinie im Wesentlichen gerecht werden.21 Im Einklang mit Art. 1 und Art. 26 Abs. 2 der Datenschutzrichtlinie, kann man sagen, dass die Sicherstellung des Schutzes der Grundrechte und Grundfreiheiten das entscheidende Element bei der Beurteilung der Angemessenheit darstellen.22 Es lässt sich festhalten, dass nach den Vorschriften der Datenschutzrichtlinie eine Datenübermittlung in ein Drittland unzulässig ist, wenn es dadurch zu einer Beeinträchtigung von Grundrechten der Unionsbürger kommt. Wann eine solche Beeinträchtigung angenommen werden kann, ist angesichts der Tatsache, dass die Gemeinschaftsgrundrechte auf der Rechtsprechung des EuGH beruhen, schwer zu beurteilen. Auch der Schutzbereich des Rechts auf Datenschutz konnte so bisher nur grob umrissen werden. Weitere Anhaltspunkte für den Gewährleistungsumfang dieses Rechts im Zusammenhang mit der Datenübermittlung in Drittländer sind jedoch in ergänzenden Dokumenten enthalten, auf die mangels einer abschließenden Definition des Grundrechts durch den Gerichtshof auch zurückgegriffen werden kann. Ein solches Dokument stellen etwa die „Ersten Leitlinien für die Übermittlung personenbezogener Daten in Drittländer“ der Art. 29-Datenschutzgruppe dar.23 Zwar kommt der Gruppe bei der Beschlussfassung keine entscheidende, sondern lediglich eine beratende Funktion zu, es zeigt sich jedoch, dass die Kommission bei ihren Entscheidungen ausdrücklich auch auf die Leitlinien zurückgreift.24 In ihnen finden sich neben einem „festen Kern“ inhaltlicher Grundsätze auch Verfahrens20 Siehe dazu die ausführliche Darstellung bei Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 16, nach dem sich die Gleichwertigkeit des Datenschutzes in allen Mitgliedstaaten der Gemeinschaft aus der Harmonisierung ergibt. 21 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25, Rn. 8; unter Verweis auf die Erwägungsgründe auch Ehmann/Helfrich, EG Datenschutzrichtlinie, Art. 25, Rn. 4. 22 Dieser macht den Gegenstand und das wesentliche Regelungsziel der Richtlinie aus, vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25, Rn. 8. 23 Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, vom 26. Juni 1997, XV D/5020/97-DE endgültig WP 4.

302

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

und Durchsetzungserfordernisse, deren Einhaltung als Mindesterfordernis für einen angemessenen Schutz betrachtet wird. Danach müssen folgende Prinzipien beachtet werden: die Beschränkung der Zweckbestimmung, der Grundsatz der Datenqualität und -verhältnismäßigkeit, der Grundsatz der Transparenz und der Sicherheit, die Rechte auf Zugriff, Berichtigung und Widerspruch, die Beschränkung der Weiterübermittlung an andere Drittländer sowie gegebenenfalls Grundsätze, die für die Verarbeitung besonderer Arten von Daten, wie etwa sensibler Daten gelten.25 Hinsichtlich der Verfahrens- und Durchführungsmechanismen gibt die Datenschutzgruppe zu bedenken, dass allein durch die Existenz einer Kontrollbehörde die Wirksamkeit der Vorschriften nicht sichergestellt ist. Sie schlägt daher eine Gesamtbeurteilung vor, die sich aus einer Analyse der Befolgungsrate der Bestimmungen, dem Grad der Unterstützung und Hilfe für einzelne Personen und einem effektiven Entschädigungs- und Sanktionsmechanismus ergibt.26 Wiederum zeigt sich, dass dem Grundrecht auf Datenschutz eine besondere Bedeutung zukommt. Es ist im höchsten Maße relevant, wenn es um die Regelung des Datenverkehrs mit Staaten außerhalb der Gemeinschaft geht. An dieser Stelle wird denn auch erstmalig deutlich, welche Folgen es haben kann, dass die Gemeinschaftsgrundrechte bisher nur als ungeschriebene Rechtsgrundsätze bestehen und von der Rechtsprechung des EuGH abhängig sind. Im Rahmen der Angemessenheitsentscheidungen sind es zu einem erheblichen Teil die Mitgliedstaaten, die über das Schutzniveau eines Drittstaates zu urteilen haben. Konkrete Anhaltspunkte für den Gewährleistungsumfang der Gemeinschaftsgrundrechte können sie aufgrund der spär24

Vgl. Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in Ungarn, Abl. Nr. L-215 vom 25.08.2000, S. 4; Entscheidung der Kommission vom 26. Juli über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz Abl. Nr. L-215 vom 25.08.2000, S. 1; Entscheidung der Kommission vom 20. Dezember 2001 über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet, Abl. Nr. L-002 vom 04.01.2002, S. 13; Entscheidung der Kommission vom 30. Juni 2003 über die Angemessenheit des Datenschutzniveaus in Argentinien, Abl. L-168, vom 05.07.2003; Entscheidung der Kommission vom 21. November 2003 über die Angemessenheit des Schutzes personenbezogener Daten in Guernsey, Abl. L-308 vom 25.11.2003, S. 27. 25 Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, vom 26. Juni 1997, XV D/5020/97-DE endgültig WP 4, S. 6 ff. 26 Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, vom 26. Juni 1997, XV D/5020/97-DE endgültig WP 4, S. 7 f.

A. Export von Daten nach den Vorschriften der Richtlinie

303

lichen Äußerungen des Gerichtshofes lediglich der Datenschutzrichtlinie selbst und den Leitlinien der Art. 29-Datenschutzgruppe entnehmen. Im Umkehrschluss kann man sagen, dass so – wenngleich vielleicht ursprünglich unbeabsichtigt – wesentliche Eckpunkte des Schutzbereiches des Gemeinschaftsgrundrechts auf Datenschutz durch ein Gremium der Gemeinschaft geprägt und durch die Anwendung durch die Kommission und die Mitgliedstaaten verfestigt wurden.

II. Ausnahmeregelungen Auch wenn festgestellt wurde, dass ein Staat über kein angemessenes Datenschutzniveau verfügt, kann eine Übermittlung unter den in Art. 26 Abs. 1 der Richtlinie festgehaltenen Ausnahmetatbeständen zulässig sein. Dies ist unter anderem dann der Fall, wenn a) der Betroffene eine Einwilligung erteilt hat oder b) die Übermittlung zur Erfüllung eines Vertrages zischen dem Übermittler und dem Betroffenen erforderlich ist oder c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages erforderlich ist, den der Übermittler im Interesse des Betroffenen mit einem Dritten geschlossen hat oder d) der Transfer zur Wahrung eines wichtigen öffentlichen Interesses oder zur gerichtlichen Geltendmachung rechtlicher Ansprüche notwendig ist oder e) die Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder f) der Transfer aus einem Register erfolgt, das aufgrund von Rechtsvorschriften der gesamten Öffentlichkeit zugänglich ist. In diesen Fällen ist man folglich davon ausgegangen, dass die Rechte der Betroffenen auch ohne Schutzmaßnahmen nicht unangemessen beeinträchtigt werden.27 Bei näherer Betrachtung zeigt sich jedoch, dass die Ausnahmetatbestände die Datenübermittlung in Drittstaaten ohne einen angemessenen Datenschutzstandard in recht weitgehendem Maße ermöglichen.28 Auch wenn die Ausnahmen zugunsten der Erforderlichkeit zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen eng ausgelegt werden und nur Übermittlungen erfassen, ohne die die Erfüllung des Vertrages nicht möglich 27

Vgl. Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 15 und auch Ellger, RabelsZ 1996, S. 751, der davon ausgeht, dass der Katalog eine pauschalierte Interessenabwägung wiederspiegelt. 28 Vgl. Gridl, Datenschutz in globalen Telekommunikationssystemen, S. 249.

304

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

ist,29 werden die wichtigsten Transfers personenbezogener Daten, wie die Übermittlung beim Überweisungsverkehr zwischen Banken und im internationalen Flugreiseverkehr, von ihnen erfasst.30 Aufgrund dieses weitgehenden Anwendungsbereiches der Ausnahmen wurde daher schon die These aufgestellt, ob nicht vielmehr Art. 26 Abs. 1 den Grundsatz hinsichtlich der Datenübermittlung enthält und Art 25 Abs. 1 die Ausnahme, die dann zur Anwendung kommt, wenn keines der Beispiele des Kataloges in Art. 26 Abs. 1 einschlägig ist.31 Dieser Eindruck bestätigt sich, wenn man berücksichtigt, dass Art. 26 Abs. 2 der Datenschutzrichtlinie weitere Ausnahmen von dem Übermittlungsverbot vorsieht, die selbst dann greifen, wenn weder die Voraussetzungen des Art. 25 Abs. 1 vorliegen, noch der Katalog in Art. 26 Abs. 2 einschlägig ist. Sie liegen dann vor, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich der Privatsphäre, der Grundrechte und Grundfreiheiten der Personen sowie der Ausübung der damit verbundenen Rechte bietet. Gewährleistet werden diese Garantien insbesondere durch vertragliche Vereinbarungen. Auch hier muss durch Auslegung ermittelt werden, welche Anforderungen an eine ausreichende Sicherung der Rechte im Einzelnen gestellt werden müssen. Während Ellger nur allgemein davon ausgeht, dass die Einhaltung des Datenschutzes von seinem Umfang her den Anforderungen der Richtlinie entsprechen muss,32 nimmt die überwiegende Auffassung jedoch eine Übereinstimmung zwischen der Angemessenheit i. S. d. Art. 25 Abs. 1 und den ausreichenden Garantien i. S. d. Art. 26 Abs. 2 der Richtlinie an.33 Für diese Interpretation spricht nicht nur die systematische Auslegung, bei der sich zeigt, dass die englische Fassung 29

Vgl. Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 26, Rn. 7. Weitere Beispiele bilden die Buchung von Hotels oder die Reservierung von Mietwagen, vgl. Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 26, Rn. 7. 31 Vgl. auch Ellger, RabelsZ 1996, S. 753; a. A. Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, 26 Juni 1997, WP 4, S. 1. 32 Insbesondere nennt er die Sicherstellung der mit der Ausübung der Persönlichkeitsrechte verbundenen Rechte, namentlich den Anspruch auf Auskunft, Löschung, Sperrung und Berichtigung aus Art. 12 der Richtlinie sowie das Widerspruchsrecht aus Art. 14, Ellger, RabelsZ 1996, S. 754. 33 Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 126. Siehe auch die Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, (2001/497/EG); Abl. L-181/19 vom 4.7.2001; Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, vom 26. Juni 1997, XV D/5020/97-DE endgültig 30

B. Die Übermittlung von Flugdaten

305

der Richtlinie in beiden Fällen den Ausdruck „adequate“34 verwendet, sondern auch die historische Auslegung. Noch im Richtlinienvorschlag von 1990 ging auch die deutsche Fassung bei einer Einzelfallgenehmigung von einer Angemessenheit des Schutzniveaus aus.35

B. Die Übermittlung von Flugdaten Es ist offensichtlich, dass die Regelung über den Datentransfer in Drittstaaten Auswirkungen über die Grenzen der Gemeinschaft hinaus hat. So hat sie auch von Nicht-EU-Staaten große Kritik erfahren. Der Gemeinschaft wurde insbesondere von Seiten der US-Regierung vorgeworfen, Gesetze mit extraterritorialer Wirkung geschaffen zu haben.36 Besondere Beachtung hat die Frage des Datenexports in Drittstaaten im Zusammenhang mit der Übermittlung von Flugdaten in die Vereinigten Staaten erlangt.

I. Die Gesetzeslage in den Vereinigten Staaten Nach den Terroranschlägen am 11. September 2001 haben die Vereinigten Staaten eine Reihe von Sicherheitsmaßnahmen verabschiedet. So sind nach dem Aviation and Transportation Security Act 37 Fluggesellschaften verpflichtet, den US-Behörden alle Passagier- und Crewdaten für Flüge in die USA bereits vor dem Abflug elektronisch zu übermitteln. Empfänger der Daten ist der Leiter der Zollverwaltung (Commissioner of Customs, sec. WP 4, S. 2 und i. E. wohl auch Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 14. 34 So wird in Art. 25 Abs. 1 ein „adequate level of protection“ verlangt, während Art. 26 Abs. 2 von „adequate safeguards“ spricht. 35 Vgl. dazu die Analyse bei Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 126. 36 Vgl. Die Darstellung über die frühen Verhandlungen zwischen der US-Regierung und der Kommission bei: Pearce/Platten, JCMS 1998, S. 540. Dies ist jedoch nicht zutreffend, da Drittländer nicht verpflichtet werden, Datenschutzregeln zu erlassen. Vielmehr wird die Zulässigkeit der innergemeinschaftlichen Verarbeitung beschränkt, weil die territorialen Grenzen der Geltung des Gemeinschaftsrechts anerkannt werden. Vgl. Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hg.), Handbuch Datenschutzrecht, Rn. 50. In Bezug auf Vertragslösungen Ellger, RabelsZ 60 (1996) S. 747. 37 Aviation and Transportation Security Act vom 19. November 2001, Public Law 107-71 in: USC, 49, 597–647, 2001. Eine entsprechende Regelung findet sich auch im Enhanced Border Security and Visa Entry Reform Act of 2002, H.R. 3525, Sec. 402, nach der Daten über Fluggäste und Besatzungsmitglieder, die in die Vereinigten Staaten einreisen, an die amerikanische Einwanderungsbehörde (Immigration and Naturalization Service – INS) übermittelt werden müssen.

306

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

115 subsec. 4). Da das Ziel der Übermittlung jedoch nicht auf die Flugsicherheit beschränkt ist, sondern auch die öffentliche Ordnung Amerikas betrifft, werden die Daten unter amerikanischen Bundesbehörden ausgetauscht (sec. 115 subsec. 5). Die Verpflichtung umfasst die Übermittlung von Informationen, wie dem vollen Namen der Passagiere und Crewmitglieder, dem Geburtsdatum, der Staatsangehörigkeit und dem Geschlecht, der Nummer und dem Ausstellungsort des Reisepasses und, soweit vorhanden, der United States visa number oder resident alien card number (sec. 115 subsec. 2). Darüber hinaus steht es im Ermessen des Staatssekretärs und des Leiters der Zollverwaltung, weitere Informationen anzufordern, soweit diese für die Sicherheit der Luftfahrt notwendig sind.38 Dabei kann die Bereitstellung der Informationen durch die Gewährung des Zugangs zum Advanced Passenger Information System (APIS) erfolgen. Weiterhin sind die Fluggesellschaften verpflichtet, den US-Behörden auf Anforderung Daten aus dem sogenannten Passenger Name Record (PNR) zur Verfügung zu stellen. Dabei handelt es sich um Daten des Buchungs- und Abflugkontrollsystems, die unter Umständen deutlich über die Daten des APIS hinausgehen. So sind dort nicht nur Name, Adresse und Telefonnummer gespeichert, sondern gegebenenfalls auch Informationen über Hotel- und Mietwagenreservierungen sowie sensible Informationen wie Kreditkartendaten oder Bankverbindung, spezielle Essenswünsche oder für die Reise relevante gesundheitliche Daten.39 Zudem sind die in diesem System enthaltenen Informationen nicht auf Passagiere von Flügen aus den oder in die USA beschränkt. Im Juni 2002 veröffentlichte die amerikanische Zollbehörde Übergangsregelungen, durch die die Verpflichtungen des Aviation and Transportation Security Acts umgesetzt werden sollten.40 Danach haben die Fluggesellschaften den US-Behörden elektronischen Zugang zum angeforderten PNR zu gewähren und müssen zu diesem Zweck sicherstellen, dass ihre technischen Systeme mit denen des Customs Data Center kompatibel sind. Auch diese Daten können für Zwecke der nationalen Sicherheit oder aufgrund eines Gesetztes an andere Bundesbehörden weitergeleitet werden. 38 „Such other information as the Under Secretary, in consultation with the Commissioner of Customs, determines is reasonably necessary to ensure aviation safety.“ Sec. 115 subsec. 1 lit. f. 39 Siehe unter anderem die Beispiele bei Müller, DuD 2003, S. 668 und in der Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29-Datenschutzgruppe vom 24. Oktober 2002, 11647/02/DE/endg., WP 66. 40 Interim Rules of the Dept. of Treasury (Customs) – Passenger and Crew Manifests Required for Passenger Flights in Foreign Air Transportation to the United States (Federal Register, Vol. 66 No. 250, 31. Dezember 2001) und Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States (Federal Register, Vol 67, No. 122, 25. Juni 2002).

B. Die Übermittlung von Flugdaten

307

Als weiteren Schritt zur Terrorismusbekämpfung beabsichtigt die US-Regierung, alle Staaten, die am Programm zur Aufhebung der Visumpflicht (Visa Waiver Program) teilnehmen, zu verpflichten, bis Oktober 2004 zusätzlich auch biometrische Daten zu übermitteln.41 Für die Nichtbefolgung dieser Vorschriften sind weitgreifende Sanktionen vorgesehen, die von einer Geldstrafe bis zum Entzug der Landerechte reichen.

