Datenschutzrechtliche Grenzen des Datenaustausches zwischen Behörden

15/09/2016

Nationale Regelungen in einem EU-Mitgliedsstaat, welche die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedsstaates an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und den Verarbeitung unterrichtet wurden, sind unzulässig.

Die am 1. Oktober 2015 vom EuGH in der Rechtssache C-201/14 ergangene Vorabentscheidung für die Zulässigkeit der Weitergabe von personenbezogener Daten von einer Behörde an eine andere Behörde gesamteuropäische Bedeutung:

Konkret ging es um ein Rumänisches Gesetz im Gesundheitssektor, das natürliche oder juristische Personen verpflichtet, Beiträge zur Krankenversicherung zu leisten, soweit diese Personen andere Personen beschäftigen. Das Gesetz bestimmt, dass die zur Feststellung der Versicherteneigenschaft erforderlichen Daten den Krankenkassen von den Behörden, öffentlichen Einrichtungen und anderen Institutionen übermittelt werden. Dazu gehören auch die Einkünfte der Personen.

Die Kläger des Ausgangsverfahrens erzielten Einkünfte aus selbstständiger Tätigkeit. Die Finanzbehörden übermittelten der Krankenkasse Daten über die erzielten Einkünfte. Auf Grundlage dieser Daten verlangte die Krankenkasse die Zahlung rückständiger Krankenversicherungsbeiträge. Die Kläger machten geltend, dass die Übermittlung der Steuerdaten über ihre Einkünfte gegen die Richtlinie 95/46/EG verstoße. Sie brachten vor, diese personenbezogenen Daten seien auf der Grundlage eines bloßen internen Protokolls zu anderen Zwecken als denen, zu denen sie ursprünglich den Steuerbehörden mitgeteilt worden seien, ohne ihre ausdrückliche Einwilligung und ohne ihre vorherige Unterrichtung an die Krankenkassen übermittelt und verwendet worden.

Das vorlegende Gericht wollte wissen, ob die Verarbeitung der Daten durch die Krankenkassen eine vorherige Unterrichtung der betroffenen Personen über die Identität des für die Verarbeitung Verantwortlichen und den Zweck der Übermittlung dieser Daten erfordert hätte.

Neben einigen anderen Vorlagefragen war insbesondere die vierte Frage relevant: Der EuGH stellte fest, dass die Steuerdaten, welche von der Finanzbehörde an die Krankenkassen übermittelt wurden, personenbezogene Daten im Sinne der Richtlinie waren. Es handelte sich zweifelsfrei auch um die Verarbeitung personenbezogener Daten. Gemäß Richtlinie 95/46/EG muss jede Verarbeitung personenbezogener Daten den in der Richtlinie aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen. Darüber hinaus trifft den für die Verarbeitung der Daten Verantwortlichen oder seine Vertreter eine Unterrichtungspflicht, deren Modalitäten sich danach unterscheiden, ob die betreffenden Daten bei der betroffenen Person erhoben wurden oder nicht. Die Richtlinie 95/46/EG sieht vor, dass die betroffene Person von dem für die Verarbeitung Verantwortlichen bestimmte Informationen erhält, soweit diese ihr noch nicht vorliegen. Diese Informationen betreffen die Identität des für die Verarbeitung der Daten Verantwortlichen, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach "Treu und Glauben" zu gewährleisten. Als in diesem Sinne „weitere Information“ sind in Artikel 10 lit. c der Richtlinie ausdrücklich „die Empfänger oder Kategorien der Empfänger der Daten“ sowie „das Bestehen von Auskunfts- und Berichtigungsrechten“ genannt.

Demgemäß verpflichtet das in Artikel 6 der Richtlinie 95/46/EG vorgesehene Erfordernis der Verarbeitung personenbezogener Daten nach "Treu und Glauben" die Verwaltungsbehörde, eine betroffene Person davon zu unterrichten, dass die personenbezogenen Daten an eine andere Verwaltungsbehörde weitergeleitet werden, um dort verarbeitet zu werden. Im Ausgangsverfahren wurden die Kläger jedoch nicht entsprechend unterrichtet.

Zwar sieht das rumänische Gesetz vor, dass die Steuerbehörde die beschriebenen Daten an die Krankenkassen übermitteln darf. Aus den Erläuterungen des Gerichts ergibt sich jedoch, dass zu den Daten, die im Sinne dieser Vorschrift zur Feststellung der versicherten Eigenschaft erforderlich sind, keine Daten über die Einkünfte gehören, da das Gesetz die Versicherteneigenschaft auch Personen ohne steuerpflichtige Einkünfte zuerkennt. Die Modalitäten der Übermittlung personenbezogenen Daten wurden zudem nicht durch Rechtsvorschriften, sondern durch ein zwischen den Behörden errichtetes Protokoll festgelegt.

Die Richtlinie 95/46 sieht vor, dass im Fall von Daten, die nicht bei der betroffenen Person erhoben wurden, die betroffene Person die Information über die Identität des für die Verarbeitung Verantwortlichen erhält, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten.

Deshalb hat der EuGH erkannt, dass die Bestimmungen der Richtlinie 95/46/EG dahingehend auszulegen sind, dass sie nationalen Maßnahmen, welche die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedsstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden, entgegenstehen.

Interessant ist, dass Behörden personenbezogene Daten nicht ohne genaue Einhaltung der Richtlinie austauschen dürfen. Eine Einhaltung der Informationspflichten und ein Austausch auf Basis eines Gesetzes anstelle eines Protokolls hätte den Erfordernissen der Richtlinie wohl Genüge getan. Ob das im Ergebnis für die betroffene Person einen Unterschied macht, bleibt dahingestellt…

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner
Wien