Ja, klar, die Aussage im Titel ist etwas reißerisch, ist so aber dem zur Rechtssache gehörigen Schlußantrag zu entnehmen; diesem Super-Grundrecht hat jede Maßnahme zu entsprechen, die DSGVO dient nur dazu, das zu realisieren.
In der Rechtssache geht es um die Verantwortlichen während einer Datenverarbeitung zwischen einem Unternehmen und einer Behörde; keiner, der personen-bezogene Daten verarbeitet, kann sich aus seiner spezifisch damit verbundenen eigenen Verantwortung, das Regelwerk eigenständig einzuhalten, herausmogeln.
Vermutung:
Bereits die Weitergabe personen-bezogener Daten an ein Unternehmen durch die Meldebehörde steht der Zweckbindung entgegen, da diese bei der Meldebehörde vorliegenden Daten nicht dafür erhoben worden sind, diese an Stellen weiterzugeben, die mit den direkten Einwohnermeldevorgängen nichts zu tun haben.
URTEIL DES GERICHTSHOFS (Fünfte Kammer)
24. Februar 2022(*)
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 2 – Anwendungsbereich – Art. 4 – Begriff ‚Verarbeitung‘ – Art. 5 – Grundsätze der Verarbeitung – Zweckbindung – Datenminimierung – Art. 6 – Rechtmäßigkeit der Verarbeitung – Verarbeitung, die für die Wahrnehmung einer Aufgabe von öffentlichem Interesse, die dem für die Verarbeitung Verantwortlichen übertragen wurde, erforderlich ist – Verarbeitung, die für die Erfüllung einer rechtlichen Verpflichtung des für die Verarbeitung Verantwortlichen erforderlich ist – Art. 23 – Einschränkungen – Datenverarbeitung für steuerliche Zwecke – Ersuchen um Offenlegung von Informationen über Online-Verkaufsinserate für Fahrzeuge – Verhältnismäßigkeit“
In der Rechtssache C-175/20https://curia.europa.eu/juris/document/document.jsf?text=&docid=254583&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=29207437 Ein solches Ersuchen, mit dem die Steuerverwaltung eines Mitgliedstaats von einem Wirtschaftsteilnehmer die Offenlegung und Bereitstellung personenbezogener Daten verlangt, die dieser nach den nationalen Rechtsvorschriften dieses Mitgliedstaats erteilen und der Steuerverwaltung zur Verfügung stellen muss, leitet ein Verfahren zum „Erheben“ dieser Daten im Sinne von Art. 4 Nr. 2 der Verordnung 2016/679 ein.
Nun stellen wir uns den gegenteiligen Fall vor, daß ein Wirtschaftsteilnehmer personen-bezogene Daten der Bürger*innen vom Staat haben will; auch das ist ganz sicher ein neuer Vorgang der "Erhebung" von Daten?
38 Im Übrigen liegt in der Offenlegung und Bereitstellung der Daten durch den betreffenden Wirtschaftsteilnehmer an die Steuerverwaltung eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 dieser Verordnung.
Auch hier stellen wir uns den gegenteiligen Fall vor, daß die Meldebehörde die bei ihr gespeicherten personen-bezogenen Daten einem Wirtschaftsteilnehmer gegenüber offenbart und, bspw., zum Abruf durch diesen Wirtschaftsteilnehmer bereitstellt oder gar selber an diesen Wirtschaftsteilnehmer übermittelt; auch das ist eine "Verarbeitung" im Sinne der DSGVO.
44 Wenn also die Steuerverwaltung eines Mitgliedstaats von einem Wirtschaftsteilnehmer verlangt, ihr zum Zweck der Steuererhebung und der Bekämpfung von Steuerbetrug personenbezogene Daten über bestimmte Steuerpflichtige offenzulegen, ist nicht ersichtlich, dass sie als „zuständige Behörde“ im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680 angesehen werden könnte, und folglich auch nicht, dass solche Auskunftsersuchen unter die in Art. 2 Abs. 2 Buchst. d der Verordnung 2016/679 vorgesehene Ausnahme fallen könnten.
Eine Meldebehörde könnte im Sinne der DSGVO keine "zuständige Behörde" sein, die befugt wäre, personen-bezogene Daten für Angelegenheiten der Steuer-, bzw. Abgabenerhebung zu verarbeiten? Ok, siehe hierzu Rn. 40 des Schlußantrages; die Meldebehörde ist keine "zuständige Behörde" im Sinne der DSGVO.
50 Zu diesem Zweck enthalten die Kapitel II und III der Verordnung 2016/679 die Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen. Insbesondere muss jede Verarbeitung personenbezogener Daten u. a. mit den in Art. 5 der Verordnung aufgestellten Grundsätzen für die Verarbeitung solcher Daten im Einklang stehen (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 208).