II. Datenschutzrechtliche Bedenken der Europäischen Gemeinschaft Das Inkrafttreten der Übergangsregelungen, das ursprünglich am 14. November 2002 erfolgen sollte, wurde verschoben, weil die Europäische Gemeinschaft datenschutzrechtliche Bedenken anmeldete. 1. Die Stellungnahmen der Artikel 29-Datenschutzgruppe Kritisch äußerte sich zunächst vor allem die Artikel 29-Datenschutzgruppe. Unter Berufung auf die ihr gem. Art. 30 Abs. 1 lit. b und Abs. 3 Datenschutzrichtlinie zugeteilten Aufgaben42 hat sie bisher drei Stellungnahmen zu der Frage der Übermittlung von Fluggastinformationen abgegeben. Bereits in ihrer ersten Stellungnahme vom 24. Oktober 200243 stellte sie fest, dass die vorgesehene Übermittlung nicht mit der Grundsätzen der Datenschutzrichtlinie vereinbar ist. So widerspreche die systematische Verarbeitung der von den Fluggesellschaften erhobenen Daten durch die amerikanischen Behörden nicht nur dem in Art. 6 Abs. 1 lit. b festgelegten Grundsatz der Zweckbindung, sondern auch dem Verbot des Erhebungs41 Enhanced Border Security and Visa Entry Reform Act of 2002, H.R. 3525, Sec. 403, jedoch hat sich das House of Representatives für eine Verlängerung der Frist um ein Jahr ausgespochen, siehe Pressemeldung vom 15.06.04, www.tages schau.de/aktuell/meldungen/0,1185, OID3362550_TYP_THE_NAV_REF3,00.html (April 2005). 42 Nach Art. 30 Abs. 1 lit. b hat sie die Aufgabe, zum Schutzniveau in der Gemeinschaft und in Drittländern gegenüber der Kommission Stellung zu nehmen und kann nach Art. 30 Abs. 3 von sich aus Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft betreffen. Wie alle Stellungnahmen der Datenschutzgruppe kommt diesen keine Präjudizwirkung für die Kommission zu, sie haben lediglich datenschutzpolitische Bedeutung, vgl. Burkert, Internationale Grundlagen, in: Roßnagel (Hg.), Handbuch des Datenschutzes, Rn. 57. 43 Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29-Datenschutzgruppe vom 24. Oktober 2002, 11647/02/DE/endg., WP 66.

308

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

exzesses in Art. 6 Abs. 1 lit. c.44 Zudem könnten die PNR Informationen über die rassische und ethnische Herkunft oder die religiöse Überzeugung, also besonders sensible Daten enthalten, denen nach Art. 8 der Richtlinie ein besonderer Schutz zukomme. Von den Datenschutzbestimmungen, denen die amerikanischen Bundesbehörden unterworfen sind, würden jedoch nur die Daten amerikanischer Staatsbürger erfasst.45 Folglich könne nicht davon ausgegangen werden, dass bei der Übermittlung der Passagierdaten ein angemessenes Schutzniveau i. S. d. Art. 25 Abs. 1 Datenschutzrichtlinie gewährleistet sein würde. Auch hielt man die in Art. 26 vorgesehenen Ausnahmen für nicht einschlägig. Insbesondere eine Einwilligung der Passagiere nach Art. 26 Abs. 1 lit. a sei keine akzeptable Lösungsmöglichkeit, um die datenschutzrechtlichen Bedenken zu beseitigen. Sie setze eine Willensbekundung voraus, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass ihre personenbezogenen Daten verarbeitet werden,46 was im vorliegenden Fall jedoch nicht sichergestellt werden könne. Weiterhin könne die Datenübermittlung nicht als für die Erfüllung eines Vertrages erforderlich i. S. d. Art. 26 Abs. 1 lit. c betrachtet werden. Die durch den Entzug der Landerechte begründetet Unmöglichkeit der Fluggesellschaften, ihre Leistung zu erbringen, sei zur Annahme dieses Merkmals nicht ausreichend. In keinem Fall aber finde die Ausnahmevorschrift Anwendung auf die Übermittlung von Daten über Personen, die nicht in die Vereinigten Staaten reisen.47 44 So werden die Daten von den Reisebüros und Fluggesellschaften zu dem Zweck erhoben, ihre vertraglichen Verpflichtungen gegenüber dem Kunden zu erfüllen. Auch kann angesichts der Zahl und Vielfalt der Daten nicht davon ausgegangen werden, dass sie den Zwecken entsprechen, für die sie erfasst und/oder weiterverarbeitet werden. Vielmehr ist anzunehmen, dass sie nicht erheblich sind und darüber hinausgehen. Vgl. Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29-Datenschutzgruppe vom 24. Oktober 2002, 11647/02/DE/endg., WP 66, S. 6. 45 Bzw. Einwohner mit Daueraufenthaltsgenehmigung, Privacy Act von 1974, 5 U.S.C. sec. 552 a. 46 Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29Datenschutzgruppe vom 24. Oktober 2002, 11647/02/DE/endg., WP 66, S. 6; siehe auch die Rede von Kommissar Bolkestein, EU/US talks on transfers of airline passenger’s personal data, address to European Parliament Committees on Citizen’s Freedoms and Rights, Justice and Home Affairs and Legal Affairs and the Internal Market, Strasbourg, 16th December 2003, SPEECH/03/613. 47 Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29-Datenschutzgruppe vom 24. Oktober 2002, 11647/02/DE/endg., WP 66, S. 7.

B. Die Übermittlung von Flugdaten

309

Die Wahrung eines wichtigen öffentlichen Interesses (Art. 26 Abs. 1 lit. d) konnte ebenfalls nicht zur Legitimierung einer Übermittlung angeführt werden. Zum einen sei die Notwendigkeit der Weitergabe für diesen Zweck nicht nachgewiesen, zum anderen könne es nicht angehen, dass eine einseitige Entscheidung eines Drittstaates aus Gründen seines eigenen öffentlichen Interesses zu einer systematischen und massiven Übermittlung von durch die Richtlinie geschützten Daten führt. Zudem könne man nicht annehmen, dass eine Übermittlung zur Wahrung lebenswichtiger Interessen der betroffenen Person i. S. d. Art. 26 Abs. 2 lit. e erforderlich sei48 Aufgrund dieser Bedenken sah man sich auf Seiten der Europäischen Gemeinschaft zur Aufnahme von Verhandlungen mit den US-Behörden auf der Grundlage von Art. 25 Abs. 5 der Richtlinie veranlasst. Ziel der Verhandlungen war eine Vereinbarung, die es der Kommission ermöglichte, festzustellen, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten und um damit Rechtssicherheit für alle Beteiligten herzustellen. Nachdem die Vereinigten Staaten in einer Verpflichtungserklärung49 einige Zusicherungen, insbesondere im Hinblick auf die Verarbeitung sensibler Daten i. S. d. Art 8 der Richtlinie geleistet hatten, beschäftigte sich die Artikel 29-Datenschutzgruppe in ihrer Stellungnahme 4/200350 erneut mit der Frage eines angemessenen Schutzniveaus aus grundrechtlicher Perspektive. Eingangs stellt sie fest, dass den US Behörden schon durch die Wahlmöglichkeit, die ihnen hinsichtlich des Zugangs gewährt wird – entweder direkten Zugriff auf die Datenbanken oder Offenlegung durch die Fluggesellschaften – weitreichendere Kompetenzen eingeräumt werden, als den eigenen europäischen Justiz- und Polizeibehörden.51 Im Hinblick auf die beiden zur Diskussion stehenden Übermittlungsvarianten schlägt die Datenschutzgruppe vor, dass man sich auf die Übermittlung mittels des „push“ Systems (Weiterleitung der Daten nach einem bestimmten Katalog durch die Fluggesellschaften) beschränken solle. Im Vergleich zum „pull“-System bestehe hier eine geringere Gefahr, dass gegen die die Qualität der persön48 Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29-Datenschutzgruppe vom 24. Oktober 2002, 11647/02/DE/endg., WP 66, S. 7. 49 Verpflichtungserklärung des United States Bureau of Customs and Border Protection und der United States Transportation Security Administration vom 22. Mai 2003 (nicht veröffentlicht). 50 Opinion 4/2003 on the Level of Protection ensured in the US for the Transfer of Passengers’ Data of the Article 29 Working Party, adopted on 13 June 2003, 11070/03/EN, WP 78. 51 Opinion 4/2003 on the Level of Protection ensured in the US for the Transfer of Passengers’ Data of the Article 29 Working Party, adopted on 13 June 2003, 11070/03/EN, WP 78, S. 5.

310

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

liche Daten betreffenden Grundsätze aus Art. 6 der Richtlinie verstoßen werde. Darüber hinaus ist die Gruppe der Auffassung, dass es sich bei der Durchführung des „pull“ Systems nicht mehr in erster Linie um eine Übermittlung in ein Drittland handelt sondern die US Behörden direkt und unmittelbar an die Vorschriften der Richtlinie gebunden wären. Schließlich sehe Art. 4 Abs. 1 lit. c vor, dass die Richtlinie Anwendung findet, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf Mittel zurückgreift, die im Hoheitsgebiet eines Mitgliedstaates belegen sind.52 Auch hinsichtlich der Verwendungszwecke fordert die Datenschutzgruppe eine deutliche Einschränkung. So sollten die Daten ausschließlich für die Bekämpfung des Terrorismus und nicht außerdem auch zur Verfolgung anderer, nicht weiter eingegrenzten schwerwiegenden Straftaten verwendet werden. Außerdem sei eine genauere Bezeichnung der Behörden, an die die Daten weiterübermittelt werden würden, erforderlich und jenen gegenüber müsste ebenfalls sichergestellt sein, dass eine Verarbeitung ausschließlich zu den vorbezeichneten Zwecken erfolgt. Für erforderlich erachtet die Datenschutzgruppe weiterhin Regelungen hinsichtlich der Dauer der Aufbewahrung der Daten, der Beteiligungsrechte des Einzelnen und der Durchsetzungsmechanismen. Sie hält es für notwendig, dass die diesbezüglich von den Vereinigten Staaten eingegangenen Verpflichtungen zumindest im Federal Register öffentlich bekanntgegeben werden. Nach weiteren Verhandlungen einigte man sich schließlich auf eine aktualisierte Verpflichtungserklärung mit folgendem Inhalt: Die Datenübermittlung erstreckt sich nicht mehr auf alle PNR-Daten, sondern nunmehr nur noch auf solche, die Flüge in, aus oder durch die USA betreffen. Zudem sind die Daten aus einer geschlossenen Liste mit 34 Datenelementen zu entnehmen, wobei in der Praxis nicht mehr als 10 bis 15 Elemente enthalten sind. Weiterhin sind sensible Daten i. S. d. Art. 8 Abs. 1 der Datenschutzrichtlinie von der Übermittlung ausgeschlossen. Sie werden herausgefiltert und gelöscht. Auch die Zweckbestimmung der Daten wurde enger gefasst und auf die Bekämpfung des Terrorismus und damit verbundener Verbrechen beschränkt. Eine Verbesserung des Datenschutzes wurde auch hinsichtlich der Dauer der Speicherung erzielt. Statt des von den Vereinigten Staaten beabsichtigten Zeitraumes von 50 Jahren werden die Daten 52 Opinion 4/2003 on the Level of Protection ensured in the US for the Transfer of Passengers’ Data of the Article 29 Working Party, adopted on 13 June 2003, 11070/03/EN, WP 78, S. 7, Stellungnahme 6/2002 zur Übermittlung von Informationen von Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten der Art. 29-Datenschutzgruppe vom 24. Oktober 2002, 11647/02/ DE/endg., WP 66, S. 7.

B. Die Übermittlung von Flugdaten

311

höchstens für dreieinhalb Jahre gespeichert. Schließlich ist die Einführung eines obersten Datenschutzbeauftragten im Department of Homeland Security beabsichtigt, dessen Entscheidungen für die Behörde verbindlich sind und an den sich die Datenschutzbehörden der EU im Namen von EU-Bürgern mit Beschwerden wenden können. Zudem haben sich die US-Behörden bereiterklärt, in einem Gremium unter Führung der Kommission an der jährlichen Überprüfung der Umsetzung der Verpflichtungen mitzuwirken.53 Bestandteil eines langfristigen EU-Konzeptes soll die Entwicklung einer Technik sein, durch die auf die Anwendung des „pull“-Systems verzichtet werden kann. Im Dezember 2003 gab die Kommission schließlich bekannt, dass das Ergebnis der Verhandlungen in einer Feststellungsentscheidung gem. Art. 25 Abs. 6 der Richtlinie, ergänzt durch ein internationales Abkommen zwischen der Kommission und der US-Regierung, festgehalten werden solle.54 Kurz darauf arbeitete sie einen Vorschlag für eine Kommissionsentscheidung nach Art. 25 Abs. 6 der Datenschutzrichtlinie aus.55 Der Entwurf sieht vor, dass das United States Bureau of Customs and Border Protection (CBP) Zugang zu den PNR-Datensätzen der Fluggesellschaften nach Maßgabe der in der Verpflichtungserklärung anerkannten Grundsätze erhält. Daraufhin sah sich die Art. 29-Datenschutzgruppe erneut zu einer Stellungnahme veranlasst.56 In diesem Zusammenhang weist sie noch einmal darauf hin, dass, obwohl die Terrorismusbekämpfung ein notwendiges und nützliches Element in einer demokratischen Gesellschaft sei, auch die Achtung der Grundrechte und Grundfreiheiten des Einzelnen, zu denen auch die Privatsphäre und der Datenschutz gehören, gewährleistet sein müssen.57 53 Siehe dazu im Einzelnen: Draft CBP January 12, 2004, Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP), abrufbar unter: http://www.statewatch.org/news/2004/jan/EUUSAG2.pdf; (April 2005) sowie Mitteilung der Kommission an den Rat und das Parlament, Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifende EU-Konzept, vom 16. Dezember 2003, KOM (2003) 826 endgültig. 54 Mitteilung der Kommission an den Rat und das Parlament, Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept vom 16.12.2003, KOM (2003) 826 endgültig, S. 8. 55 Draft Commission Decision of [. . .] on the adequate protection of personal data contained in the PNR of air passengers transferred to the United States’ Bureau of Customs and Border Protection, C5-0124/2004, nicht veröffentlicht, abrufbar unter: http://www.statewatch.org/news/2004/mar/com-draft-dec-adequacy-usa.pdf (April 2005). 56 Stellungnahme 2/2004 vom 29. Januar 2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen 10019/04/DE; WP 87.

312

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

Hinsichtlich der geplanten Rechtsakte der Kommission gibt die Datenschutzgruppe zu bedenken, dass die Entscheidung nach Art. 25 Abs. 6 der Richtlinie 95/46/EG bisher vor allem die Übermittlung an privatwirtschaftliche Stellen in Drittländern betraf. Der vorliegende Fall erfasse nun erstmalig die Übermittlung aufgrund gesetzlicher Auflagen in ein Drittland, in Folge derer die Wirtschaftsteilnehmer in der EU verpflichtet seien, Daten in einer nicht richtlinienkonformen Art und Weise zu übermitteln. Dann nimmt die Datenschutzgruppe eine eingehende Überprüfung der geänderten Bestimmungen der Verpflichtungserklärung vor, in der sie zwar einen Fortschritt hinsichtlich des Grundrechtsschutzes attestiert, aber auch immer noch schwerwiegende Mängel erkennt. Als Beispiel sei nur die Verwendung von Daten, die sich aus PNR-Fluggastdaten ableiten lassen, genannt. So ist in der Verpflichtungserklärung vorgesehen, dass aufgrund bestimmter PNR-Daten zu Zwecken der Strafverfolgung zusätzliche personenbezogene Daten angefordert werden können. Aufgrund von Kreditkartennummer oder E-Mail-Adresse in den PNR-Datensätzen können so Daten über die Kontobewegung eingeholt oder auf E-Mail-Konten zugegriffen werden. Die Zulässigkeit dieser Eingriffe beurteilt sich nach den gesetzlichen Voraussetzungen in den Vereinigten Staaten. Die Verwendung ist also je nach Art der Daten an gerichtliche Vorladungen, Verfügungen, Haftbefehle oder andere gesetzliche Verfahren geknüpft. Ein solches Vorgehen hält die Datenschutzgruppe nur unter Beachtung der verfahrensrechtlichen Erfordernisse, die in internationalen Instrumenten über die Zusammenarbeit auf dem Gebiet der Justiz und Strafverfolgung festgelegt sind und bei Bestehen einer Beschwerdemöglichkeit bei einer unabhängigen Behörde, für zulässig.58 Aus diesen und anderen Gründen kommt die Datenschutzgruppe daher erneut zu dem Ergebnis, dass eine Angemessenheitserklärung durch die Kommission nicht abgegeben werden dürfe.

57

Stellungnahme 2/2004 vom 29. Januar 2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen 10019/04/DE; WP 87. S. 3. 58 Stellungnahme 2/2004 vom 29. Januar 2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen 10019/04/DE; WP 87 S. 9.

B. Die Übermittlung von Flugdaten

313

2. Ablehnung der Rechtsakte durch das Europäische Parlament Ungeachtet der Kritik beauftragte der Rat im Februar 2004 die Kommission zur Aushandlung eines betreffenden Abkommens mit den Vereinigten Staaten,59 woraufhin diese am 17. März 2004 einen Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Gemeinschaft und der Vereinigten Staaten vorlegte.60 Demzufolge erhält „das CBP elektronischen Zugriff auf die PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft betriebenen Buchungs/Abfertigungssystemen streng nach Maßgabe des Beschlusses [Angemessenheitsfeststellung nach Art. 25 Abs. 6 Anm. d. Verf.], solange dieser Beschluss gilt und nur, solange kein befriedigendes System für die Übermittlung solcher Daten durch die Fluggesellschaften vorhanden ist.“61 Die von der Kommission ausgearbeiteten Entwürfe stießen jedoch auf den Widerstand des Europäischen Parlaments. Dieses ist an dem Rechtssetzungsverfahren auf zweifache Weise beteiligt, da die Weitergabe der Flugdaten Gegenstand zweier unterschiedlicher Gemeinschaftsrechtsakte, nämlich der Angemessenheitsfeststellung gem. Art. 25 Abs. 6 Datenschutzrichtlinie durch Entscheidung der Kommission und eines bilateralen völkerrechtlichen Abkommens zwischen der Gemeinschaft und den Vereinigten Staaten auf der Grundlage von Art. 95 i. V. m. Art. 300 Abs. 2 UAbs. 1 S. 1 EGV ist. So ist gem. Art. 300 Abs. 2 UAbs. 1 S. 1 EGV für den Ratsbeschluss über das Abkommen grundsätzlich eine Anhörung des Parlaments 59

Ratsdokument 7628/04, I-Punkt-Vermerk des Generalsekretariats vom 23. Februar 2004 für den Ausschuss der ständigen Vertreter zum Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des Ministeriums für nationale Sicherheit der Vereinigten Staaten, Interinstitutionelles Dossier 2004/0064/CNS), das hinsichtlich der Anhörung des Europäischen Parlaments einen Antrag auf Anwendung des Dringlichkeitsverfahrens enthält. 60 Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, vom 17.03.2004, KOM (2004) 190 endgültig. 61 Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Boorder Protection des US Department of Homeland Security, vom 17.03.2004, KOM (2004) 190 endgültig, Punkt 1.

