Urteil : Ausnahmen von der Informationspflicht nach Art. 14 DS‑GVO : aus der RDV 2/2025, Seite 116 bis 119

Zu den Vorlagefragen:

Zur ersten Frage:

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art.  14 Abs.  5 lit.  c) DS‑GVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person nur personenbezogene Daten betrifft, die der Verantwortliche bei einer anderen Person als der betroffenen Person erhoben hat, oder ob sie sich auch auf personenbezogene Daten bezieht, die dieser Verantwortliche selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

[…]

Als Erstes ist in Anbetracht des Wortlauts von Art.  14 Abs. 5 lit. c) DS‑GVO der Gegenstand der „Erlangung oder Offenlegung“ im Sinne dieser Bestimmung zu bestimmen.

Erstens weichen nämlich die verschiedenen Sprachfassungen dieser Bestimmung voneinander ab. Die französische Fassung der Bestimmung bezieht sich auf die Erlangung oder Offenlegung von „Informationen“, während zunächst in der ungarischen („adat“), der estnischen („isikuandmed“), der kroatischen („podataka“), der litauischen („duomenų“), der niederländischen („gegevens“), der portugiesischen („dados“), der rumänischen („datelor“) und der schwedischen („uppgifter“) Fassung auf die Erlangung oder Offenlegung von „Daten“ Bezug genommen wird, die finnische Sprachfassung sodann einen Begriff („tietojen“) enthält, der sich sowohl auf „Daten“ als auch auf „Informationen“ beziehen kann und schließlich die bulgarische, spanische, tschechische, dänische, deutsche, griechische, englische, italienische, lettische, maltesische, polnische, slowakische und slowenische Fassung den Gegenstand der Erlangung oder Offenlegung nicht erwähnen.

Nach ebenfalls ständiger Rechtsprechung kann die in einer der Sprachfassungen einer Bestimmung des Unionsrechts verwendete Formulierung nicht als alleinige Grundlage für die Auslegung dieser Bestimmung herangezogen werden oder Vorrang vor den anderen Sprachfassungen beanspruchen. Die Bestimmungen des Unionsrechts müssen nämlich im Licht der Fassungen in allen Sprachen der Union einheitlich ausgelegt und angewandt werden. Weichen die verschiedenen Sprachfassungen eines Rechtstexts der Union voneinander ab, ist die fragliche Bestimmung anhand der allgemeinen Systematik und des Zwecks der Regelung auszulegen, zu der sie gehört (Urt. v. 21.03.2024, Cobult, C‑76/23, EU:C:2024:253, Rn. 25 und die dort angeführte Rechtsprechung).

Was die allgemeine Systematik der DS‑GVO betrifft, so ist Art. 14 Abs. 5 dieser Verordnung im Licht ihrer ErwG 61 und 62 zu lesen, in denen zum einen auf die „[erlangten] personenbezogenen Daten und [offengelegten] personenbezogenen Daten“ sowie auf die „[ausdrücklich durch Rechtsvorschriften geregelte] Speicherung oder Offenlegung der personenbezogenen Daten“ und zum anderen auf die „[mitgeteilten] Informationen“ oder „[zur Verfügung zu stellende] Informationen“ Bezug genommen wird. Die Auslegung, wonach sich die „Erlangung oder Offenlegung“ i.S.v. Art. 14 Abs. 5 lit. c) DS‑GVO auf personenbezogene Daten bezieht, wird darüber hinaus durch die weite Fassung des Begriffs „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DS‑GVO bestätigt, der jeden Vorgang im Zusammenhang mit personenbezogenen Daten erfasst (vgl. in diesem Sinne Urt. v. 05.10.2023, Ministerstvo zdravotnictví [Mobile App Covid‑19], C‑659/22, EU:C:2023:745, Rn. 27 und die dort angeführte Rechtsprechung).

Im Hinblick auf den Zweck der Vorschriften, zu denen Art. 14 Abs. 5 lit. c) DS‑GVO gehört, genügt, wie die Generalanwältin in Nr. 31 ihrer Schlussanträge ausgeführt hat, der Hinweis, dass der Normzweck dieser Ausnahme darin besteht, dass die in Art. 14 Abs. 1, 2 und 4 DS‑GVO vorgesehene Pflicht zur Information der betroffenen Person nicht gerechtfertigt ist, wenn eine andere Bestimmung des Unionsrechts oder des Rechts eines Mitgliedstaats den Verantwortlichen hinreichend vollständig und verbindlich verpflichtet, dieser Person Informationen über die Erlangung oder Offenlegung personenbezogener Daten zur Verfügung zu stellen. In dem von Art.  14 Abs.  5 lit.  c) er‑ fassten Fall müssen die betroffenen Personen nämlich hinreichende Kenntnis davon haben, wie und zu welchen Zwecken die Daten erlangt oder offengelegt werden.