Bei jeder (!) Verarbeitung personen-bezogener Daten müssen die Grundsätze für die Verarbeitung personen-bezogener Daten eingehalten werden; in Rnn. 43, 73 und 83 verweist diese Entscheidung übrigens auf C-439/19, die im Forum bereits thematisiert worden ist.
EuGH C-439/19 - DSGVO - Datenübertragung an Wirtschaftsteilnehmer unzulässighttps://gez-boykott.de/Forum/index.php?topic=35594.053 Vor diesem Hintergrund ist darauf hinzuweisen, dass die Verordnung 2016/679 ihrem vierten Erwägungsgrund zufolge im Einklang mit allen Grundrechten steht und alle Freiheiten und Grundsätze achtet, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere den Schutz personenbezogener Daten.
Art 11 Charta bestimmt die Nichteinmsichung des Staates in die Informations- und Meinungsfreiheit, was nicht nur für den Inhalt der Informationen gilt, sondern auch für die Mittel zu ihrer Verbreitung.
EuGH C-401/19 - Mittel zum Vertrieb der Information durch Grundrecht geschützthttps://gez-boykott.de/Forum/index.php?topic=36779.054 Nach Art. 52 Abs. 1 Satz 1 der Charta muss jedoch jede Einschränkung der Ausübung der in ihr anerkannten Rechte und Freiheiten, zu denen u. a. das durch Art. 7 der Charta garantierte Recht auf Achtung des Privat- und Familienlebens und das in Art. 8 der Charta verankerte Recht auf Schutz personenbezogener Daten gehören, gesetzlich vorgesehen sein, was insbesondere bedeutet, dass die gesetzliche Grundlage für den Eingriff in die Grundrechte den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen muss (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, Privacy International, C-623/17, EU:C:2020:790, Rn. 65 und die dort angeführte Rechtsprechung).
Und hier wird es kompliziert, denn
EuGH C-817/19 - DSGVO - Nur der EuGH darf Tragweite des Unionsrechts begrenzenhttps://gez-boykott.de/Forum/index.php?topic=36452.0Die nationalen Stellen jedweder Rangordnung haben nicht nur keine Befugnis, die Tragweite des Unionsrechts zu begrenzen, sondern ebenfalls keine Befugnis, die Tragweite der Unionsgrundrechte einzuschränken, ohne sich vorher das OK des EuGH dafür geholt zu haben; gerade deswegen, weil es die für die Belange der Medien relevanten Aussagen in EuGH C-401/19 bereits hat.Und, falls die Datenverarbeitung im konkreten Fall doch zulässig sein sollte, gilt das Prinzip der Datenminimierung
73 Insoweit ist darauf hinzuweisen, dass sich die Ausnahmen und Einschränkungen hinsichtlich des Grundsatzes des Schutzes solcher Daten nach ständiger Rechtsprechung auf das absolut Notwendige beschränken müssen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 110 und die dort angeführte Rechtsprechung).
74 Daraus folgt, dass der für die Verarbeitung Verantwortliche – auch wenn er im Rahmen der ihm übertragenen im öffentlichen Interesse liegenden Aufgabe handelt – nicht allgemein und unterschiedslos personenbezogene Daten erheben darf und dass er von der Erhebung von Daten absehen muss, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind.
77 In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatz der Rechenschaftspflicht nachweisen können muss, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält.
83 In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass, um dem Erfordernis der Verhältnismäßigkeit zu genügen, das in Art. 5 Abs. 1 Buchst. c der Verordnung 2016/679 zum Ausdruck gebracht wird (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 98 und die dort angeführte Rechtsprechung), die der Verarbeitung zugrunde liegende Regelung klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken ermöglichen. Die Regelung muss nach nationalem Recht bindend sein und insbesondere Angaben dazu enthalten, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass sich der Eingriff auf das absolut Notwendige beschränkt (Urteil vom 6. Oktober 2020, Privacy International, C-623/17, EU:C:2020:790, Rn. 68 und die dort angeführte Rechtsprechung).
SCHLUSSANTRÄGE DES GENERALANWALTS
MICHAL BOBEK
vom 2. September 2021(1)
Rechtssache C-175/20https://curia.europa.eu/juris/document/document.jsf?text=&docid=245557&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=292074I. Einführung
1. Die Verordnung (EU) 2016/679 (im Folgenden: DSGVO)(2) ist kein Rechtsakt im Kleinformat. Ihr weit gefasster Anwendungsbereich, das faktische Aushöhlen jeglicher Ausnahmeregelungen durch die Rechtsprechung(3) sowie der definitionsbasierte, abstrakte und daher eher radikale Auslegungsansatz(4) haben ihren Teil dazu beigetragen, dass die DSGVO eine nahezu grenzenlose Geltung hat. Heutzutage ist es insoweit mit Schwierigkeiten verbunden, einen Lebenssachverhalt zu nennen, in dem nicht irgendjemand zu irgendeinem Zeitpunkt personenbezogene Daten verarbeitet.