314

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

erforderlich, während es hinsichtlich der Angemessenheitsfeststellung der Kommission aus eigener Initiative tätig wird. Die Grundlage hierfür bildet Art. 8 des Komitologiebeschlusses.62 Aufgrund dieser Vorschrift kann das Parlament, obwohl seine Beteiligung in der Datenschutzrichtlinie selbst nicht vorgesehen ist, auf den Erlass einer Durchführungsmaßnahme Einfluss nehmen, indem es in einer mit Gründen versehenen Entschließung erklärt, dass der Entwurf über die in dem Basisrechtsakt vorgesehenen Durchführungsbefugnisse hinausgehen würde. Eine solche Entschließung wurde am 31. März 2004 vom Parlament verabschiedet.63 Eine Verletzung der Durchführungsbefugnisse sei gegeben, weil durch die Angemessenheitsfeststellung die Zweckbestimmung der PNR-Daten nicht derart geändert werden könne, dass eine Übermittlung nunmehr zulässig sei, sodass es in der Folge zu einer Absenkung des durch die Datenschutzrichtlinie geschaffenen Datenschutzstandards innerhalb der EU oder zur Schaffung neuer Standards im Einvernehmen mit Drittstaaten kommen könne.64 Zudem stütze sich der Entwurf der Entscheidung auf eine Verpflichtungserklärung, die keinen bindenden Charakter habe. Dies gelte sowohl für die Quelle, die rein administrativer Natur sei, als auch in Bezug auf den Inhalt, da Garantien erwähnt würden, für die in den USA noch keine Rechtsgrundlage existiere. Somit bestehe jederzeit die Möglichkeit der Abänderung der Regelungen in Bezug auf die Modalitäten der Verwendung und Wiederverwendung der Daten. Das Parlament stellt schließlich eine Liste derjenigen grundsätzlichen Punkte auf, die in einer „echten internationalen Vereinbarung“ geregelt werden sollten, und fordert die Kommission auf, ihm eine neue Entscheidung über die Angemessenheit des Schutzes personenbezogener Daten zu übermitteln und den Rat um ein Mandat für ein stringentes neues internationales Übereinkommen zu ersuchen, das sich im Einklang mit diesen Grundsätzen befinden und auf dem Transatlantischen Gipfeltreffen im Juni 2004 vorgelegt werden soll.65

62 Beschluss des Rates vom 28. Juni 1999 zur Festlegung der Modalitäten für die Ausübung der der Kommission übertragenen Durchführungsbefugnisse (1999/468/ EG), Abl. 1999 L 184/23. 63 Entschließung zu dem Entwurf einer Entscheidung der Kommission über die Angemessenheit des Schutzes personenbezogener Daten, die in den Fluggastdatensätzen (PNR) enthalten sind, welche dem United Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden (2004) 2011 (INI), B5-0156/2004. 64 Entschließung zu dem Entwurf einer Entscheidung der Kommission über die Angemessenheit des Schutzes personenbezogener Daten, die in den Fluggastdatensätzen (PNR) enthalten sind, welche dem United Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden (2004) 2011 (INI), B5-0156/2004, S. 6 f.

B. Die Übermittlung von Flugdaten

315

Als das Parlament vom Rat gem. Art. 300 Abs. 3 UAbs. 1 EGV zu dem Vorschlag für einen Beschluss über das Abkommen konsultiert wurde, überwies der Präsident des Europäischen Parlaments die Angelegenheit in die Ausschüsse. Der Ausschuss für die Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten66 arbeitete als federführender Ausschuss einen Bericht aus, in dem er den Abschluss des Abkommens ablehnt und den Präsidenten des Parlaments beauftragt, den Rat aufzufordern, das Abkommen nicht abzuschließen. Ein wesentlicher Kritikpunkt betrifft die Vorgehensweise des Rates bei der Absicherung der Übermittlung der Daten in die Vereinigten Staaten. Dieser hatte die Zulässigkeit der Maßnahmen durch eine komplizierte rechtliche Konstruktion zu begründen versucht, die in den Augen des Ausschusses jedoch nicht mit den Vorschriften des Gemeinschaftsrechts vereinbar ist. Da eine Angemessenheitsfeststellung der Kommission nach Art. 25 Abs. 6 der Datenschutzrichtlinie eine Übermittlung personenbezogener Daten in ein Drittland gem. Art. 25 Abs. 1 lediglich für zulässig erkläre, stünde die Übermittlung der Fluggastdaten selbst bei ihrem Vorliegen im Ermessen der Fluggesellschaften eine von den US-Behörden angestrebte Verpflichtung zur Übermittlung bestehe hingegen nicht. Zur Begründung einer solchen Verpflichtung diene aber gerade das Abkommen zwischen der Gemeinschaft und den Vereinigten Staaten.67 Das Bestehen einer rechtlichen Verpflichtung ist aber noch aus einem weiteren Grund von Bedeutung. Es ist eine der Voraussetzungen, die gemäß Art 7 Datenschutzrichtlinie unbedingt notwendig sind, um eine Verarbeitung überhaupt vornehmen zu dürfen. Dementsprechend hält der Rat ein internationales Abkommen für ein geeignetes Mittel, um eine Rechtsgrundlage für die Verarbeitung von Fluggastdatensätzen, soweit sie unter die Angemessenheitsfeststellung fallen, in Übereinstimmung mit der Datenschutzrichtlinie zu ermöglichen. Weiterhin merkt der Rechtsausschuss in seinem Bericht an, dass der Rat durch das Abkommen, jedenfalls was den Austausch von Daten mit den 65 Entschließung zu dem Entwurf einer Entscheidung der Kommission über die Angemessenheit des Schutzes personenbezogener Daten, die in den Fluggastdatensätzen (PNR) enthalten sind, welche dem United Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden (2004) 2011 (INI), B5-0156/2004, S. 7 f. 66 Als mitberatender Ausschuss war der Ausschuss für auswärtige Angelegenheiten, Menschenrechte, gemeinsame Sicherheit und Verteidigungspolitik beteiligt. 67 Bericht des Ausschusses für die Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten vom 7. April 2004 über den Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, A5-0271/2004 endg. (PE 339.636), S. 7.

316

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

USA anbelangt, eine Abänderung der Richtlinie vorgenommen hat. Dies begründet er damit, dass die Rechtsvorschriften der USA in diesem Bereich für die Europäische Union und die Bürger der Europäischen Union für anwendbar erklärt werden, Entscheidungsgewalten, die bisher gem. Art. 13 der Richtlinie ausdrücklich den Mitgliedstaaten vorbehalten waren, auf die Gemeinschaftsebene verlagert und neue Verpflichtungen in Bezug auf Folgemaßnahmen und Überwachung seitens der Kommission mit Blick auf ein reibungsloses Funktionieren des Abkommens geschaffen werden. Im Ergebnis hält der Ausschuss den Vorschlag des Rates aber nicht nur für unvereinbar mit den Gemeinschaftsgrundrechten.68 Zusätzlich würden die Befugnisse des Europäischen Parlaments verletzt, da der Abkommensentwurf eine Abänderung der Datenschutzrichtlinie bewirke und daher gemäß Art. 300 Abs. 3 zweiter UAbs. mit Zustimmung des Parlaments angenommen werden müsse, das aber nur konsultiert worden war. Zudem empfiehlt die Berichterstatterin, eine Stellungnahme des Gerichtshofes hinsichtlich der Vereinbarkeit des Abkommens mit dem EG-Vertrag nach Art. 300 Abs. 6 EGV einzuholen. Dieser Empfehlung kommt das Parlament in seinen Abstimmungen am 21. April und 4. Mai 2004 nach69 und beschließt, die Frage in einem Gutachtenverfahren vor dem Gerichtshof klären zu lassen. Ungeachtet des Abstimmungsergebnisses traf die Kommission nur wenige Tage später eine Entscheidung nach Art. 25 Abs. 6 der Datenschutzrichtlinie über die Angemessenheit des Schutzes der personenbezogenen Daten in den PNR-Records,70 woraufhin der Rat den Abschluss des umstrittenen Abkommens be68

So bemängelt der Ausschuss insbesondere, dass der Entwurf des Abkommens weder das Ausmaß noch die Grenzen der gemeinschaftsrechtlichen Grundsätze des Datenschutzes bestimme und stattdessen auf eine einseitige Entscheidung der Kommission Bezug nehme, in der wiederum auf einseitige Verpflichtungen der Regierung der USA Bezug genommen werde, die sich ihrerseits auf geltende und künftige amerikanische Vorschriften beziehen, Bericht des Ausschusses für die Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten vom 7. April 2004 über den Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, A5-0271/2004 endg. (PE 339.636), S. 8. 69 Die erneute Abstimmung hatte der Rat gefordert, damit eine Entscheidung des Gerichtshofes im Wege des beschleunigten Verfahrens durchgeführt erreicht werden konnte. Es bestand aber wohl die Hoffnung eines anderen Abstimmungsergebnisses, da nun auch die Abgeordneten der neuen Mitgliedstaaten mit abstimmten würden. 70 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, K (2004) 1924.

B. Die Übermittlung von Flugdaten

317

schloss.71 Am 28. Mai 2004 wurde das Abkommen schließlich von der Europäischen Gemeinschaft und den Vereinigten Staaten unterzeichnet und ist somit gemäß Punkt 7 des Abkommens am gleichen Tag in Kraft getreten. 3. Überprüfung durch den Gerichtshof Da es sich bei dem Abkommen zwischen der Gemeinschaft und den Vereinigten Staaten über die Verarbeitung von Fluggastdatensätzen seit seinem Inkrafttreten nicht mehr um ein „geplantes“ Abkommen i. S. d. Art. 300 Abs. 6 EGV handelt, ist mit der Unterzeichnung das Gutachtenverfahren vor dem EuGH gegenstandslos geworden.72 Am 16. Juni 2004 verabschiedete daher der Rechtsausschuss eine Empfehlung mit dem Inhalt, sowohl den Ratsbeschluss über den Abschluss des Abkommens mit den Vereinigten Staaten als auch die Angemessenheitsfeststellung der Kommission durch den EuGH überprüfen zu lassen. Die Empfehlung des Rechtsausschusses wurde von der „Konferenz der Präsidenten“73 angenommen. Am 25. Juni 2004 erklärte der Präsident des Europäischen Parlaments, Pat Cox, dass er im Namen des Parlaments Nichtigkeitsklage gem. Art. 230 EGV gegen den Ratsbeschluss vom 17. Mai 2004 über den Abschluss des Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten über die Verarbeitung von Fluggastdatensätzen erheben werde. Auch die Angemessenheitsentscheidung der Kommission werde einer gerichtlichen Prüfung unterzogen. Dementsprechend wurde am 27. Juli 2004 Nichtigkeitsklage vor dem EuGH erhoben.74

71 Beschluss des Rates 9026/04 vom 14. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security, Abl. L 183/83 vom 20.05. 2004. 72 EuGH, Gutachten 1/94 – WTO-Übereinkommen –, Slg. 1994, I-5276, Rn. 12; EuGH, Gutachten 3/94, Slg. 1995, I-4577, Rn. 19, 21; da von diesem Zeitpunkt nicht mehr die Möglichkeit besteht, vom Abschluss des völkerrechtlichen Abkommens abzusehen bzw. den Vertragstext zu ändern, vgl. auch Tomuschat, in: von der Groeben/Schwarze, Art. 300, Rn. 91. 73 Diese besteht gem. Art. 23 der Geschäftsordnung des Europäischen Parlaments aus dem Präsidenten und den Vorsitzenden der Fraktionen und ist unter anderem für Fragen im Zusammenhang mit den Beziehungen zu anderen Organen und Institutionen der Europäischen Union zuständig, Art. 24 Abs. 3 Geschäftsordnung. 74 EuGH, Rs. C 317/04, Europäisches Parlament ./. Rat der Europäischen Union, am 17. März 2005 hat die große Kammer des Gerichtshofes beschlossen, den Europäischen Datenschutzbeauftragten als Streithelfer zuzulassen.

318

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

III. Bewertung Eine Bewertung der Flugdatenaffäre muss unter formellen und materiellen Gesichtspunkten erfolgen. Zunächst ist der Inhalt der Übereinkommen der Gemeinschaft mit den Vereinigten Staaten, also der Verpflichtungserklärung und dem Abkommens des Rates, zu untersuchen. Im Vordergrund steht dabei die Frage, ob tatsächlich von einem angemessenen Schutzniveau in den Vereinigten Staaten ausgegangen werden kann. Auch bei der Frage nach der formellen Rechtmäßigkeit, auf die abschließend kurz eingegangen werden soll, spielen aber materielle Aspekte eine Rolle. So kommt es für die Beurteilung, ob Beteiligungsrechte des Parlaments gewahrt wurden, entscheidend darauf an, ob durch den Abschluss des Abkommens eine inhaltliche Änderung der Datenschutzrichtlinie erfolgt ist. 1. Materielle Rechtmäßigkeit – Angemessenheit des Schutzniveaus Die materielle Rechtmäßigkeit sowohl des Abkommens als auch der Angemessenheitsentscheidung hängt entscheidend davon ab, ob die Verpflichtungserklärung der Vereinigten Staaten geeignet ist, das Grundrecht auf Datenschutz der Flugpassagiere sicherzustellen. Ist dies nicht der Fall, wäre das Abkommen wegen eines Verstoßes gegen Gemeinschaftsgrundrechte gemeinschaftsrechtswidrig. Gleiches gilt in diesem Fall für die Angemessenheitsentscheidung der Kommission, da die Wahrung der Grundrechte Voraussetzung für ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. 6 der Datenschutzrichtlinie ist. Hinsichtlich der Verpflichtungserklärung muss man sagen, dass die ursprünglichen Zweifel der Art. 29-Datenschutzgruppe nur bei oberflächlicher Betrachtung ausgeräumt worden sind. Dies zeigt sich beispielhaft an folgenden zwei Aspekten:75 Zum einen wurde der Forderung, eine Beschränkung des Verwendungszwecks der Daten auf Maßnahmen zur Bekämpfung des Terrorismus vorzunehmen, nicht gefolgt. Die Daten können auch zur Bekämpfung anderer schwerer, ihrem Wesen nach länderübergreifender Straftaten verwendet werden.76 Lediglich die Verwendung für die Verfolgung rein inländischer Straftaten ist folglich ausgeschlossen. Dabei bleibt jedoch 75

Eine detaillierte Analyse findet sich in der Stellungnahme 2/2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in Fluggastdatensätze (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzbehörde der Vereinigten Staaten) übermittelt werden sollen der Art. 29-Datenschutzgruppe vom 29. Januar 2004, 10019/04/DE, WP 87. 76 Punkt 3 der Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name

B. Die Übermittlung von Flugdaten

319

offen, was mit „anderen schweren länderübergreifenden Straftaten“ gemeint ist. Es wird lediglich klargestellt, dass der Begriff auch die internationale organisierte Kriminalität umfassen soll. Eine Eingrenzung dieser an sich ausfüllungsbedürftigen Begriffe ließe sich lediglich unter Hinweis auf die United Nations Convention against Transnational Organized Crime77 vornehmen. In ihr findet sich sowohl der Begriff des schweren Verbrechens (serious crime) als auch der der länderübergreifenden Straftat (offence transnational in nature). Dort ist in Art. 2 lit. b vorgesehen: „ ‚serious crime‘ shall mean conduct constituting an offence punishable by a maximum deprivation of liberty of at least four years or a more serious penalty.“

Voraussetzung für eine länderübergreifende Straftat ist, gemäß Art. 3 Abs. 2 der UN-Konvention dass: „(a) It is comitted in more than one State; (b) It is committed in one State but a substantial part of its preparation, planning, direction or control takes place in another State; (c) It is committed in one State but involves an organized crime group that engages in criminal activities in more than one State, or (d) It is committed in one State but has substantial effects in another State.“

Jedoch ist diese Auslegung nicht zwingend. Zwar ist die UN-Konvention sowohl von der Europäischen Gemeinschaft als auch den Vereinigten Staaten unterzeichnet worden, gleichwohl ist sie noch nicht in Kraft getreten. Unabhängig vom Ergebnis der Auslegung lässt sich jedenfalls festhalten, dass die Verpflichtungserklärung hinsichtlich des Verwendungszwecks der Daten bewusst weit gefasst ist und unzweifelhaft über den ursprünglichen Zweck, die Bekämpfung des Terrorismus, hinausgeht. Zum anderen ist anzumerken, dass die in der Verpflichtungserklärung vereinbarte Speicherungsdauer der PNR-Daten von dreieinhalb Jahren zwar einen Fortschritt gegenüber dem ursprünglichen geplanten Zeitraum darstellt, die Datenschutzgruppe sich jedoch für eine zulässige Höchstdauer von „Wochen oder Monaten“ ausgesprochen hatte. Zudem ist vorgesehen, dass alle PNR-Daten, auf die innerhalb des Zeitraumes von drei Jahren manuell zugegriffen wurde, von den US-Behörden in eine Datei für gelöschte Datensätze überführt werden, in der sie weitere acht Jahre gespeichert werden.78 Eine so lange Speicherungsdauer erscheint aus grundrechtlicher Perspektive unangemessen. Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, K (2004) 1924. 77 UN Doc. A/RES/55/25 vom 8. Januar 2001. 78 Draft CBP January 12, 2004, Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP), Abs. 15.

