zur Harmonisierung des Datenschutzes durch die europäische Datenschutzrichtlinie

Mit Urteil vom 24.11.2011 hat der Europäische Gerichtshof (EuGH) auf zwei Fragen geantwortet, welche ihm durch den Obersten Spanischen Gerichtshof (Tribunal Supremo) gestellt wurden und die die europäische Richtlinie 95/46/EG (sog. Datenschutzrichtlinie) betrafen. Generell muss ein Gericht in einem Mitgliedstaat der Europäischen Union nicht nur das nationale Recht anwenden, sondern auch europäisches Recht berücksichtigen. Bestehen jedoch Unsicherheiten über den Inhalt einer europäischen Norm, kann der EuGH zwecks Klärung eingeschaltet werden. Dafür muss die europäische Bestimmung allerdings auch eine Bedeutung für den Ausgang des nationalen Gerichtsverfahrens haben. Ist dies der Fall, setzt das Gericht sein Verfahren aus und leitet dem EuGH konkrete Fragen zur Auslegung der europäischen Norm zu; diese sog. Vorfragen beinhalten die Gesichtspunkte, welche für die nationale Entscheidung von Bedeutung sind. Oft geht es dabei um die Vereinbarkeit einer nationalen Bestimmung mit europäischen Vorgaben. Die vorgelegten Fragen werden vom EuGH im Vorabentscheidungsverfahren beantwortet. Danach kann das Gericht des Mitgliedstaats den nationalen Prozess unter Berücksichtigung der gewonnenen Erkenntnisse fortsetzen.

Der spanische Gerichtshof legte dem EuGH zwei Fragen zur Datenschutzrichtlinie (DRL) vor. Diese lauteten: 1. Steht die Regelung der DRL, welche die Grundsätze der Zulässigkeit einer Verarbeitung von personenbezogenen Daten betrifft, einer nationalen (hier der spanischen) Regelung entgegen, die für die Datenverarbeitung nicht nur ein berechtigtes Interesse des Verarbeitenden und dessen Abwägung mit Grundrechten und Grundfreiheiten des Betroffenen verlangt, sondern darüber hinausgehend fordert, dass nur solche Daten verarbeitet werden dürfen, die in öffentlich zugänglichen Quellen enthalten sind?  2. Ist die entsprechende Regelung der DRL im einzelnen Mitgliedstaat unmittelbar anwendbar? Der EuGH BEJAHTE beide Fragen des Tribunal Supremo.

Zur ersten Frage der inhaltlichen Vereinbarkeit der spanischen Regelung mit der DRL wies der EuGH zunächst auf den allgemein in diesem Zusammenhang einschlägigen Grundsatz hin, dass die Angleichung der nationalen Bestimmungen an europäisches Recht nicht zu einer Verringerung des von den nationalen Bestimmungen bezweckten Schutzes führen soll, sondern in der Europäischen Union ein gleichwertiges hohes Schutzniveau sicherzustellen hat. Doch ergibt sich nach Ansicht des EuGH aus der Datenschutzrichtlinie eine erschöpfende und abschließende Auflistung aller Fälle, in denen eine Verarbeitung personenbezogener Daten rechtmäßig ist. Die Datenverarbeitung noch weiter einschränkende Bestimmungen dürften durch Gesetze der Mitgliedstaaten nicht eingeführt werden. Hier war in Gestalt der spanischen Datenschutzbestimmungen eine solche Regelung vorhanden, mit der das von der DRL vorgegebene Schutzniveau überschritten wurde, denn durch das Erfordernis der Zugänglichkeit zu verarbeitender Daten in öffentlichen Quellen war jede Verarbeitung von Daten ausgeschlossen, die in derartigen Quellen nicht enthalten sind. Durch die umfassende und abschließende Regelung der Datenverarbeitung in der DRL sei es Mitgliedstaaten wie Spanien aber verwehrt, die europäisch niedergelegten Grundsätze durch nationale Regelungen zu verändern und insbesondere durch zusätzliche Bedingungen der Datenverarbeitung einzuschränken. Sofern dies doch der Fall ist, können sich davon Betroffene auf die unmittelbare Geltung der DRL berufen.

Dogmatisch ergibt sich dieses Ergebnis aus dem Umstand, dass die aus der DRL folgende Harmonisierung (= Angleichung) einzelstaatlicher Rechtsvorschriften nicht auf eine Mindestharmonisierung (Harmonisierung, bei der die europäische Vorgabe nur ein Mindestniveau an Schutz festlegt, die Mitgliedstaaten also durch strengere Regeln „nach oben“ abweichen dürfen) beschränkt ist, sondern zu einer umfassenden Harmonisierung führt, d.h. zu einer „Vollharmonisierung“, bei der die Mitgliedstaaten bezüglich des Schutzniveaus weder nach unten (geringerer Schutz) noch nach oben (strengerer Schutz) abweichen dürfen.      

Zur zweiten Frage nach der Geltungsweise der Datenschutzrichtlinie sprach der EuGH deren unmittelbare Geltung in jedem Mitgliedstaat aus, was ebenfalls prinzipiell richtig und nicht etwa auf die DRL beschränkt ist. Allerdings tritt die unmittelbare Geltung bei Richtlinien - im Unterschied zu Verordnungen der EU - nicht sofort ein, doch bestand daran bei der DRL von 1995 kein Zweifel (mehr). Zur Wirkungsweise stellte der EuGH klar, dass eine direkte Wirkung nur gegenüber dem Staat, hier Spanien, besteht und auch dies nur zu Gunsten des Betroffenen (hier dem Verarbeiter personenbezogener Daten). Eine unmittelbare Wirkung von Richtlinien wie der DRL zwischen Privaten ist dagegen ausgeschlossen! Dies bedeutet, dass sich beispielsweise ein Unternehmen gegenüber einer Privatperson NICHT darauf berufen kann, dass die Datenverarbeitung „nur“ nach nationalem Recht unzulässig, infolge der direkten Wirkung der europäischen Datenschutzrichtlinie dagegen zulässig ist.

Die Entscheidung des EuGH ist nicht wirklich überraschend, sondern vor dem Hintergrund der Entwicklung des europäischen Datenschutzrechts folgerichtig. Ziele des europäischen Gesetzgebers sind nämlich nicht nur der gleichwertige Datenschutzstandard auf hohem Niveau, sondern durchaus auch die Erleichterung des grenzüberschreitenden Verkehrs personenbezogener Daten im Gebiet der EU.