Folglich ist im Hinblick auf den Wortlaut von Art. 14 Abs. 5 lit.  c) DS‑GVO in allen Sprachfassungen davon auszugehen, dass diese Bestimmung dahin zu verstehen ist, dass sie sich auf die Erlangung oder Offenlegung personenbezogener Daten bezieht.

Zweitens ist festzustellen, dass der Wortlaut von Art. 14 Abs.  5 lit.  c) DS‑GVO die darin vorgesehene Ausnahme weder auf personenbezogene Daten beschränkt, die der Verantwortliche von einer anderen Person als der betroffenen Person erhalten hat, noch die Daten ausschließt, die der Verantwortliche selbst im Rahmen der Erfüllung seiner Aufgaben aus solchen Daten erzeugt hat.

Daraus folgt, dass personenbezogene Daten, die im Sinne dieser Bestimmung vom Verantwortlichen „erlangt“ werden, alle diejenigen sind, die dieser bei einer anderen Person als der betroffenen Person erhebt, und diejenigen, die er selbst im Rahmen der Erfüllung seiner Aufgabe aus Daten erzeugt hat, die er von einer anderen Person als der betroffenen Person erlangt hat.

Als Zweites ist festzustellen, dass der sachliche Anwendungsbereich von Art. 14 DS‑GVO im Verhältnis zu Art. 13 dieser Verordnung negativ definiert wird. Wie sich bereits aus den Überschriften dieser Bestimmungen ergibt, betrifft Art. 13 DS‑GVO die Informationen, die bei Erhebung von personenbezogenen Daten bei der betroffenen Person zur Verfügung zu stellen sind, während Art. 14 DS‑GVO die Informationen betrifft, die zur Verfügung zu stellen sind, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Unter Berücksichtigung dieser Zweiteilung gehören alle Fälle, in denen die Daten nicht bei der betroffenen Person erhoben wer‑ den, in den sachlichen Anwendungsbereich von Art. 14 DS‑GVO.

Somit ergibt sich aus der kombinierten Auslegung von Art. 13 und Art. 14 DS‑GVO, dass sowohl die personenbezogenen Daten, die der Verantwortliche von einer anderen Person als der betroffenen Person erlangt hat, als auch die vom Verantwortlichen selbst erzeugten Daten, die naturgemäß auch nicht von der betroffenen Person erlangt wurden, in den Anwendungsbereich von Art.  14 DS‑GVO fallen. Daraus folgt, dass die in Art. 14 Abs. 5 lit. c) vorgesehene Ausnahme diese beiden Kategorien von Daten erfasst.

Als Drittes ist Art.  14 Abs.  5 lit.  c) DS‑GVO in einem Sinne auszulegen, der mit dem Ziel dieser Verordnung im Ein‑ klang steht, das, wie sich im Licht ihrer ErwG 1 und 10 aus Art. 1 DS‑GVO ergibt, u.a. darin besteht, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, insbesondere ihres in Art. 8 Abs. 1 der Charta der Grundrechte und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urt. v. 07.03.2024, IAB Europe u.a., C‑604/22, EU:C:2024:214, Rn. 53 und die dort angeführte Rechtsprechung).

Insoweit geht aus dem 63. ErwG der DS‑GVO hervor, dass nach dem Willen des Unionsgesetzgebers eine betroffene Person im Sinne dieser Verordnung ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzt, um sich deren Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

Somit kann der Verantwortliche von seiner Informationspflicht, die ihn normalerweise gegenüber einer betroffenen Person trifft, befreit werden, sofern diese Person in der Lage ist, Kontrolle über ihre personenbezogenen Daten auszuüben und ihre Rechte aus der DS‑GVO wahrzunehmen.

Dem mit dieser Verordnung verfolgten Ziel entsprechend setzt die in Art. 14 Abs. 5 lit. c) DS‑GVO vorgesehene Ausnahme von der Pflicht zur Information der betroffenen Person zum einen voraus, dass die Erlangung oder Offenlegung personenbezogener Daten durch den Verantwortlichen im Unionsrecht oder im Recht des Mitgliedstaats, dem dieser Verantwortliche unterliegt, ausdrücklich vorgesehen ist. Zum anderen muss dieses Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen.