320

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

So wie diese Beispiele erscheinen auch viele andere Punkte der Verpflichtungserklärung unverhältnismäßig. Zwar ist zuzugeben, dass die Datenübermittlung unter Umständen geeignet ist, terroristische Akte oder Straftaten zu verhindern oder aufzuklären. Dabei ist jedoch die Menge der Daten zu berücksichtigen, die hierzu verarbeitet und vorgehalten werden müssen, um diejenigen mutmaßlicher Terroristen herauszufiltern. So gilt es, jährlich die Fluggastdaten von 10 bis 11 Millionen Fluggästen auf Transatlantikflügen79 zu untersuchen. Vor diesem Hintergrund erscheint es unangebracht, so schwerwiegende und umfassende Eingriffe in das Recht auf Privatleben hinzunehmen, um unter Umständen „nur“ die nachträgliche Aufklärung einfacher Straftaten zu erleichtern, bei denen kein terroristischer Hintergrund festgestellt werden kann. Im Hinblick auf die vor allem von der Artikel 29-Datenschutzgruppe vorgebrachte Kritik an einzelnen Elementen der Verpflichtungserklärung, stellt sich die Frage, ob man in der Zusammenschau ein angemessenes Schutzniveau nicht ablehnen muss. Auch wenn dieser Begriff stark auslegungsbedürftig ist und sich Hinweise bisher nur in den Dokumenten der Datenschutzgruppe finden,80 spricht vieles dafür, dass die Verpflichtungserklärung der US-Behörden diesen Voraussetzungen nicht entspricht. Besonders hervorzuheben ist in diesem Zusammenhang die fehlende Verbindlichkeit der Erklärung. In Absatz 47 der Verpflichtungserklärung wird ausdrücklich festgestellt, dass durch die Erklärung „keinerlei Rechte für Dritte begründet oder übertragen“ werden.81 Es kann jedoch kein Zweifel bestehen, dass eine rechtliche Verbindlichkeit unbedingt zu den Mindestanforderungen zu zählen ist, die an ein angemessenes Schutzniveau zu stellen sind. Bedenklich erscheint weiterhin eine Regelung, die in den Entwürfen einer Verpflichtungserklärung noch nicht enthalten ist, sondern erstmalig in der endgültigen Fassung erscheint. Danach kann das United States Bureau of Customs and Border Protection (CBP) Daten im Rahmen seines Ermessens nicht nur an andere Regierungsbehörden im eigenen Land, sondern auch an solche in Drittländern liefern. Die Beschränkung der Weiterübermittlung an andere Drittländer zählt jedoch unzweifelhaft zu den Mindestvoraussetzun79 Vgl. European Union Factsheet, Passenger Name Record, abrufbar unter: www.europa.eu.int/comm/external_relations/us/sum06_03/pnr.pdf (April 2005). 80 Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, vom 26. Juni 1997, XV D/5020/97-DE endgültig WP 4. 81 „These undertakings do not create or confer any right or benefit on any person or party, private or public“. Draft CBP January 12, 2004, Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP), Abs. 47.

B. Die Übermittlung von Flugdaten

321

gen für die Annahme eines angemessenen Schutzniveaus. Eine Übermittlung an andere Drittländer ist nur zulässig, wenn das zweite Drittland ebenfalls ein angemessenes Schutzniveau aufweist.82 Angesichts dieser datenschutzrechtlichen Mängel erscheint es zunächst verwunderlich, dass die Kommission die Verpflichtungserklärung der USBehörden akzeptiert hat. Berücksichtigt man jedoch die allgemeinen politischen Auswirkungen, die ein Scheitern der Verhandlungen gebracht hätte, scheint die Einstellung der Kommission verständlich.83 Aus grundrechtlicher Sicht ist diese Position jedoch nicht vertretbar. Betrachtet man das angemessene Schutzniveau wirklich als datenschutzrechtlichen Mindeststandard, ist es ausgeschlossen, dass dieser sich realpolitischen Gegebenheiten anzupassen hat. Andernfalls ließe sich schwerlich begründen, warum innerhalb der Gemeinschaft auch auf Grundrechtsebene von einem wesentlich höheren Niveau ausgegangen wird. 2. Die Vorgehensweise der Gemeinschaft – Funktion der Abkommen Ungeachtet der Frage, ob die Maßnahmen der Gemeinschaftsorgane materiell mit dem Gemeinschaftsrecht vereinbar sind, verdient die Vorgehensweise der Kommission und des Rates genauere Betrachtung. Die Gemeinschaftsorgane haben die Übermittlung der Flugdaten zum Gegenstand zweier Maßnahmen gemacht. Während das Gemeinschaftsrecht ausdrücklich nur die Angemessenheitsentscheidung der Kommission voraussetzt, um die Rechtmäßigkeit der Übermittlung sicherzustellen, hat der Rat mit den Vereinigten Staaten noch ein zusätzliches Abkommen abgeschlossen. Dort ist unter anderem vereinbart, dass das Bureau of Customs and Border Protection elektronischen Zugriff auf PNR-Daten nur streng nach Maßgabe des Kommissionsbeschlusses über die Angemessenheit nach Art. 25 Abs. 6 Datenschutzrichtlinie erhält, und das auch nur, solange der Beschluss gilt und kein befriedigendes System für die Übermittlung der Daten durch die Fluggesellschaft existiert.84 Gleichzeitig verpflichten sich die Vereinigten Staa82 Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, vom 26. Juni 1997, XV D/5020/97-DE endgültig WP 4, S. 7. 83 Dieses Problem sieht auch Ehmann/Helfrich, EG Datenschutzrichtlinie, vor Art. 25, Rn. 4 und geht folglich davon aus, dass die Kommission bei einem erheblichen wirtschaftlichen Druckpotential geneigt sein wird, bei der Angemessenheit einen großzügigen Maßstab anzulegen. 84 Art. 1 des Beschlusses des Rates 9026/04 vom 14. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und

322

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

ten, die geltenden Gesetze und verfassungsrechtlichen Erfordernisse ohne Diskriminierung auf alle von der Verarbeitung betroffenen Personen, also auch auf nicht in den USA ansässige EU-Bürger anzuwenden.85 Zweck des Abkommens ist es, die Forderungen der Vereinigten Staaten für die Fluggesellschaften mit der gleichen Rechtsverbindlichkeit auszustatten wie die Vorschriften des Gemeinschaftsrechts.86 Zudem macht die Bezugnahme der Vertragsparteien auf Art. 7 lit. c der Datenschutzrichtlinie in der Präambel des Abkommens, die Doppelschranke87 deutlich, die die Datenschutzrichtlinie bei Datenübermittlungen in das Ausland vorsieht.88 Neben der Angemessenheit müssen also auch die Voraussetzungen der die Richtlinie umsetzenden einzelstaatlichen Vorschriften erfüllt sein.89 Nach der Vorschrift des Art. 7 lit. c sehen die Mitgliedstaaten vor, dass die Verarbeitung personenbezogener Daten lediglich dann erfolgen darf, wenn die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die für die Verarbeitung Verantwortliche unterliegt. Dies setzt das Bestehen einer Verpflichtung kraft objektiven Rechts voraus, eine vertragliche Verpflichtung ist nicht ausreichend.90 Zwar wurzelt die rechtliche Verpflichtung der Fluggesellschaften hier zunächst in einer vertraglichen Verpflichtung, nämlich dem Abkommen zwischen der Gemeinschaft und den USA, doch wird dieses nach ständiger Rechtsprechung des EuGH mit seinem Inkrafttreten integrierender Bestandteil des Gemeinschaftsrechts.91 Gleichwohl ist das Bestehen einer irgendwie gearteten deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security. Abl. L 183/83 vom 20. 05. 2004, S. 5. 85 Art. 4 des Beschlusses des Rates 9026/04 vom 14. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security. Abl. L 183/83 vom 20. 05. 2004, S. 5. 86 Vgl. Stellungnahme 2/2004 vom 29. Januar 2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen 10019/04/DE, WP 87, S. 4. 87 Vgl. Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 9. 88 Vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25, Rn. 7 ff.; Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 25, Rn. 9. 89 Dabei ist die Frage, ob dies in einem zwei- oder einstufigen Prüfungsverfahren festzustellen ist, ohne praktische Bedeutung. 90 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7, Rn. 4. 91 EuGH, Rs. 181/73, Haegeman/Belgien, Slg. 1974, 339, Rn. 2–6; Rs. C-192/89, Sevince, Slg. 1990, I-3461, Rn. 9.

B. Die Übermittlung von Flugdaten

323

rechtlichen Verpflichtung nicht ausreichend, um die Rechtmäßigkeit der Verarbeitung sicherzustellen. Die Vorschrift setzt weiterhin voraus, dass die entsprechende demokratische Entscheidung unter Berücksichtigung des Schutzes der Grundrechte- und Grundfreiheiten der betroffenen Person ergangen ist.92 Dies bedeutet, dass der Ratsbeschluss über den Abschluss des Abkommens der Gemeinschaft mit den Vereinigten Staaten ebenso wie die Kommissionsentscheidung am Maßstab der Gemeinschaftsgrundrechte überprüft werden muss. Hier bestehen denn auch die gleichen Bedenken wie hinsichtlich der Gemeinschaftsrechtskonformität der Angemessenheitsentscheidung. 3. Die Rechtmäßigkeit des Abkommens – Verstoß gegen Gemeinschaftsrecht? Zweifel an der Rechtmäßigkeit des Abkommens bestehen aber nicht nur aus materieller Sicht. Zusätzlich stellen sich Fragen nach den Kompetenzen der Gemeinschaft zum Abschluss eines Abkommens, das ausschließlich den Bereich der Menschenrechte erfasst und zur Einhaltung der Verfahrensvorschriften.93 Die Befugnis der Gemeinschaft zum Abschluss völkerrechtlicher Abkommen ergibt sich neben den ausdrücklichen Kompetenznormen des Vertrages gemäß der implied-powers-Lehre auch implizit aus anderen Vertragsbestimmungen.94 Bezüglich des Abschlusses völkerrechtlicher Verträge im Bereich der Menschenrechte – konkret ging es um den Beitritt der Europäischen Gemeinschaft zur EMRK – hat der EuGH im Gutachten 2/94 festgestellt, dass keine Bestimmung des Vertrages den Gemeinschaftsorganen allgemein die Befugnis verleiht, Vorschriften auf dem Gebiet der Menschenrechte zu erlassen oder völkerrechtliche Verträge in diesem Bereich zu schließen.95 Dementsprechend kam in den Augen des Gerichtshofes als Kompetenzgrundlage lediglich Art. 308 EGV in Betracht.96 Voraussetzung für dessen Anwendbarkeit ist jedoch, dass er „nicht als Rechtsgrundlage für den Erlass von Bestimmungen dient, die der Sache nach, gemessen an ihren Folgen, auf eine Vertragsänderung ohne Einhaltung des hierfür vom Vertrag vorgesehenen Verfahren hinausliefen“, dient.97 Auch wenn die Frage nach der Gemeinschaftskompetenz zum Abschluss völkerrechtlicher Verträge im Be92 93 94 95 96 97

Brühann, in: Grabitz/Hilf, Bd. III, A 30, Art. 7, Rn. 16. Vassilaki, REDP 1994, S. 124. EuGH, Rs. 22/70, AETR, Slg. 1971, 263, Rn. 15 ff., seitdem st. Rspr. EuGH, Gutachten 2/94, EMRK, Slg. 1996, I-1763, Rn. 27. EuGH, Gutachten 2/94, EMRK, Slg. 1996, I-1763, Rn. 28. EuGH, Gutachten 2/94, EMRK, Slg. 1996, I-1763, Rn. 29.

324

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

reich der Menschenrechte seit dem Gutachten des EuGH sicherlich zurückhaltend beurteilt werden sollte, kann man nicht sagen, dass eine Kompetenz der Gemeinschaft zum Abschluss des Abkommens mit den Vereinigten Staaten grundsätzlich abgelehnt werden muss. Anders als bei der Frage nach dem Beitritt zur EMRK hat das Flugdatenabkommen „keine wesentliche Änderung des gegenwärtigen Gemeinschaftssystems des Schutzes der Menschenrechte“ zur Folge, da es die Gemeinschaft nicht in ein andersartiges institutionelles System einbindet, Bestimmungen anderer Rechtssysteme in das Gemeinschaftsrecht übernähme und somit keine verfassungsrechtliche Dimension besitzt98 Die vom EuGH im Gutachten 2/94 aufgestellten Grundsätze sprechen daher nicht ohne weiteres gegen eine Kompetenz der Gemeinschaft zum Abschluss des Flugdatenabkommens. Naheliegender wäre es allerdings, eine Außenkompetenz der Gemeinschaft aus Art. 95 EGV in Verbindung mit den Grundsätzen der AETRRechtsprechung99 des EuGH herzuleiten. Danach besitzt die Gemeinschaft eine ausschließliche Kompetenz zum Abschluss völkerrechtlicher Abkommen, wenn sie auf einem Gebiet über eine Befugnis zur innergemeinschaftlichen Gesetzgebung verfügt und diese Befugnis durch den Erlass von Rechtsakten tatsächlich in Anspruch genommen hat.100 Diesbezüglich könnte man zu bedenken geben, dass sich die in Art. 95 EGV enthaltene Befugnis auf den Erlass von Rechtsakten zur Verwirklichung der Ziele des Binnenmarktes beschränkt, das Abkommen jedoch keinen Bezug zum Binnenmarkt aufweist, sondern allein auf den Schutz der Grundrechte abzielt. Jedoch lässt sich dem Urteil Österreichischer Rundfunk101 entnehmen, dass der fehlende Bezug zum Binnenmarkt nicht notwendiger Weise eine Kompetenzüberschreitung zur Folge hat. Dort hatte der EuGH festgestellt, dass es zur Heranziehung von Art. 95 EGV als Rechtsgrundlage nicht erforderlich sei, dass „in jedem Einzelfall, der von dem auf dieser Rechtsgrundlage ergangenen Rechtsakt erfasst wird, tatsächlich ein Zusammenhang mit dem freien Verkehr zwischen den Mitgliedstaaten besteht“102. Folglich kann sich aus Art. 95 EVG eine – wenn auch begrenzte – Gemeinschaftskompetenz zum Erlass von Maßnahmen mit grund- bzw. menschenrechtlichem Bezug ergeben.103 Unter Anwendung der AETR-Rechtsprechung ließe sich dann 98 Vgl. die Ausführungen des EUGH zur EMRK, EuGH, Gutachten 2/94, EMRK, Slg. 1996, I-1763, Rn. 34. 99 EuGH, Rs. 22/70, AETR, Slg. 1971, 263. 100 EuGH, Gutachten 2/91 – ILO –, Slg. 1993, I-1061, Rn. 10; vgl. dazu im Einzelnen Mögele, in: Streinz, EUV/EGV, Art. 300, Rn. 24 ff. 101 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk u. a. und Neukomm und Lauermann/Österreichischer Rundfunk. 102 EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 41.

B. Die Übermittlung von Flugdaten

325

auch eine entsprechende Außenkompetenz der Gemeinschaft aus Art. 95 EGV ableiten.104 Schließlich könnte man erwägen, ob sich eine Kompetenz der Gemeinschaft zum Abschluss völkerrechtlicher Verträge unmittelbar aus der Datenschutzrichtlinie ergibt.105 So sieht Art. 25 Abs. 5 der Richtlinie vor, dass die Kommission Defizite im Schutzniveau eines Drittstaates durch Verhandlungen ausräumt.106 In der Rechtsprechung des EuGH ist anerkannt, dass die Gemeinschaft unter anderem dann über eine ausschließliche Kompetenz zum Abschluss internationaler Vereinbarungen verfügt, wenn einem Organ die Zuständigkeit zur Verhandlung mit Drittstaaten durch einen internen Rechtssetzungsakt übertragen worden ist.107 Im Ergebnis kann man davon ausgehen, dass sich eine Kompetenz der Gemeinschaft zum Abschluss des Abkommens mit den Vereinigten Staaten entweder aus Art. 95 EGV in Verbindung mit der AETR-Rechtsprechung des Gerichtshofes oder unmittelbar aus Art. 25 Abs. 5 der Datenschutzrichtlinie ergibt. Obgleich eine Festlegung daher an sich nicht erforderlich er103

Dazu im Einzelnen Siemen, EuR 2004, S. 313. Zur Feststellung, dass die AETR-Rechtsprechung auch für Art. 95 EGV gilt, EuGH, Gutachten 1/94, WTO, Slg. 1994, I-5267, Rn. 88; vgl. auch Mögele, in: Streinz, EUV/EGV, Art. 300, Rn. 30. 105 Nicht begründen lässt sich eine Außenkompetenz hingegen aus Art. 80 Abs. 2 i.V. m. Art. 71 Abs. 1 lit. c EGV. Obwohl der EuGH hier eine ausschließliche Außenkompetenz der Gemeinschaft ausdrücklich bejaht hat, (vgl. EuGH, Rs. C-466/98 bis C-469/98 u. a., Open Skies, Slg. 2002, I-9855, Rn. 144 ff.) erfasst sie nur die Sicherheit im Flugverkehr, vgl. Schäfer, in: Streinz, EUV/EGV, Art. 82, Rn. 52. Ein Zusammenhang der Abkommen über den Austausch der Flugdaten mit der Sicherheit im Flugverkehr ließe sich aber nur mittelbar herleiten. Weniger fern liegend scheint hingegen die Herleitung einer Kompetenz aus Art. 133 EGV, wenn man sagt, dass das Scheitern des Abkommens zu einer erheblichen Beeinträchtigung des Flugverkehrs und damit des dienstleistungsbezogenen Personenverkehrs hätte führen können. Im Gegensatz zu Regelungen, die die Niederlassung von Personen betrifft, fällt dieser in den Kompetenzbereich der gemeinsamen Handelspolitik (vgl. EuGH, Gutachten 1/94, WTO, Slg. 1994, I-5267, Rn. 45 ff.). Erforderlich wäre jedoch, dass der Schwerpunkt der Maßnahme in der Regulierung des Handels liegt (vgl. EuGH, Gutachten 1/78, Slg. 1979, 2871, Rn. 56). Der Zweck der datenschutzrechtlichen Regelung besteht jedoch im Schutz des Individuums, so dass auch Art. 133 EGV als Kompetenzgrundlage ausscheidet, vgl. Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudolf, S. 525. 106 Vgl. Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudolf, S. 514 und auch Dammann/ Simitis, EG-Datenschutzrichtlinie, Art. 25, Rn. 24. 107 EuGH, Gutachten 2/92, Slg. 1995, I-521, Rn. 33. 104