2. Gestützt auf die Aufnahme des Schutzes personenbezogener Daten in die Charta der Grundrechte der Europäischen Union in Art. 8 und auf seinen darauf beruhenden Charakter als alles verdrängendes (Super-)Grundrecht führt dieser Ansatz jedoch zu ausgeprägten zentripetalen Auswirkungen, die der Schutz personenbezogener Daten auf andere Rechtsgebiete und dortige Rechtsstreitigkeiten zu entfalten begonnen hat. Eine Reihe von Rechtssachen wird mit einem Male als Angelegenheiten des Schutzes personenbezogener Daten behandelt und unter dem Stichwort Auslegung der DSGVO vor (nicht nur) den Gerichtshof gebracht. Die in diesen Rechtsstreitigkeiten aufgeworfenen konkreten Rechtsfragen sind jedoch bisweilen nicht diejenigen, von denen erwartet wird, dass auf sie Rechtsvorschriften wie die DSGVO anwendbar sind – trotz deren eher weiten Anwendungsbereichs.
36. Erstens sind die vom Auskunftsersuchen umfassten Daten personenbezogene Daten im Sinne von Art. 4 Abs. 1 der DSGVO. Die angeforderten Informationen, wie die Telefonnummer der betroffenen Personen oder die Fahrgestellnummer der Fahrzeuge, sind „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Mit diesen Informationen können nämlich Fahrzeugverkäufer und damit potenzielle Steuerzahler identifiziert werden.
37. Zweitens sind die Weitergabe von Daten(10) oder die Offenlegung personenbezogener Daten durch Übermittlung, wie die Speicherung oder eine andere Form der Bereitstellung, nach ständiger Rechtsprechung als Verarbeitung einzustufen(11). Schließlich erscheint die „Offenlegung durch Übermittlung“ in Art. 4 Abs. 2 DSGVO in der Beispielliste als eine Art von Verarbeitungsvorgang.
38. Drittens erfolgt diese Verarbeitung personenbezogener Daten eindeutig mit Hilfe automatisierter Verfahren im Sinne von Art. 2 Abs. 1 DSGVO.
39. Darüber hinaus findet keine der Ausnahmeregelungen, die stets eng auszulegen sind(12), auf den vorliegenden Fall Anwendung. Im Licht des Urteils Österreichischer Rundfunk u. a.(13), und insbesondere nach dem jüngst ergangenen Urteil B (Strafpunkte)(14), lässt sich nicht vertreten, dass die hier in Rede stehende Verarbeitung personenbezogener Daten im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,“ erfolgt ist.
40. Ebenso wenig liegt ein Fall des in Art. 2 Abs. 2 Buchst. d DSGVO geregelten Ausnahmetatbestands vor. „Zuständige Behörden“ im Sinne dieser Vorschrift sind Stellen wie die Polizeibehörden oder die Staatsanwaltschaften(15). Steuerbehörden im Rahmen ihrer Tätigkeit der Steuererhebung fallen nicht darunter, ebenso wenig – und erst recht nicht – Anbieter von Inseratediensten im Internet. Auch wenn die Datenverarbeitung durch die zuständigen Steuerbehörden in einigen Fällen schließlich zur Aufdeckung von Straftaten wegen Steuerhinterziehung führen könnte, ist dies zu diesem Zeitpunkt nur eine hypothetische Möglichkeit(16).
Also sind auch Meldebehörden keine "zuständigen Behörden" im Sinne der DSGVO und haben sämtliche Kriterien für die Rechtmäßigkeit der Datenverarbeitung im Sinne der DSGVO einzuhalten?
Querverweis:EuGH C-252/21 - DSGVO - Es dürfen nur notwendige Daten verarbeitet werdenhttps://gez-boykott.de/Forum/index.php?topic=37338.0
Bei Verarbeitung pers.-bez.-Daten ist das Unionsgrundrecht unmittelbar bindend; (BVerfG 1 BvR 276/17 & BVerfG 1 BvR 16/13)
Keine Unterstützung für
- Amtsträger, die sich über europäische wie nationale Grundrechte hinwegsetzen oder dieses in ihrem Verantwortungsbereich bei ihren Mitarbeitern, (m/w/d), dulden;
- Parteien, der Mitglieder sich als Amtsträger über Grundrechte hinwegsetzen und wo die Partei dieses duldet;
- Gegner des Landes Brandenburg wie auch gesamt Europas;
Autor