Daraus ergibt sich, dass die Anwendung von Art. 14 Abs. 5 lit. c) DS‑GVO, um mit dem Ziel der DS‑GVO in vollem Umfang vereinbar zu sein, von der strikten Einhaltung der in dieser Bestimmung vorgesehenen Voraussetzungen abhängt, d.h. u.a. davon, dass ein Schutzniveau für die betroffene Person besteht, das dem durch Art. 14 Abs. 1 bis 4 DS‑GVO garantierten Schutzniveau zumindest gleichwertig ist.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 14 Abs. 5 lit. c) DS‑GVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat, unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der betroffenen Person erlangt hat oder er selbst sie im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

Zur zweiten und dritten Frage:

Mit seiner zweiten und seiner dritten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 14 Abs. 5 lit. c) und Art. 77 Abs. 1 DS‑GVO dahin auszulegen sind, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 lit. c) dieser Verordnung vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht und, wenn dies der Fall ist, ob diese Prüfung auch die Geeignetheit der Maßnahmen betrifft, zu deren Durchführung der Verantwortliche nach Art. 32 DS‑GVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Als Erstes ist darauf hinzuweisen, dass nach Art.  77 Abs.  1 DS‑GVO jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Zur Zuständigkeit der Aufsichtsbehörden sieht Art.  55 Abs. 1 dieser Verordnung vor, dass jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnis‑ se, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist.

Was diese Aufgaben anbelangt, so bestimmt Art. 57 Abs. 1 lit. a) DS‑GVO, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet die Anwendung dieser Verordnung überwachen und durchsetzen muss.

Die DS‑GVO enthält keine Bestimmung, die geeignet wäre, bestimmte Aspekte der Anwendung der in Art.  14 Abs. 5 lit. c) dieser Verordnung vorgesehenen Ausnahme von der Zuständigkeit dieser Aufsichtsbehörden auszunehmen.

Nach dieser Bestimmung ist der Verantwortliche nicht verpflichtet, der betroffenen Person die in Art.  14 Abs.  1, 2 und 4 DS‑GVO genannten Informationen zur Verfügung zu stellen, wenn und soweit zum einen die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, ausdrücklich geregelt ist und diese zum anderen geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen.

Daher kann eine Beschwerde nach Art.  77 Abs.  1 DS‑GVO auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützt werden, die sich aus der Nichtbeachtung der Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 lit. c) dieser Verordnung vorgesehenen Ausnahme ergibt.

Was die erste, in Rn. 61 des vorliegenden Urteils genannte Voraussetzung anbelangt, so kann sich die mit einer solchen Beschwerde befasste Aufsichtsbehörde veranlasst sehen, zu prüfen, ob das Unionsrecht oder das nationale Recht vorsieht, dass der Verantwortliche personenbezogene Daten erlangen oder offenlegen muss.

Zur zweiten Voraussetzung ist in Übereinstimmung mit den Ausführungen der Generalanwältin in den Nrn. 67 und 69 ihrer Schlussanträge festzustellen, dass die Tragweite des Ausdrucks „geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person“ in der DS‑GVO nicht präzisiert wird. Allerdings müssen die Bestimmungen des Unionsrechts oder des Rechts der Mitgliedstaaten, die solche Maßnahmen vorsehen und denen der Verantwortliche unterliegt, wie in Rn. 54 des vorliegenden Urteils ausgeführt, ein Schutzniveau für die betroffene Person in Bezug auf die Verarbeitung ihrer personenbezogenen Daten gewährleisten, das dem in Art.  14 Abs.  1 bis 4 DS‑GVO vorgesehenen zumindest gleichwertig ist. Diese Bestimmungen müssen somit geeignet sein, die betroffene Person in die Lage zu versetzen, Kontrolle über ihre personenbezogenen Daten auszuüben und ihre Rechte aus der DS‑GVO wahrzunehmen.

Zu diesem Zweck ist es insbesondere von Bedeutung, dass diese Vorschriften klar und vorhersehbar die Quelle angeben, aus der die betroffene Person Informationen über die Verarbeitung der sie betreffenden personenbezogenen Daten erhält.