326

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

scheint,108 ist die Frage doch von verfahrensrechtlicher Bedeutung. Zöge man Art. 25 Abs. 5 der Richtlinie als Kompetenzgrundlage heran, käme es zu einer Umgehung der Verfahrensvorschriften des Art. 300 EGV. Ob die Vorschrift des Art. 300 EGV auch dann Anwendung findet, wenn die Kompetenz der Gemeinschaft sich unmittelbar aus Art. 25 Abs. 5 der Richtlinie ableitet,109 kann an dieser Stelle jedoch dahinstehen. Der Rechtsausschuss des Parlaments ist der Auffassung, dass das Abkommen mit den Vereinigten Staaten eine Abänderung der Datenschutzrichtlinie beinhaltet und schon daher gemäß Art. 300 Abs. 3 UAbs. 2 EGV der Zustimmung des Parlaments bedurft hätte.110 Da dieses aber lediglich angehört worden war, liege ein formeller Verstoß gegen Gemeinschaftsrecht vor. Auch dieses Vorbringen des Europäischen Parlaments erscheint nicht unbegründet. Art. 13 der Datenschutzrichtlinie spricht die Kompetenz, die in Abs. 1 aufgezählten Vorschriften einzuschränken, allein den Mitgliedstaaten zu. Soweit es durch die Datenübermittlung zur Beeinträchtigung der dort aufgeführten Rechte kommt, ohne dass dabei zugleich das angemessene Schutzniveau unterschritten wird, würde dies durch das Abkommen, also eine Maßnahme der Gemeinschaft und nicht durch eine Maßnahme eines Mitgliedstaates erfolgen, sodass Art. 13 der Richtlinie tatsächlich eine inhaltliche Änderung erführe. Schon aufgrund dieses Verfahrensfehlers müsste man im Ergebnis neben dem materiellen auch einen formellen Verstoß gegen das Gemeinschaftsrecht annehmen.111

108 Im Ergebnis lässt auch Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudol527, diese Frage offen. 109 So Stein, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt (Hg.) FS Rudolf, S. 527. 110 Bericht des Ausschusses für die Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten vom 7. April 2004 über den Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, A5-0271/2004 endg. (PE 339.636), S. 8. 111 Gemeinschaftsrechtlich unbedenklich ist hingegen die Tatsache, dass es zum Abschluss des Abkommens durch den Rat gekommen ist, obwohl das Gutachtenverfahren bereits eingeleitet war. Hieraus ergibt sich kein Hindernis für den Abschluss des Abkommens, da eine solche Wirkung in Art. 300 Abs. 6 EGV nicht vorgesehen ist. (vgl. Mögele, in: Streinz, EUV/EGV, Art. 300, Rn. 30). Auch werde damit nicht der Rechtsschutz des Organs, in Frage gestellt, das das Abkommen zu einem Zeitpunkt beantragt hat, zu dem das Abkommen noch nicht geschlossen war. (vgl. EuGH, Gutachten 3/94, Bananen, Slg. 1995, I-4577, Rn. 20.

B. Die Übermittlung von Flugdaten

327

Auch wenn aus den oben genannten Gründen kaum Zweifel an der Kompetenz der Gemeinschaft zum Abschluss des Abkommens bestehen, wird abzuwarten sein, auf welche Vorschrift der EuGH diese gründet und welche Auswirkungen dies auf die Beteiligungsrechte des Parlaments hat.

IV. Ergebnis Zusammenfassend kann man sagen, dass die Übermittlung von Flugdaten in die Vereinigten Staaten erhebliche rechtliche Probleme aufwirft. Zum einen erscheinen die datenschutzrechtlichen Garantien der Vereinigten Staaten als nicht ausreichend, um von einem angemessenen Schutzniveau zu sprechen, welches die Voraussetzung für die Datenübermittlung in ein Drittland darstellt. Besonders bedenklich stimmt zudem die Art und Weise, wie die von der Artikel 29-Datenschutzgruppe und dem Europäischen Parlament geäußerten Bedenken übergangen wurden. Auch wenn zuzugeben ist, dass die Betroffenen ohne das von der Kommission vorbereitete und vom Rat abgeschlossene Abkommen gänzlich schutzlos gestellt wären, die Fluggesellschaften zugleich aber aufgrund des wirtschaftlichen Drucks der Vereinigten Staaten gezwungen gewesen wären, die Flugdaten dennoch zu übermitteln, ist nicht einzusehen, warum sich Rat und Kommission nicht auf ein Gutachtenverfahren vor dem EuGH einlassen konnten. Vor diesem Hintergrund erscheint es richtig, dass nunmehr versucht wird, dem Gemeinschaftsgrundrecht auf Datenschutz auf dem Klagewege Geltung zu verschaffen. Dabei steht zu hoffen, dass der EuGH, der durch seine jüngste Rechtsprechung die innergemeinschaftliche Bedeutung der Datenschutzrichtlinie für den Grundrechtsschutz bereits deutlich gestärkt hat, vergleichbare Maßstäbe für die Datenübermittlung in Drittländer setzen wird. Für den Fall, dass der EuGH der Klage nicht stattgibt, die datenschutzrechtlichen Bedenken aber weiter bestehen, ist es schließlich denkbar, den Grundrechten durch eine Beschwerde vor dem EGMR Geltung zu verschaffen. Zulässig wäre ein solches Verfahren allerdings nur, wenn alle 25 Mitgliedstaaten der EU für das Handeln der Kommission und des Rates verantwortlich sind, so dass ihnen ein Konventionsverstoß zugerechnet werden kann.112 Jedoch ist ein solcher Fall vom EGMR bisher noch nicht entschieden worden. Im Fall Senator Lines, in dem die Große Kammer aufgefordert war, zu dieser Frage Stellung zu nehmen, hat der Gerichtshof die Beschwerde wegen fehlender Opfer112 Dass diese Möglichkeit grundsätzlich besteht zeigt der Fall EGMR, Urteil vom 18. Februar 1999, Matthews ./. Vereinigtes Königreich, (App. 24833/94), Reports 1999-I, § 32. Zu den Voraussetzungen Lenaerts, ELRev. 2000, S. 582, zur Verantwortlichkeit der Mitgliedstaaten eingehend Busch, Die Bedeutung der Europäischen Menschenrechtskonvention für den Grundrechtsschutz in der Europäischen Union, S. 104 ff.

328

Teil 4: Das Problem der Übermittlung von Daten in ein Drittland

eigenschaft für unzulässig erklärt.113 Es erscheint daher weiterhin nicht ausgeschlossen, dass der EGMR prinzipiell auch Akte der Gemeinschaft am Maßstab der EMRK überprüfen kann. Letztendlich ist zu hoffen, dass das noch junge gemeinschaftliche Grundrecht auf Datenschutz sich nicht bedingungslos der Bekämpfung des Terrorismus unterzuordnen hat.

113 EGMR (GK), Entscheidung vom 10. März 2004, Senator Lines, (App. 56672/00).

Teil 5

Schlussbetrachtung Der Datenschutz hat sich zu einem bedeutungsvollen Grundrecht entwickelt. Er wird auf Europäischer Ebene sowohl durch Art. 8 EMRK als auch als Grundrecht der Gemeinschaft gewährleistet. Im System der EMRK findet sich der Datenschutz als ein Teilaspekt des Rechts auf Achtung des Privatlebens. Sein Gewährleistungsgehalt bestimmt sich daher weitgehend nach dem Inhalt des Rechts auf Privatleben, zu dem im konkreten Fall einen Bezug bestehen muss. Bei der Herstellung dieser Verbindung waren die Straßburger Organe anfänglich sehr zurückhaltend und stellten ausschließlich auf den Inhalt der Informationen ab. In der Folge wurden lediglich private, nicht aber personenbezogene Daten von Art. 8 EMRK geschützt. Erst in den letzten Jahren hat der EGMR die zögerliche Haltung gegenüber diesem neuen Grundrecht aufgegeben. Zwar ist ein Bezug zum Privatleben weiterhin erforderlich, dieser kann nunmehr aber nicht mehr ausschließlich über den Inhalt, sondern etwa auch durch die Art und Weise des Verwendung der Daten oder die Dauer der Speicherung hergestellt werden. Dabei ist zu beobachten, dass das Kriterium des Bezugs zum Privatleben in der Rechtsprechung zunehmend in Auflösung begriffen ist. Bisher erachtet er sein Vorliegen zwar noch als notwendige Voraussetzung, aber es hat den Anschein als komme es dem EGMR lediglich darauf an, eine ausdrückliche Abkehr von seiner früheren Rechtsprechung zu vermeiden. Er ist daher bemüht, Urteile zu fällen, die einerseits datenschutzrechtlichen Ansprüchen genügen, sich gleichzeitig jedoch weitgehend in seine Rechtsprechung einfügen. Insgesamt erhält man aber nicht den Eindruck, dass das Bemühen um die Einheitlichkeit seiner Rechtsprechung den EGMR veranlasst, den Datenschutz zu vernachlässigen. Im Gegenteil: in seinen jüngeren Urteilen übernimmt er inzwischen auch die datenschutzrechtliche Terminologie, deren Verwendung er zuvor konsequent vermieden hatte. Zudem finden sich in der Rechtsprechung des EGMR auch Verweise auf die Datenschutzkonvention des Europarates. Obwohl der Gerichtshof eine direkte Anwendung der dort festgelegten datenschutzrechtlichen Grundsätze bisher vermeidet, bemüht er sich jedoch, deren wesentliche Prinzipien in seine Rechtsprechung zu übernehmen. Das Recht auf Achtung des Privat-

330

Teil 5: Schlussbetrachtung

lebens in Art. 8 EMRK beinhaltet somit heutzutage auch ein grundsätzliches Verbot der Verarbeitung personenbezogener Daten. Eine solche darf nur unter gesetzlich geregelten Voraussetzungen oder mit der Einwilligung des Betroffenen erfolgen, und selbst dann sind die Grundsätze hinsichtlich der Qualität der Daten – wie etwa der Zweckbindungsgrundsatz – zu beachten. Auch der Grundsatz des Schutzes bei der Verarbeitung besonders sensibler Daten hat in der Rechtsprechung des EGMR Niederschlag gefunden. Insbesondere die Gesundheit betreffende Daten dürfen nur verarbeitet werden, wenn das nationale Recht ausreichende Sicherungsmaßnahmen gegen Missbrauch vorsieht und deren Umsetzung gewährleistet ist. Eine Lücke besteht hinsichtlich des Datenschutzes der EMRK jedoch noch im Bereich der Beteiligungsrechte des Betroffenen. Hier haben die Grundsätze aus Art. 8 der Datenschutzkonvention noch keine Beachtung gefunden. Ein generelles Recht auf Einsichtnahme und Offenlegung der personenbezogenen Daten kann der Einzelne daher nicht verlangen. Abhilfe könnte hier im Zuge einer neuen Entwicklung geschaffen werden: Erst vor kurzem hat der EGMR festgestellt, dass Art. 8 EMRK grundsätzlich auch ein Recht auf Selbstbestimmung beinhaltet. Dehnte man dieses Element weiter aus, könnte man Art. 8 EMRK zukünftig auch als umfassendes Recht auf informationelle Selbstbestimmung verstehen. Dies würde zwangsläufig umfassende Beteiligungsrechte des Betroffenen begründen. Es lässt sich festhalten, dass die jüngsten Urteile des EGMR mit datenschutzrechtlichem Bezug nicht nur weitgehend zu interessensgerechten Ergebnissen geführt, sondern dabei das Recht auf Achtung des Privatlebens zu einem Recht auf Datenschutz fortentwickelt haben. Kritisch anzumerken ist jedoch, dass die Urteile stark einzelfallbezogen sind und dass sich aus ihnen nur schwerlich grundsätzliche und allgemeingültige Prinzipien herauslesen lassen. Es wäre daher wünschenswert gewesen, wenn der Straßburger Gerichtshof die Datenschutzkonventiondes Europarates in stärkerem Maße in Bezug genommen hätte. Obwohl die Datenschutzkonvention in einigen Bereichen nicht weitgehend genug ist und daher nicht als alleinige Auslegungshilfe für das Recht auf Datenschutz dienen kann, könnte sie jedoch einen wichtigen Beitrag zur Konturierung dieses Rechts leisten. Die Entwicklung des Datenschutzes unter der EMRK kann jedoch noch nicht als abgeschlossen betrachtet werden. Es ist anzunehmen, dass das Recht auf Datenschutz zukünftig noch gestärkt werden wird. Eine andere Entwicklung hat der Datenschutz in der Europäischen Gemeinschaft genommen. Zwar stellte er sich in dieser Rechtsordnung zunächst ebenfalls nur als ein Aspekt des Rechts auf Achtung des Privatlebens dar, mit Inkrafttreten der Datenschutzrichtlinie entwickelte er sich jedoch zu einem eigenständigen Gemeinschaftsgrundrecht. Zur Bestimmung des In-

Teil 5: Schlussbetrachtung

331

halts dieses Rechts wurden zunächst nur die in der Datenschutzrichtlinie verkörperten allgemeinen Rechtsgrundsätze der Gemeinschaft herangezogen. Es hatte daher den Anschein, als würde die EMRK – entgegen der bisherigen Rechtsprechung des EuGH – im Bereich des Datenschutzes bei der Herleitung des Gemeinschaftsgrundrechts keine Rolle spielen. Im wegweisenden Urteil Österreichischer Rundfunk zeigte sich jedoch, dass Art. 8 EMRK und die dazu ergangene Rechtsprechung des EGMR auch weiterhin von großer Bedeutung sind. Die Vorschrift dient als Maßstab für das durch die Datenschutzrichtlinie vermittelte Grundrecht auf Datenschutz. Da das durch die allgemeinen Rechtsgrundsätze und das durch die Richtlinie vermittelte Recht bis zum jetzigen Zeitpunkt nebeneinander existieren, speist sich das Grundrecht auf Datenschutz in der Gemeinschaft gleichsam aus zwei verschiedenen Quellen. Es stellt sich daher als ein hybrides Grundrecht dar. Zwischen dem Datenschutz unter der EMRK und dem der Gemeinschaft bestehen vielfältige Beziehungen. Unter beiden Systemen existieren den Datenschutz regelnde Sekundärrechtsakte, zu denen auf Ebene der EMRK gewissermaßen die Datenschutzkonvention und auf Ebene der Gemeinschaft die Datenschutzrichtlinie gehören. Somit ist die Verzahnung zwischen EMRK und Gemeinschaftsrecht im Bereich des Datenschutzes besonders ausgeprägt. Durch dieses Geflecht entstehen zwar vielerlei Probleme bei der Auslegung, doch kann man insgesamt betrachtet sagen, dass die Gerichte beider Systeme gemeinsam ein europäisches Grundrecht auf Datenschutz geschaffen haben. Nicht außer Acht gelassen werden darf jedoch, dass jede Rechtsordnung für sich bereits eine spezifische Aufgabe hat. Dabei spielt die Gemeinschaft im Bereich des Grundrechtsschutzes eine eigenständige Rolle mit wachsendem Gewicht. Konnte man in der Vergangenheit noch sagen, dass der grundrechtliche Datenschutz in der Gemeinschaft stärker auf die EMRK angewiesen war als andersherum, ist angesichts der Aufnahme eines eigenen Grundrechts auf Schutz der Verarbeitung personenbezogener Daten in die Grundrechtecharta nunmehr davon auszugehen, dass sich dies zukünftig ändern wird. Letztendlich lässt sich festhalten, dass auf europäischer Ebene inzwischen ein ausgeprägtes Grundrecht auf Datenschutz existiert. Das Beispiel der Flugdatenaffäre zeigt, dass hierfür auch ein großes Bedürfnis besteht. Damit dieses Recht seine volle Geltung erlangt, muss es von den Bürgern allerdings auch wahrgenommen werden.

Literaturverzeichnis Achelpöhler, Wilhelm/Niehaus, Holger: Rasterfahndung als Mittel zur Verhinderung von Anschlägen islamistischer Terroristen in Deutschland, DÖV 2003, S. 49–57. Adamovich, Ludwig: Marge d’appreciation du législateur et principe de proportionalité dans l’appréciation des „réstrictions prévues par la loi“ au regard de la Convention européenne des droits de l’homme, RTDH 1991, S. 291–300. Adenas, Mats/Zleptnig, Stefan: Surveillance and Data Protection: Regulatory Approaches in the EU and the Member States, EBLR 2003, S. 765–813. Alber, Siegbert/Widmaier, Ulrich: Die EU-Charta der Grundrechte und ihre Auswirkungen auf die Rechtsprechung – Zu den Beziehungen zwischen EuGH und EGMR –, EuGRZ 2001, S. 497–510. Alkema, Evert Albert: The third-party applicability or „Drittwirkung“ of the European Convention of Human Rights, in: Matscher, Franz/Petzold, Herbert (Hg.), Protecting human rights: the European dimension; studies in honor of Gérard S. Wiarda, S. 33–44. – Privacy under the European Convention of Human Rights, http://www.privacy exchange.org/iss/confpapers/montreal.html (30.07.2004). Andrews, John: Council of Europe: Control of secret surveillance in Germany – Case of Klass and others, ELRev 1979, S. 139–143. Arai-Takahashi, Yutaka: The margin of appreciation doctrine in the jurisprudence of Article 8 of the European Convention on Human Rights, NQHR 16 (1998), S. 41–61. – The Margin of Appreciation Doctrine and the Principle of Proportionality in the Jurisprudence of the ECHR, Antwerpen/Oxford/New York 2002. Austin, Lisa: Privacy and the Question of Technology, Law and Philosophy 22 (2003), S. 119–166. Baer, Susanne: Grundrechtscharta ante portas, ZRP Bd. 33 (2000), S. 361–364. Banaszak, Boguslaw: Die Aktualität des Lustrationsvorhabens in Polen, in: DuD 1997, S. 142–145. Bellekom, Theo: De Leander-Zaak: Een Zweeds Berufsverbot-Geval, NJCM 1988, S. 148–166. Bergkamp, Lucas: EU Data Protection Policy, CLSR 2002, S. 31–47. Bergkamp, Lucas/Dhont, Jan: Data Protection in Europe and the Internet: An Analysis of the Community’s Privacy Legislation in the Context of the World Wide Web, EDI Law Review 2000, S. 71–114.

Literaturverzeichnis

333

Bergmann, Michael: Grenzüberschreitender Datenschutz, Baden-Baden 1985. Berka, Walter: Die Gesetzesvorbehalte der Europäischen Menschenrechtskonvention, ÖZöRV 37 (1986/87) S. 71–100. Bernhardt, Rudolf: Probleme eines Beitritts der Europäischen Gemeinschaft zur Europäischen Menschenrechtskonvention, in: Due, Ole/Lutter, Marcus/Schwarze, Jürgen (Hg.), Festschrift Everling, Baden-Baden 1995, S. 103–113. Bernsdorff, Norbert/Borowsky, Martin: Die Charta der Grundrechte der Europäischen Union: Handreichungen und Sitzungsprotokolle, Baden-Baden 2002. Bernsdorff, Norbert/Meyer, Jürgen (Hg.): Die Charta der Grundrechte der Europäischen Union, Baden-Baden 2002, zitiert: Bearbeiter, in: Meyer, Kommentar zur Charta der Grundrechte der Europäischen Union. Beutler, Bengt/Bieber, Roland/Pipkorn, Jörn/Streil, Jochen (Hg.): Die Europäische Union – Rechtsordnung und Politik, 5. Auflage, Baden-Baden 2001. Bleckmann, Albert: Europarecht, 6. Auflage, Köln/Berlin/Bonn/München 1997. – Die wertende Rechtsvergleichung bei der Entwicklung Europäischer Grundrechte, in: Bauer, Jürge F. u. a. (Hg.), Europarecht, Energierecht, Wirtschaftsrecht: Festschrift für Bodo Börner, S. 29–39. – Entwicklung staatlicher Schutzpflichten aus den Freiheiten der Europäischen Menschenrechtskonvention, in: Beyerlin/Bothe/Hofmann/Petersmann (Hg.), Recht zwischen Umbruch und Bewahrung, Festschrift für Rudolf Bernhardt, Berlin/Heidelberg/New York 1995, S. 309–323. Boeles, Pieter: Data Exchange, Privacy and Legal Protection; Especially regarding aliens, in: Schermers, Henry G. u. a. (Hg.), Free Movement of Persons in Europe, Dordrecht/Boston/London 1993, S. 52–59. Bogdandy, Armin von: Grundrechtsgemeinschaft als Integrationsziel? Grundrechte und das Wesen der Europäischen Union, in: Duschanek, Alfred/Griller, Stefan, Grundrechte für Europa, Wien 2000, S. 69–115. Bot, Dirk de: Verwerking van persoonsgegevens, Antwerpen 2001. Breitenmoser, Stephan: Der Schutz der Privatsphäre gemäss Art. 8 EMRK, Basel/ Frankfurt a. M. 1986. Brems, Eva: The Margin of Appreciation Doctrine in the Case-law of the ECHR, ZaöRV Bd. 56 (1996), S. 240–314. Brühann, Ulf: Datenschutz und Europäische Gemeinschaft, AfP 1998, S. 345–353. Brühann, Ulf/Zerdick, Thomas: Umsetzung der EG-Datenschutzrichtlinie, CR 1996, S. 429–436. Bfflrca, Gráinne de: The Principle of Proportionality and its Application in EC Law, YEL 1993, S. 103–150. – The drafting of he EU Charter of Fundamental Rights, ELRev. 2001, S. 126–138.

334

Literaturverzeichnis

Busch, Andrej Victor Mykola Wasyl: Die Bedeutung der Europäischen Menschenrechtskonvention für den Grundrechtsschutz in der Europäischen Union, BadenBaden 2003. Bygrave, Lee A.: Data Protection Law, The Hague/London/New York 2002. – Data Protection Pursuant to the Right to Privacy in Human Rights Treaties, IJLT Vol. 6 (1998), S. 247–284. – An international data protection stocktake @ 2000 – Part 2: core principles of data protection, PLPR 2001, S. 169–175. Cadoux, Louise/Tabatoni, Pierre: Internet et protection de la vie privée, Commentaire: revue trimestrielle, Band 23 (2000), S. 57–66. Calliess, Christian: Die Charta der Grundrechte der Europäischen Union – Fragen der Konzeption, Kompetenz und Verbindlichkeit, EuZW 2001, S. 261–268. Calliess, Christian/Ruffert, Matthias: Kommentar des Vertrages über die Europäische Union und des Vertrages zur Gründung der Europäischen Gemeinschaft, 2. Auflage, Neuwied/Kriftel 2002, zitiert: Bearbeiter, in: Calliess/Ruffert, EUV/ EGV. Cameron, Iain: National Security and the European Convention on Human Rights, The Hague/London/Boston, 2000. Caspar, Johannes: Nationale Grundrechtsgarantien und sekundäres Gemeinschaftsrecht, DÖV 2000, S. 349–361. Catenhusen, Hanns-Christian: Die Stasi-Überprüfung im öffentlichen Dienst der neuen Bundesländer, Berlin 1999. Cirkel, Johannes: Die Bindungen der Mitgliedstaaten an die Gemeinschaftsgrundrechte, Baden-Baden 2000. Clapham, Andrew: The „Drittwirkung“ of the Convention, in: Macdonald, Ronald St. J./Matscher, Franz/Petzold, Herbert (Hg.), The European System for the Protection of Human Rights, Dordrecht/Boston/London 1993, S. 163–207. Classen, Claus Dieter: Joined Cases C-465/00, C-138/01 and C-139/01, Österreichischer Rundfunk, Judgement of 20 May 2003, Full Court, [2003] ECR I-4989, CMLR 41 (2004), S. 1377–1385. Cloidt-Stotz, Julia: Verdeckter Aids-Test bei Einstellung eines EG-Bediensteten, NJW 1994, S. 3005–3007. Cohen-Jonathan, Gérard: La Convention Européenne des Droits des l’Homme, Paris 1989. – Respect for Private and Family Life, in: Macdonald, R. St. J./Matscher, F./Petzold, H. (Hg.), The European System for the Protection of Human Rights, Dordrecht/Boston/London 1993, S. 405–445. Cohen-Jonathan, Gérard/Jacqué, Jean-Paul: Activité de la Commission Européenne des Droits des l’Hommes, Annuaire Français de Droit International 1978, S. 403–422.

Literaturverzeichnis

335

Conelly, A. M.: Problems of interpretation of Article 8 of the European Convention on Human Rights, ICLQ 35 (1986), S. 567–593. Cooley, Thomas M.: A treatise on The Law of Torts or the Wrongs which arise independent of contract, 2. Auflage, Chicago 1888. Couldray, Ludovic: Case C-101/01, Bodil Lindquist, judgement of 6 November 2003 on a reference to the Court under Article 234 EC by the Göta hovrätt (Sweden) for a preliminary ruling in the criminal proceedings before that court, CMLR Vol. 41 (2004), S. 1361–1376. Craig, Paul/de Bfflrca, Gráinne: EU Law, 3. Auflage, Oxford/New York 2003. Cremer, Theodor: Lohengrin und das Grundrecht auf informationelle Selbstbestimmung des Ehemannes, in: Umbach, Dieter C. u. a. (Hg.), Das wahre Verfassungsrecht: zwischen Lust und Leistung, Baden-Baden 1984, S. 275–283. Dammann, Ulrich/Simitis, Spiros: EG-Datenschutzrichtlinie: Kommentar, Baden-Baden 1997. Däubler, Wolfgang: Arbeitnehmerdatenschutz ein Problem der EG?, in: Tinnefeld, Marie-Theres/Philipps, Lothar/Heil, Susanne (Hg.), Informationsgesellschaft und Rechtskultur in Europa, S. 110–125. Desgagné, Richard: Integrating Environmental values into the European Convention on Human Rights, AJIL 89 (1995), S. 263–294. Deutsch, Erwin/Spickhoff, Andreas: Medizinrecht, 5. Auflage, Berlin u. a. 2003. Dijk, Pieter van: Access to Court, in: Macdonald/Matscher/Petzold (Hg.), The European System for the Protection of Human Rights, S. 345–381. Dijk, Pieter van/Hoof, Godefridus. J. H. van: Theory and Practice of the European Convention on Human Rights, The Hague/London/Boston 1998. Doswald-Beck, Louise: The Meaning of the „Right to Respect for Private Life“ under the European Convention on Human Rights, HRLJ 1983, S. 283–309. Douraki, Thomaïs: Le secret médical entant qu’élément de la vie privée du malade, face aux progrès de l’informatique: L’approche juridique européenne, Revue du Marché commun et de l’Union européenne 2003, S. 257–265. Doyle, Carolyn/Bargaric, Mirco: The Right to Privacy: Appealing but Flawed, IJHR Vol. 9 (2005), S. 3–36. Draf, Oliver: Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, Frankfurt a. M. 1999. Dressel, Christian Oliver: Die gemeinschaftsrechtliche Harmonisierung des europäischen Datenschutzrechts, München 1995. Dröge, Cordula: Positive Verpflichtungen in der Europäischen Menschenrechtskonvention, Berlin u. a. 2003. Duffy, P. J.: The Protection of Privacy, Family Life and Other Rights under Art. 8 of the European Convention of Human Rights, YEL 1982, S. 191–238.

336

Literaturverzeichnis

Early, Lawrence: Science, Technology and Human Rights: The Role of Data Protection, in: Mahoney, Kathleen/Mahoney, Paul (Hg.): Human Rights in the Twenty-first Century, Dordrecht/Boston/London 1993, S. 801–817. Eeckhout, Piet: The EU Charter of Fundamental Rights and the Federal Question, CMLR 39 (2002), S. 945–994. Ehlers, Dirk (Hg.): Europäische Grundrechte und Grundfreiheiten, Berlin 2003. Ehmann, Eugen/Helfrich, Marcus: EG-Datenschutzrichtlinie, Köln 1999. Ehmann, Horst/Sutschet, Holger: EU-Datenschutzrichtlinie – Umsetzungsbedarf und Auswirkungen aus der Sicht des Arbeitsrechts, RDV 1997, S. 3–15. Ellger, Reinhard: Der Datenschutz im grenzüberschreitenden Datenverkehr, BadenBaden 1989. – Vertragslösungen als Ersatz für ein angemessenes Schutzniveau bei Datenübermittlungen in Drittstaaten nach dem neuen Europäischen Datenschutzrecht, RabelsZ 60 (1996), S. 738–770. Engel, Christoph: The European Charter of Fundamental Rights, A changed Political Opportunity Structure and its Normative Consequences, ELJ 2001, S. 151–717. Epiney, Astrid/Freiermuth, Marianne (Hg.): Datenschutz in der Schweiz und in Europa, Freiburg Schweiz 1999. Everling, Ulrich: Die Stellung des Bürgers in der Europäischen Gemeinschaft, ZfRV 1992, S. 241–256. – Die Verantwortung des Gerichtshofes der Europäischen Gemeinschaften für die europäische Informationsordnung, in: Lamnek, Siegfried/Tinnefeld, Marie-Theres, Globalisierung und informationelle Rechtskultur in Europa, Baden-Baden 1998, S. 176–192. Evers, Hans-Ulrich: Schutz des „Privatlebens“ durch Art. 8 MRK und durch das Grundrecht auf Datenschutz, in: Adamovich, Ludwig/Pernthaler, Peter, Auf dem Weg zu Menschenwürde und Gerechtigkeit, Festschrift für Hans R. Klecatsky, Erster Teilband, Wien 1980, S. 177–205. Fechner, Frank: Anmerkungen zum Urteil des EuGH im Fall Lindquist, JZ 2004, S. 246–248. Feldmann, David: The Developing Scope of Article 8 of the European Convention on Human Rights, EHRLR 1997, S. 265–274. Frowein, Jochen Abr./Peukert, Wolfgang: Europäische Menschenrechtskonvention, 2. Auflage, Kehl/Straßburg/Arlington 1996. Gallwas, Hans-Ullrich: Grundrechtsschutz und Stasi-Unterlagen-Gesetz (StUG), in: Unverhau, Dagmar (Hg.), Das Stasi-Unterlagen-Gesetz im Lichte von Datenschutzgesetz und Archivgesetzgebung, Münster 1997, S. 105–115. García, Alonso: The General Provisions of the Charter of Fundamental Rights of the European Union, ELJ 2002, S. 492–514. Geis, Ivo: Internet und Datenschutzrecht, NJW 1997, S. 288–293.

Literaturverzeichnis

337

Gersdorf, Hubertus: Funktionen der Gemeinschaftsgrundrechte im Lichte des Solange II Beschlusses des BverfG, AÖR 1994 (119), S. 400–426. Goerlich, Helmut: Grundrechte als Verfahrensgarantien, Baden-Baden 1981. Gola, Peter: Datenschutz durch EG-Rechtsprechung, RDV 1990, S. 110–113. Gola, Peter/Klug, Christoph: Grundzüge des Datenschutzrechts, München 2003. Gomien, Donna/Harris, David/Zwaak, Leo: Law and practice of the European Convention on Human Rights and the European Social Charter, Strasbourg 1996. Grabenwarter, Christoph: Die Menschenrechtskonvention und Grundrechte-Charta in der europäischen Verfassungsentwicklung, in: Cremer, Hans-Joachim/Giegerich, Thomas/Richter, Dagmar/Zimmermann, Andreas, Tradition und Weltoffenheit des Rechts, Festschrift für Helmut Steinberger, Berlin/Heidelberg/New York 2002, S. 1129–1153. – Die Charta der Grundrechte für die Europäische Union, DVBl. 2001, S. 1–13. – Europäische Menschenrechtskonvention, München 2003. Grabitz, Eberhard/Hilf, Meinhard (Hg.): Kommentar zur Europäischen Union, Stand 23. Ergänzungslieferung, München 2004, zitiert: Bearbeiter, in: Grabitz/Hilf. Gridl, Rudolf: Datenschutz in globalen Telekommunikationssystemen, Baden-Baden, 1999. Griller, Stefan: Der Anwendungsbereich der Grundrechtecharta, in: Duschanek, Alfred/Griller, Stefan (Hg.), Grundrechte für Europa, Wien, 2002, S. 131–183. von der Groeben, Hans/Schwarze, Jürgen: Kommentar zum EU-/EG-Vertrag, 6. Auflage, Baden-Baden 2003, zitiert: Bearbeiter, in: von der Groeben/Schwarze. von der Groeben, Hans/Thiesing, Jochen/Ehlermann, Claus-Dieter (Hg.): Kommentar zum EU-/EG-Vertrag, 5. Auflage, Baden-Baden 1997, zitiert: Bearbeiter, in: von der Groeben/Thiesing/Ehlermann. Große Wentrup, Anna: Die Europäische Grundrechtecharta im Spannungsfeld der Kompetenzverteilung zwischen Europäischer Union und Mitgliedstaaten, Berlin 2003. Guradze, Heinz: Die Europäische Menschenrechtskonvention, Berlin 1968. Hahn, Ulrich: Datenschutz und grenzüberschreitender Datenverkehr, Frankfurt a. M. 1994. Hailbronner, Kay: Die Einschränkung von Grundrechten in einer demokratischen Gesellschaft – Zu den Schrankenvorbehalten der Europäischen Menschenrechtskonvention, in: Bernhardt, Rudolf u. a. (Hg.) Völkerrecht als Rechtsordnung, Internationale Gerichtsbarkeit, Menschenrechte, Festschrift für Hermann Mosler, Berlin/Heidelberg/New York 1983, S. 359–387. Haratsch, Andreas: Verweisungstechnik und gemeinschaftsgerichtete EG-Richtlinien, Anmerkungen zum neuen Datenschutzartikel des EG-Vertrages, EuR 2000, S. 42–61.

338

Literaturverzeichnis

Harden, Ian: Openess and Data Protection in the European Union, Queen’s Papers on Europeanisation No 9/2002, Publikation des Institute for European Studies, Queen’s University Belfast, www.qub.ac.uk./iesonlinepapers/poe9-02.pdf (30.07.2004). Haslach, Christian: Unmittelbare Anwendung der EG-Datenschutzrichtlinie, DuD 1998, S. 693–699. – Unabhängige Datenschutzkontrolle nach Art. 28 EG-Datenschutzrichtlinie, DuD 1999, S. 466–470. Hassemer, Winfried: Zeit zum Umdenken, Datenschutz und Datensicherheit, DuD 1995, S. 448–449. Hector, Pascal: Die Charta der Grundrechte der Europäischen Union, in: Bröhmer, Jürgen (Hg.), Der Grundrechtsschutz in Europa, Baden-Baden 2002, S. 180–205. Heil, Helmut: Die Artikel 29-Datenschutzgruppe, DuD 1999, S. 471–472. Henke, Ferdinand: Die Datenschutzkonvention des Europarates, Frankfurt a. M./ Bern/New York 1986. Herdegen, Matthias: Europarecht, 5. Auflage, München 2003. Hert, Paul de: Mensenrechten en bescherming van persoonsgegevens – Overzicht en sythese van de Europese rechtspraak 1955–1997, in: Mensenrechten, Jaarboek van het Interuniversitair Centrum mensenrechten (ICM) 1996–1997, S. 43–96. – European Data Protection as a Potential Framework for Electronic Visual Surveillance, in: Nijboer, J. F./Riejntes, J. M. (Hg.), Proceedings of the First World Conference on New Trends in Criminal Investigation and Evidence, Den Haag 1997, S. 560. Hert, Paul de/Schreuders, Eric: The Relevance of Convention 108, Proceedings of the Council of Europe Conference on Data Protection, Warsaw, 19.–20. November 2001; abrufbar unter: http://www.coe.int/T/E/Legal_affairs/Legal_co-opera tion/Data_protection/Events/Conf(Warsaw2001)ProceedingsE.pdf (30.07.2004). Heymann, Monika: Die Europäische Menschenrechtskonvention und das Recht auf aktive Sterbehilfe, Jus 2002, S. 957–958. Hoffmann-Remy, Ulrich: Die Möglichkeit der Grundrechtseinschränkung nach den Art. 8–11 Abs. 2 der Europäischen Menschenrechtskonvention, Berlin 1976. Hoffmann-Riem, Wolfgang: Selbstbestimmung in der Informationsgesellschaft, AöR 1998, S. 513–540. Hofmann, Rainer: Grundrechte und grenzüberschreitende Sachverhalte, Berlin u. a. 1994. Holoubek, Michael: Der Grundrechtseingriff – Österreichische und konventionsrechtliche Aspekte, DVBl 1997, S. 1031–1039. – Grundrechtliche Gewährleistungspflichten: ein Beitrag zu einer allgemeinen Grundrechtsdogmatik, Wien 1997.