Im Zusammenhang mit der Übermittlung personenbezogener Daten zwischen Stellen eines Mitgliedstaats und mit der Erzeugung solcher Daten durch einen Verantwortlichen aus Daten, die bei einer anderen Person als der betroffenen Person erhoben wurden, ist darauf hinzuweisen, dass es im Fall einer Beschwerde der betroffenen Person Sache der Aufsichtsbehörde ist, u.a. zu prüfen, ob das einschlägige nationale oder Unionsrecht die verschiedenen Arten der zu erlangen‑ den oder offenzulegenden personenbezogenen Daten sowie die personenbezogenen Daten, die der Verantwortliche im Rahmen der Erfüllung seiner Aufgaben zu erzeugen hat, hin‑ reichend genau definiert und ob dieses Recht regelt, wie die betroffene Person tatsächlich Zugang zu den in Art. 14 Abs. 1, 2 und 4 DS‑GVO genannten Informationen hat.

Wie die Kommission in ihren schriftlichen Erklärungen aus‑ führt, gehört die Prüfung durch eine Aufsichtsbehörde, ob alle Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 lit. c) DS‑GVO vorgesehenen Ausnahme erfüllt sind, jedoch nicht zu einer Prüfung der Gültigkeit der einschlägigen Bestimmungen des nationalen Rechts. Diese Behörde entscheidet nur darüber, ob der Verantwortliche in einem bestimmten Fall berechtigt ist, sich gegenüber der betroffenen Person auf die in dieser Bestimmung vorgesehene Ausnahme zu berufen.

Zum Ergebnis einer solchen Prüfung ist darauf hinzuweisen, dass die betroffene Person nach Art. 78 DS‑GVO, wenn die Aufsichtsbehörde in einem bestimmten Fall beschließt, dass deren Beschwerde unbegründet ist, in ihrem Mitgliedstaat über das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den ablehnenden Beschluss verfügen muss.

Hält diese Behörde dagegen die Beschwerde für begründet und die Voraussetzungen für die Anwendung der in Art. 14 Abs. 5 lit. c) DS‑GVO vorgesehenen Ausnahme für nicht erfüllt, so fordert sie den Verantwortlichen auf, gem. Art. 14 Abs. 1, 2 und 4 dieser Verordnung der betroffenen Person die Informationen zur Verfügung zu stellen.

Was als Zweites die Frage betrifft, ob diese Prüfung auch die Geeignetheit der Maßnahmen, die der Verantwortliche zur Gewährleistung der Sicherheit der Verarbeitung zu er‑ greifen hat, im Hinblick auf Art. 32 DS‑GVO umfassen muss, so ist darauf hinzuweisen, dass Art. 14 Abs. 5 lit. c) dieser Verordnung nur eine Ausnahme von der Informationspflicht nach Art. 14 Abs. 1, 2 und 4 DS‑GVO vorsieht, ohne eine Ausnahme von den Pflichten vorzusehen, die in anderen Bestimmungen dieser Verordnung, darunter deren Art. 32, enthalten sind.

Der genannte Art.  32 verpflichtet den Verantwortlichen und seinen etwaigen Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Sicherheitsniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Die Geeignetheit dieser Maßnahmen ist konkret zu beurteilen, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. i.d.S. Urt. v. 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 42, 46 und 47, sowie v. 25.01.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 37 und 38).

In Anbetracht des jeweiligen Wortlauts dieser beiden Bestimmungen ist darauf hinzuweisen, dass sich die in Art.  32 DS‑GVO verankerten Pflichten, die in jedem Fall und unabhängig von einer Informationspflicht nach Art. 14 dieser Verordnung zu beachten sind, in ihrer Art und Tragweite von der in Art. 14 DS‑GVO vorgesehenen Informationspflicht unterscheiden.

Somit wird im Fall einer Beschwerde nach Art.  77 Abs.  1 DS‑GVO mit der Begründung, der Verantwortliche habe sich zu Unrecht auf die in Art. 14 Abs. 5 lit. c) dieser Verordnung vorgesehene Ausnahme berufen, der Gegenstand der von der Aufsichtsbehörde vorzunehmenden Prüfungen allein durch den Anwendungsbereich des Art. 14 DS‑GVO begrenzt, wobei die Einhaltung von Art. 32 dieser Verordnung nicht Teil dieser Prüfungen ist.

Nach alledem ist auf die zweite und die dritte Frage zu antworten, dass Art. 14 Abs. 5 lit. c) und Art. 77 Abs. 1 DS‑GVO dahin auszulegen sind, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 lit. c) dieser Verordnung vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art. 32 DS‑GVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.