Literaturverzeichnis

339

– Die liberalen Rechte der Grundrechtscharta im Vergleich zur Europäischen Menschenrechtskonvention, in: Duschanek, Alfred/Griller, Stefan (Hg.), Grundrechte für Europa – Die Europäische Union nach Nizza, Wien 2002, S. 25–39. Holznagel, Bernd: Das Grundrecht auf informationelle Selbstbestimmung, in: Pieroth, Bodo (Hg.) Verfassungsrecht und soziale Wirklichkeit in Wechselwirkung, Berlin 2000, S. 29–45. Hondius, Frits W.: Emerging data protection in Europe, Amsterdam/Oxford 1975. – A Decade of International Data Protection, NILR 1983, S. 103–128. Hufen, Friedhelm: Schutz der Persönlichkeit und Recht auf informationelle Selbstbestimmung, in: Badura, Peter/Dreier, Horst, Festschrift 50 Jahre Bundesverfassungsgericht, S. 105–127. Hummer, Waldemar: Der Status der „EU Grundrechtecharta“: politische Erklärung oder Kern einer europäischen Verfassung?, Bonn 2002. Ipsen, Hanspeter: Europäisches Gemeinschaftsrecht, Tübingen 1972. Ipsen, Knut: Völkerrecht, 5. Auflage, München 2004. Isensee, Josef/Kirchhof, Paul: Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band VI, Freiheitsrechte, Heidelberg 1989, zitiert: Bearbeiter, in: Isensee/Kirchhof, Handbuch des Staatsrechts, Bd. VI. Jacob, Joachim: Der Stand der EG-Datenschutzrichtlinie zu Beginn der deutschen Ratspräsidentschaft, DuD 1994, S. 480–483. – Die EG-Datenschutzrichtlinie aus der Sicht des BfD, RDV 1993, S. 11–14. Jacobs, Francis G.: The European Convention on Human Rights, London 1975. – Human Rights in the European Union: the role of the Court of Justice, ELRev 26 (2001), S. 333–341. Jaeckel, Liv: Schutzpflichten im deutschen und europäischen Recht, Baden-Baden 2001. Jakhian, Edouard: La cour Européenne des droits des l’homme et le secret médical ou l’impossible équilibre, in: Mélanges à Louis Edmond Pettiti, S. 472–485. Jones, M. R. V.: La vie privée mise en péril par la technologie in: Vie privée et droits de l’homme, actes du Troisième Colloque International sur la Convention Européenne de Droits de l’Homme (Bruxelles 30. septembre–3 octobre 1970), S. 185–214. Juvigny, M. P.: Les réalisations scientifiques et techniques modernes et leurs consequences sur la protection du droit au respect de la vie privée et familiale, du domicile et des communications, in: Vie privée et droits de l’homme, actes du Troisième Colloque International sur la Convention Européenne de Droits de l’Homme (Bruxelles 30. septembre–3. octobre 1970), S. 171–183. Karl, Wolfram (Hg.): Internationaler Kommentar zur Europäischen Menschenrechtskonvention, Köln/Berlin/München Stand Juni 2004, zitiert: Bearbeiter, in: IntKomm.

340

Literaturverzeichnis

Karpenstein, Peter: Zur Zuständigkeit der Europäischen Gemeinschaften auf dem Gebiet des Datenschutzes, in: Bieber, Roland/Bleckmann, Albert/Capotorti, Francesco u. a. (Hg.), Das Europa der zweiten Generation, Gedächtnisschrift für Christoph Sasse, Kehl am Rhein/Straßburg, 1981, S. 889–909. Kempees, Peter: „Legitimate aims“ in the case-law of the European Court of Human Rights in: Mahoney/Matscher/Petzold/Wildhaber (Hg.), Protection des droits de l’homme: la perspective européenne, Mélanges à la mémoire de Rolv Ryssdal, Köln/Berlin/Bonn/München 2000, S. 659–677. Kenntner, Markus: Die Schrankenbestimmungen der EU-Grundrechtecharta – Grundrechte ohne Schutzwirkung?, ZRP 2000, S. 423–425. Kilian, Wolfgang: Europäisches Datenschutzrecht – Persönlichkeitsrecht und Binnenmarkt, in: Tinnefeld, Marie-Theres/Philipps, Lothar/Heil, Susanne, Informationsgesellschaft und Rechtskultur in Europa, Baden-Baden, 1995, S. 98–110. Kilkelly, Ursula: Human Rights Handbook No. 1, The Right to Respect for Private and Family Life, Council of Europe 2001. Kingreen, Torsten: Die Struktur der Grundfreiheiten des Europäischen Gemeinschaftsrechts, Berlin 1999. – Die Gemeinschaftsgrundrechte, JuS 2000, S. 857–865. Klein, Eckhart: Menschenrechte in Europa, MRM Themenheft „50 Jahre Europäische Menschenrechtskonvention“ 2000, S. 8–21. Klopefer, Michael: Datenschutz als Grundrecht – Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz, Königstein/Ts. 1980. – Das Stasi-Unterlagengesetz und die Pressefreiheit: Verfassungsfragen des Gesetzes über die Unterlagen des Staatssicherheitsdienstes der ehemaligen DDR, Berlin 1993. – Informationsrecht, München 2002. Knaub, Gilbert: La protection des données, in: Cassese, Antonio/Clapham, Andrew/ Weiler, Joseph (Hg.), Human Rights and the European Community, Baden-Baden 1999, S. 365–415. Kokott, Juliane: Der Grundrechtsschutz im europäischen Gemeinschaftsrecht, AöR 121 (1996), S. 608–638. Krüger, Hans Christian/Polakiewicz, Jörg: Vorschläge für ein kohärentes System des Menschrechtsschutzes in Europa, EuGRZ 2001, S. 92–105. Kübler, Johanna: Die Säulen der Europäischen Union: einheitliche Grundrechte?, Baden-Baden 2002. Kühling, Jürgen: Die Kommunikationsfreiheit als europäisches Gemeinschaftsgrundrecht, Berlin 1999. Kuner, Christopher: European Data Privacy Law and Online Business, Oxford/New York 2003.

Literaturverzeichnis

341

Langenfeldt, Christine/Zimmermann, Andreas: Interpedenzen zwischen nationalem Verfassungsrecht, Europäischer Menschenrechtskonvention und Europäischem Gemeinschaftsrecht, ZaöRV Band 52 (1992), S. 259–314. Lavranos, Nikolaos: Datenschutz in Europa, DuD 1996, S. 400–408. Lawson, Rick/Schermers, Henry G.: Leading Cases of the European Court of Human Rights, 2. Auflage, Nijmegen 1999. Léger, Philippe: Commentaire article par article des traités UE et CE, Bâle/Genève/ Munich 1999. Lemmens, Paul: The Relation between the Charter of Fundamental Rights of the European Union and the European Convention on Human Rights – Substantive Aspects, MJ 2001, S. 49–67. Lenaerts, Koen: Fundamental rights in the European Union, ELRev 2000, S. 575–600. Lenaerts, Koen/De Smijter, Eddy: A „Bill of Rights“ fort he European Union, CMLR 38 (2001), S. 273–300. Lenz, Carl Otto: Der europäische Grundrechtsstandard in der Rechtsprechung des Europäischen Gerichtshofes, EuGRZ 1993, 585–589. Letowska, Eva: Öffnung der Geheimdienstarchive? Überlegungen zur Aufgabe des Rechts, DuD 1997, S. 133–135. Loucaides, Loukis G.: Personality and Privacy under the European Convention of Human Rights, in: Loukaides (Hg.): Essays on the developing law of Human Rights, Dordrecht/Boston/London 1995, S. 83–107. – Personality and privacy under the European Convention on Human Rights, BYIL 61 (1990), S. 175–197. Magiera, Siegfried: Die Grundrechtecharta der Europäischen Union, DÖV 2000, S. 1017–1026. Mahlmann, Matthias: Die Grundrechtecharta der Europäischen Union, ZEuS 2000, S. 419–444. Mahoney, Paul: Marvellous Richness of Diversity or Individious Cultural Relativism? HRLJ 1998, S. 1–6. Mähring, Matthias: Das Recht auf informationelle Selbstbestimmung im europäischen Gemeinschaftsrecht, EuR 1991, S. 369–375. Maiani, Francesco: Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne, RTD eur 2002, S. 283–309. Matscher, Franz: Der Gesetzesbegriff der EMRK, in: Adamovich, Ludwig/Kobzina, Alfred F. (Hg.), Der Rechtsstaat in der Krise, Festschrift Edwin Loebenstein, Wien 1991, S. 105–119. Maunz, Theodor/Dürig, Günter (Hg.): Grundgesetz Kommentar, Band I, Art. 1–11, Stand 42. Ergänzungslieferung Februar 2003, zitiert: Bearbeiter, in: Maunz/Dürig.

342

Literaturverzeichnis

Mayer-Schönberger, Viktor: Data-Protection in Europe, in: Agre, Philip E./Rosenberg, Marc (Hg.), Technology and Privacy: The New Landscape, Cambridge/ London 1998, S. 219–243. Merrills, John Graham: Decisions on the European Convention on Human Rights during 1989, BYIL 1990, S. 507–567. Merrills, John Graham/Robertson, Arthur Henry: Human Rights in Europe, Manchester, 4. Auflage, 2004. Meyer, Jürgen (Hg.): Kommentar zur Charta der Grundrechte der Europäischen Union, Baden-Baden 2003. Meyer-Ladwig, Jens: Konvention zum Schutz der Menschenrechte und Grundfreiheiten, Handkommentar, Baden-Baden 2003, zitiert: Meyer-Ladewig, Hk-EMRK. Mischo, Jean: Hoechst, Colas, Roquette: illustration d’une convergence, in: Colneric, Ninon/Edward, David u. a. (Hg.), Une communauté de droit, Festschrift für Gil Carlos Rodríguez Iglesias, Berlin 2003, S. 137–147. Mock, Hanspeter: Le droit au respect de la vie privée et familiale, du domicile et de la correspondance (article 8 CEDH) à l’aube du XXIe siècle, RUDH 1998, S. 237–246. Morvay, Werner: Rechtsprechung nationaler Gerichte zur europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 (MRK) nebst Zusatzprotokoll vom 20. März 1952 (ZP) (II), ZaöRV 21 (1961), S. 316–347. Müller, Jürgen: Übermittlung von Passagierdaten aus dem Luftverkehr in die USA, DuD 2003, S. 668. Murswiek, Dietrich: Die Pflicht des Staates zum Schutz vor Eingriffen Dritter nach der EMRK in: Konrad, Hans-Joachim (Hg.): Grundrechtschutz und Verwaltungsverfahren unter besonderer Berücksichtigung des Asylrechts – Internationaler Menschenrechtsschutz, S. 213–243. Mütsch, Burkhard: Der geänderte Vorschlag für eine Richtlinie des Rates zum Datenschutz in Europa, DuD 1994, S. 187–190. Nettesheim, Martin: Grundrechtliche Prüfdichte durch denn EuGH, EuZW 1995, S. 106–108. Nicolaysen, Gert: Europarecht I, Die Europäische Integrationsverfassung, 2. Auflage, Baden-Baden, 2002. – Die gemeinschaftsrechtliche S. 719–743.

Begründung von Grundrechten,

EuR 2003,

Nieuwenhuis, Aernout J.: Tussen privacy en persoonlijkheidsrecht, Nijmegen 2001. Oppermann, Thomas: Europarecht, 2. Auflage, München 1999. Ovey, Clare: The margin of appreciation and Article 8 of the Convention, HRLJ 1998, S. 10–12. Ovey, Clare/White, Robin C. A., Jacobs and White, the European Convention on Human Rights, 3. Auflage, Oxford 2002, zitiert: Jacobs/White, The European Convention on Human Rights.

Literaturverzeichnis

343

Pache, Eckhard: Der Grundsatz der Verhältnismäßigkeit in der Rechtsprechung der Gerichte der Europäischen Gemeinschaften, NVwZ 1999, S. 1033–1040. Pauly, Walter: Strukturfragen des unionsrechtlichen Grundrechtsschutzes, EuR 1998, S. 242–262. Pearce, Graham/Platten, Nicolas: Achieving Personal Data Protection in the European Union, Journal of Common Market Studies (36) 1998, S. 529–547. Pechstein, Matthias/König, Christian: Die Europäische Union, 3. Auflage, Tübingen 2000. Pernice, Ingolf: Gemeinschaftsverfassung und Grundrechtsschutz – Grundlagen, Bestand und Perspektiven, NJW 1990, 2409–2420. Peters, Anne: Europäische Menschenrechtskonvention, München 2003. Pettiti, Louis Edmond/Decaux, Emanuel/Imbert, Pierre-Henri: La Convention Européenne des Droits de l’Homme, 2. Auflage, Paris 1999, zitiert: Bearbeiter, in: Pettiti/Decaux/Imbert. Philippi, Nina: Die Charta der Grundrechte der Europäischen Union, Baden-Baden 2002. Pieroth, Bodo/Schlink, Bernhard: Staatsrecht II Grundrechte, 19. Auflage, 2003. Podlech, Adalbert: Der Datenschutz und die Akzeptabilität unserer Gesellschaftsordnung, in: Hohmann, Harald (Hg.), Freiheitssicherung durch Datenschutz, S. 19–25. Polakiewicz, Jörg: The Application of the European Convention on Human Rights in Domestic Law, HRLJ 17 (1996), S. 405–411. Polakiewicz, Jörg/Jacob-Foltzer, Valérie: The European Human Rights Convention in domestic law: The Impact of Strasbourg case-law in States where direct effect is given to the Convention, HRLJ 1991, S. 65–85. Reich, Norbert: Bürgerrechte in der Europäischen Union, Baden-Baden 1999. Reid, Karen: A practitioner’s guide to the European Convention on Human Rights, London 1998. Rengeling, Hans-Werner: Grundrechtsschutz in der Europäischen Gemeinschaft, München 1992. Rengeling, Hans-Werner/Middeke, Andreas/Gellermann, Martin (Hg.): Handbuch des Rechtsschutzes in der Europäischen Union, 2. Auflage, München 2003, zitiert: Bearbeiter, in: Rengeling, Handbuch des Rechtsschutzes. Renucci, Jean-François: Droit Européen des droits de l’homme, 3. Auflage, Paris 2002. Ress, Georg: Die EMRK und das europäische Gemeinschaftsrecht – Überlegungen zu den Beziehungen zwischen den Europäischen Gemeinschaften und der Europäischen Menschenrechtskonvention, ZeuS 1999, S. 471–485.

344

Literaturverzeichnis

– The Duty to Protect and to Ensure Human Rights Under the European Convention on Human Rights, in: Klein, Eckhart (Hg.) The Duty to Protect and to Ensure Human Rights, Berlin 2000, S. 165–207. Ritgen, Klaus: Grundrechtsschutz in der Europäischen Union, ZRP 2000, S. 371–375. Ritter, Jeffrey B./Hayes, Benjamin S./Judy, Henry L.: Emerging Trends in International Privacy Law, Emory International Law Review Vol. 15 (2001), S. 87–156. Rodríguez Iglesias, Gil Carlos: Gedanken zum Entstehen einer Europäischen Rechtsordnung, NJW 1999, S. 1–9. Roßnagel, Alexander: Handbuch Datenschutzrecht, München 2003. Rudolf, Walter: Datenschutzkontrolle in Deutschland und die Europäische Datenschutzrichtlinie, in: Burmeister, Joachim (Hg.), Verfassungsstaatlichkeit, Festschrift für Klaus Stern, München 1997, S. 1347–1365. –

Datenschutz in Europa, ZEuS 2003, S. 217–231.

Ruffert, Matthias: Die Mitgliedstaaten der Europäischen Gemeinschaft als Verpflichtete der Gemeinschaftsgrundrechte, EuGRZ 1995, S. 518–530. Rüpke, Giselher: Perspektiven für ein europäisches Datenschutzrecht – Eine Betrachtung aus deutscher Sicht, EuZW 1993, S. 149–156. – Aspekte zur Entwicklung eines EU-Datenschutzrechts, ZRP 1995, S. 185–190. Schattenberg, Bernd: The Schengen Information System: Privacy and Legal Protection, in: Schermers u. a. (Hg.), Free Movement of Persons in Europe, S. 43–52. Scherer, Joachim: Solange II: Ein grundrechtlicher Kompromiß, JA 1987, S. 483–489. Scheuner, Ulrich: Vergleich der Rechtsprechung der nationalen Gerichte mit der Rechtsprechung der Konventionsorgane bezüglich der nicht-verfahrensmäßigen Rechte der Europäischen Menschenrechtskonvention, in: Vasak, Karel (Hg.), Die Menschenrechte im Staatsrecht und im Völkerrecht, Karlsruhe 1967, S. 242. Schild, Hans-Hermann: Datenschutz in Europa, EuZW 1991, S. 745-748. – Die EG-Datenschutz-Richtlinie, EuZW 1996, S. 549–555. Schildknecht, Urs: Grundrechtsschranken in der Europäischen Gemeinschaft, Frankfurt a. M. 2000. Schmidt-Bleibtreu, Bruno/Klein, Franz: Kommentar zum Grundgesetz, 9. Auflage, Neuwied/Kriftel 1999, zitiert: Bearbeiter, in: Schmidt-Bleibtreu/Klein. Schmitz, Thomas: Die EU-Grundrechtecharta aus grundrechtsdogmatischer und grundrechtstheoretischer Sicht, JZ 2001, S. 833–843. Schmuck, Otto: Die Ausarbeitung der Europäischen Grundrechtscharta als Element der Verfassungsentwicklung, Integration 2000, S. 48–56. Schneider, Jochen: Die EG-Richtlinie zum Datenschutz, CR 1993, S. 35–39.

Literaturverzeichnis

345

Schultz, Alexander: Das Verhältnis von Gemeinschaftsgrundrechten und den Grundfreiheiten des EGV, Berlin 2004. Schutter, Olivier de: La vie privée entre droit de la personnalité et liberté, RTDH 1999, S. 827–863. – La CEDH à l’épreuve de la lutte contre le terrorisme, RUDH 2001, S. 185–206. – Vie privée et protection de l’individu vis-à-vis des traitements de données à charatère personnel, RTDH 2001, S. 148–183. Schwarze Jürgen: Schutz der Grundrechte in der Europäischen Gemeinschaft, EuGRZ 1986, S. 293–299. – (Hg.): EU-Kommentar, Baden-Baden 2000, zitiert: Bearbeiter, in: Schwarze, EUKommentar. Schweitzer, Michael: Staatsrecht, Völkerrecht, Europarecht, Heidelberg 2000. Schweitzer, Michael/Rudolf, Walter: Friedensvölkerrecht, 2. Auflage, Baden-Baden 1979. Schweizer, Rainer: Europäisches Datenschutzrecht – Was zu tun bleibt, DuD 1989, S. 542–546. Seidel, Gerd: Handbuch der Grund- und Menschenrechte auf staatlicher, europäischer und universeller Ebene, Baden-Baden 1996. Sicilianos, Linos-Alexander: International Protection of Personal Data: Privacy, Freedom of Information or both?, in: Sicilianos, Gavouneli (Hg.) Scientific and Technological Developments & Human Rights, S. 123–141. Siemen, Birte: Grundrechtsschutz durch Richtlinien – Die Fälle Österreichischer Rundfunk u. a. und Lindquist, EuR 2004, S. 306–321. Simitis, Spiros: Vom Markt zur Polis: Die Eu-Richtlinie zum Datenschutz, in: Tinnefeld, Marie-Theres/Philipps, Lothar/Heil, Susanne (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, Baden-Baden 1995, S. 51–70. – Perspektiven einer arbeits- und sozialrechtlichen Rechtsprechung in Europa, Zusammenfassung des Referats Deutscher Richtertag in Mainz, DRiZ 1995, S. 441–443. – Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281–288. – Die EG-Datenschutzrichtlinie oder der schwierige Weg von einer partikulären zu einer gemeinsamen Regelung des Datenschutzes, in: Drexl, Josef/Kreuzer, Karl F./Scheunig, Dieter H./Sieber, Ulrich (Hg.) Europarecht im Informationszeitalter, Baden-Baden 2000, S. 23–41. Skipper, Andrew: Perspektiven für ein europäisches Datenschutzrecht, A U. K. Perspective, EuZW 1993, S. 145–149. Spannowsky, Willy: Deutscher Datenschutz und Datenschutz der EG, REDP 1991, S. 31–46. Stein, Torsten: Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluss eines internationalen Abkommens zum Da-

346

Literaturverzeichnis

tenschutz mit dritten Staaten, in: Arndt, Hans-Wolfgang (Hrsg.) Völkerrecht und deutsches Recht, Festschrift für Walter Rudolf zum 70. Geburtstag, München 2001, S. 513–531. Stern, Klaus: Das Staatsrecht der Bundesrepublik Deutschland, Band III, Allgemeine Lehren der Grundrechte, 1. Halbband, München 1988, zitiert: Stern, Staatsrecht. Stieglitz, Edgar: Allgemeine Lehren im Grundrechtsverständnis nach der EMRK und der Grundrechtsjudikatur des EuGH, Baden-Baden 2001. Streinz, Rudolf: Bundesverfassungsgerichtlicher Grundrechtsschutz und Europäisches Gemeinschaftsrecht, Baden-Baden 1989. – EUV/EGV: Vertrag über die Europäische Union und zur Gründung der Europäischen Gemeinschaft, München 2003, zitiert: Bearbeiter, in: Streinz, EUV/EGV. Sudre, Frédéric: Les aléas de las notion de „vie privée“ dans la jurisprudence de la Cour Européenne des Droits de l’Homme, in: Pettiti, Louis Edmond (gefeierte Person), Mélanges à Louis Edmond Pettiti, Bruylant, Bruxelles, 1998, S. 687–705. – Protection des droits de l’homme: la perspective européenne, Protecting human rights, the European Perspective, in: Mélanges à la mémoire de Rolv Ryssdal, Köln 2000, S. 1359–1376. – Les grands arrêts de la Cour Européenne des Droits de l’Homme, Paris 2003. Sule, Satish: Europol und europäischer Datenschutz, Baden-Baden 1999. Szczekalla, Peter: Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, Berlin 2002; zitiert: Szczekalla, Schutzpflichten. Taeger, Jürgen: Datenschutzrecht in Europa, EWS 1995, S. 69–81. Tinnefeld, Marie-Therese/Ehmann, Eugen: Einführung in das Datenschutzrecht, 3. Auflage, München (u. a.) 1998. Tomuschat, Christian: What is a „Breach“ of the European Convention of Human Rights? in: Lawson, Rick/de Blois, Matthijs (Hg.), The Dynamics of the Protection of Human Rights in Europe, Essays In Honour of Henry G. Schermers, Volume III, Dordrecht 1994, S. 315–335. Toth, A. G.: The European Union and Human Rights: The Way foreward, CMLR 34 (1997), S. 491–529. Tulkens, Françoise: L’Union européenne devant la Cour européenne des droits de l’homme, RUDH 2000, S. 51–57. – La protection des données et la Convention Européenne des Droits de l’Homme. Entre effectivité et complementarité, Communication to the European Conference on Data Protection of the Council of Europe, Warsaw, November 2001, abrufbar unter: http://www.Coe.int/T/E/Legal_affairs/Legal_cooperation/Data_ protection/Events/Conf(Warsaw2001)ProceedingsE.-2.pdf, S. 143 (30.07.04) Twomey, Patrick: Joined Cases T-121/89 & T-13/90, X v. Commission [1992] ECR II-2195, on appeal Case C-404/92 P, X. v. Commission, Judgement of the Court of Justice 5 October 1994, CMLR 1995 II S. 1013–1023.

Literaturverzeichnis

347

Umbach, Dieter C./Clemens, Thomas: Grundgesetz Mitarbeiterkommentar und Handbuch, Heidelberg 2002, zitiert: Bearbeiter, in: Umbach/Clemens. Vassilaki, Irini: The Constitutional Background of Privacy Protection within the European Communities, REDP 1994, S. 109–129. Velu, Jaques: The European Convention on Human Rights and the right to respect for private life, the home and communications, in: Robertson, Arthur Henry, Privacy and Human Rights, S. 12–129. Verhey, Lucas F. M.: Horizontale Werking van grondrechten, in het bijzonder van het recht op privacy, Zwolle 1992. – Europese integratie en privacy-bescherming, in: Burkens, M. C./Kummeling, H. R. B. M., EG en grondrechten: gevolgen van de Europese integratie voor de nationale grondrechtenbescherming, Zwolle 1993. – EG-Richtlijn bescherming persoonsgegevens: uitgangspunten en hoofdlijnen, NJCM-Bulletin 1997, S. 239–256. Villiger, Mark E.: Handbuch der Europäischen Menschenrechtskonvention (EMRK): unter besonderer Berücksichtigung der schweizerischen Rechtslage, Zürich 1993. Vogelsang, Klaus: Grundrecht auf informationelle Selbstbestimmung?, Baden-Baden 1987. Wandscher, Christiane: Internationaler Terrorismus und Selbstverteidigungsrecht, 2005, noch nicht veröffentlicht. Warbrick, Colin: The Structure of Article 8, EHRLR 1998, S. 32–44. Warren, Samuel/Brandeis, Louis D.: The Right to Privacy, Harvard Law Review 1890, S. 193–220. Weber, Albrecht: Die Europäische Grundrechtscharta – auf dem Weg zu einer Europäischen Verfassung, NJW 2000, S. 537–544. Weber, Martina: EG-Datenschutzrichtlinie, Konsequenzen für die deutsche Datenschutzgesetzgebung, CR 1995, S. 297–303. Weber-Dürler, Beatrice: Der Grundrechtseingriff, VVDStRl 57 (1998), S. 82–94. Weiler, Joseph H. H.: The European Court at a Crossroads: Community Human Rights and Member State Action, in: Capotorti, F. u. a. (Hg.), Du droit international au droit de l’integration, Liber Amicorum Pierre Pescatore, Baden-Baden 1987, S. 821–843. – The Transformation of Europe, Yale LJ 1991, S. 2403–2483. – Fundamental rights and fundamental boundaries, in: Neuwahl, Nanette A./Rosas, Allan (Hg.), The European Union and Human Rights, The Hague/Boston/London 1995, S. 51–77. Weiler, Joseph H. H./Lockhart, Nicolas J. S.: „Taking rights seriously“ seriously: The European Court of Justice and its Fundamental Rights Jurisprudence, CMLR 32 (1995), S. 51–94.

348

Literaturverzeichnis

Wildhaber, Luzius: The Right to respect for private life and family life: New caselaw on Art. 8 of the European Convention on Human Rights, in: Nikken, Pedro (Hg.), The Modern World of Human Rights: Essays in honor of Thomas Buergenthal, San José 1996, S. 103–135. Winkler, Sebastian: Der Beitritt der Europäischen Gemeinschaften zur Europäischen Menschenrechtskonvention, Baden-Baden 2000. Witte, Bruno de: The Past and Future Role of the European Court of Justice in the Protection of Human Rights, in: Alston, Philip (Hg.), The EU and Human Rights, Oxford 1999, S. 859–897. Woertge, Hans-Georg: Die Prinzipien des Datenschutzrechts und ihre Realisierung im geltenden Recht, Heidelberg 1984. Wolf, Joachim: Vom Grundrechtsschutz „in Europa“ zu allgemeinverbindlich geltenden europäischen Grundrechten – Wege der Grundrechtssicherung unterhalb der Ebene der europäischen Verfassungsgebung, in: Bröhmer, Jürgen (Hg.), Der Grundrechtsschutz in Europa, Baden-Baden 2002, S. 9–67. Wuermeling, Ulrich: Datenschutz für die Europäische Informationsgesellschaft, NJW-CoR 1995, S. 111–113. Wurst, Matthias: Europa 1992: Auf dem Weg zu einem einheitlichen Datenschutzrecht in der europäischen Gemeinschaft, JuS 1991, S. 448–453. Wyatt, Derrick: Alien’s duty to notify national authorities of his presence, ELRev 1976, 556–560. Zimmermann, Andreas: Die Charta der Grundrechte der Europäischen Union zwischen Gemeinschaftsrecht, Grundgesetz und EMRK – Entstehung, normative Bedeutung und Wirkung der EU-Grundrechtecharta im gesamteuropäischen Verfassungsraum, Baden-Baden 2002. Zuleeg, Manfred: Der Schutz der Menschenrechte im Gemeinschaftsrecht, DÖV 1992, S. 937–944. – Zum Verhältnis nationaler und europäischer Grundrechte: Funktionen einer EUCharta der Grundrechte, EuGRZ 2000, S. 512–517. Zweigert, Konrad: Der Einfluss des Europäischen Gemeinschaftsrechts auf die Rechtsordnung der Mitgliedstaaten, RabelsZ 28 (1964), S. 601–643.

Stichwortverzeichnis Allgemeine Erklärung der Menschenrechte 39, 55 allgemeine Rechtsgrundsätze 27, 215, 226, 252, 267 Angemessenheitsentscheidung der Kommission 318 Anwendbarkeit, unmittelbare 46, 256, 261, 267, 273 Artikel 29-Datenschutzgruppe 241, 301, 307 Arztgeheimnis 99, 209, 222 Autonomie 293 – persönliche 76, 131, 211 berechtigtes Interesse 238, 253 Berufsgeheimnis 62 Beteiligungsrechte 49, 180, 200, 211, 239, 242, 247, 282, 310, 318, 327 Beurteilungsspielraum 154, 162, 250 Bundesverfassungsgericht 38, 58, 213 Charta der Grundrechte 32, 47, 213, 280 Datei 234 – automatisierte 137, 179 Datenbanken 37, 87, 101, 201, 309 Datenschutz, Primärrecht 244 Datenschutzkonvention 40, 87, 111, 136, 175, 194, 201, 203, 211, 230, 299 – Explanatory Report 42, 47 Datenschutzrecht, Reichweite 255 Datenschutzrichtlinie 44, 231 – Anwendungsbereich 257 – räumlicher Anwendungsbereich 236

– Rechtsverbindlichkeit 249 – sachlicher Anwendungsbereich 234 Datenschutzverordnung 244 Datenübermittlung – an Organe der Gemeinschaft 246 – in Drittstaaten 305 Datenverarbeitung – im Inland 263 – privater Sektor 242 Datenvermeidung 215 DNA 167 Eingriffsbegriff – EMRK 133 – Gemeinschaftsrecht 226 Einwilligung 238, 283 Einzelermächtigung, Prinzip der 258 E-Mail 312 Europäischer Datenschutzbeauftragter 247 Europäisches Gericht Erster Instanz 32 Familienleben 51–52, 54, 183–184, 191–192 Flugdaten 305 Fotografien 64 – Inhalt der 65 Funktion der Grundrechte – objektivrechtliche 271 – subjektivrechtliche 267 G 10-Gesetz 81, 174 Geheimdienst 149 Geheimdienstinformationen 167 Geheimhaltungspflichten 220

350

Stichwortverzeichnis

Geheimschutzvorschriften 99 Gemeinsame Außen- und Sicherheitspolitik (GASP) 43 Gemeinschaftsgrundrechte 29 – Anwendbarkeit 217 – Bindungswirkung 33 Geschäftsräume, Durchsuchung 219 Gesetzesvorbehalt 230, 287 grenzüberschreitender Bezug 256 Grundfreiheiten 203, 212, 214, 217–218, 223, 226, 228, 251, 258, 260, 280 Grundrechtsdogmatik, EuGH 213, 219 Harmonisierung 45, 201, 243 Identifikationsnummer 92 Identität 48, 62, 166 Informationelle Selbstbestimmung 38, 132, 211, 231, 263, 293 Informationen – medizinische 223 – sensible 115 Informationsfreiheit 45, 271 innerstaatliche Sachverhalte 290 Interessen Dritter 66 Internet, Datenschutz im 268 Intimsphäre 59, 73 IPBürg 31, 39 Kennnummer 48 Kommunikationsfreiheit 82 Kommunikationsüberwachung 86, 142–143, 147 Kompetenz – der Gemeinschaft 291, 294 – zum Abschluss völkerrechtlicher Abkommen 324 Korrespondenz 52, 82, 87, 143, 148, 195 Krankenakten 146 Kriminalität, organisierte 319

Leitlinien für die Übermittlung personenbezogener Daten in Drittländer 301 margin of appreciation 153 medizinische Daten 136, 146, 152, 165 Meinungsfreiheit 269 Menschenwürde 61 necessary in a democratic society 153 OECD 40 Öffentlichkeit – Abgrenzung zur 71 – Zugänglichkeit für die 64 Passenger Name Record (PNR) 306 Personalausweis 93 Persönlichkeit, Entwicklung der 66 polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS) 43 Polizeiregister 146 positive Verpflichtungen 177 Primärrecht 28, 32 Privacy 55–56, 99, 202, 231 Privatsphäre, Recht auf 54–57, 71 Qualität der Daten 49, 134, 196, 259, 264 Rechtfertigung 278 Rechtsstaatsprinzip 144 Rechtsvergleichung 30 safeguards 163, 174 Schengener Abkommen 43 Schengener Informationssystem 43 Schrankenregelungen 52, 185, 265, 283–284 Schranken-Schranke 229 Schutzmaßnahmen 163, 170

Stichwortverzeichnis Schutzniveau 298 – angemessenes 236 Schutzpflicht 178 Selbstbestimmung, Recht auf 60, 224 sensible Daten 165, 238, 302 Sphärentheorie 59 Stasi-Unterlagen 167, 172 Stimmproben 116 Telefonüberwachung 82, 142, 147, 176 Telekommunikationsdaten 87, 100, 135 Terrorismusbekämpfung 307, 311 Treu und Glauben 24, 49, 280 UN-Richtlinien über personenbezogene Daten 40 Verarbeitung, automatische 42, 48, 106, 125 Verfassungsentwurf 32 Verfassungsüberlieferungen der Mitgliedstaaten 28–29, 32 Verhältnismäßigkeit 238

351

– Grundsatz der 153 – im Gemeinschaftsrecht 229 Verpflichtungserklärung der Vereinigten Staaten 318 Vertraulichkeit – der Verarbeitung 240 – medizinischer Daten 99 – von Informationen 167, 198, 221 Verweisung, inkorporierende 248 Videoüberwachung 108, 117 visuelle Daten 104, 129 Volkszählung 85 Volkszählungsurteil 37, 61, 95, 130 Vorrang des Gemeinschaftsrechts 27 Weiterübermittlung von Daten 302 Wesensgehalt der Grundrechte 229, 286 Willkürverbot 144 Wohnung, Unverletzlichkeit 221 Zweckbestimmung 80, 246 Zweckbindung 49, 136, 237, 246, 307