In seinem Urteil vom 4.10.2024 (Rs. C‑548/21) hatte der EuGH u.a. die Frage zu beantworten, ob der Anwendungsbereich der Richtlinie (EU) 2016/680 eröffnet ist und eine „Verarbeitung“ nach Art. 3 Nr. 2 der Richtlinie vorliegt, wenn Polizeibehörden versuchen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – auch wenn dieser Versuch scheitert und Daten faktisch nicht verarbeitet werden.
Zwar erging die Entscheidung zu Art. 3 Nr. 2 der Richtlinie 2016/680 (der Schwesterrichtlinie der DSGVO für den polizeilichen Bereich). Die Definition der „Verarbeitung“ ist jedoch deckungsgleich mit jener Definition in Art. 4 Nr. 2 DSGVO. Daher sind die Erwägungen des EuGH auch auf die DSGVO übertragbar.
„Verarbeitung“ bezeichnet nach Art. 3 Nr. 2 der Richtlinie und auch Art. 4 Nr. 2 der DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Wortlaut
Der EuGH betrachtet zunächst den Wortlaut der Norm. Insbesondere aus der Verwendung der Begriffe „jeder … Vorgang“, „jede … Vorgangsreihe“ und „eine andere Form der Bereitstellung“, ergebe sich, dass der Unionsgesetzgeber den Ausdruck „Verarbeitung“ und damit den sachlichen Anwendungsbereich der Richtlinie weit fassen wollte.
Zudem fügt der EuGH hinzu, dass die Aufzählung an Verarbeitungsformen in der Definition bewusst nicht abschließend sei.
Bereits diese, den Wortlaut betreffenden Gesichtspunkte sprechen nach Auffassung des EuGH somit für eine Auslegung,
„wonach Polizeibehörden, wenn sie ein Telefon sicherstellen und versuchen, auf diesem Telefon gespeicherte personenbezogene Daten auszulesen oder abzufragen, eine Verarbeitung im Sinne von Art. 3 Nr. 2 der Richtlinie 2016/680 vornehmen, auch wenn es ihnen aus technischen Gründen nicht gelingen sollte, auf diese Daten zuzugreifen“.
Allein der Versuch einer Verarbeitung stellt also bereits die Verarbeitung dar, auch wenn es faktisch gerade nicht zu der beabsichtigten Verarbeitung kommt.
Grundsatz der Zweckbindung
Zudem betrachtet der EuGH auch den Kontext, in dem Art. 3 Nr. 2 der Richtlinie steht.
Nach Art. 4 Abs. 1 b) sehen die Mitgliedstaaten vor, dass personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. In der DSGVO entspricht dies dem Grundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO.
Die Wirksamkeit dieses Grundsatzes setzt nach Ansicht des EuGH aber zwingend voraus, dass der Zweck der Datenerhebung
„schon dann ermittelt wird, wenn die zuständigen Behörden versuchen, auf personenbezogene Daten zuzugreifen, da ein solcher Versuch, wenn er erfolgreich ist, es ihnen u. a. ermöglichen kann, die fraglichen Daten unverzüglich zu erheben, auszulesen oder abzufragen“.
Der EuGH betrachtet hier also nicht isoliert den Versuch, sondern bezieht auch die Folge des erfolgreichen Versuchs (= Zugriff auf Daten) mit ein. Bei erfolgreichem Versuch kommt es zur Verarbeitung. Da dazwischen keine weiteren Schritte liegen, können die datenschutzrechtlichen nur bereits vorab erfüllt werden. Nach erfolgreichem Versuch wäre es etwa für eine Information des Betroffenen zu spät.
Im Ergebnis stellt der EuGH fest, dass ein Versuch von Polizeibehörden, für die Zwecke strafrechtlicher Ermittlungen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen, in den Anwendungsbereich der Richtlinie 2016/680 fällt. Auch der Generalanwalt hatte in seinen Schlussanträgen diese Ansicht vertreten. Seines Erachtens führt eine Polizeibehörde, die ein Telefon sicherstellt, auf dem solche Daten gespeichert sind, und daran hantiert, um auf die Daten zuzugreifen, einen „Verarbeitungsvorgang“ durch, auch wenn dieser aus technischen Gründen infolge der Verschlüsselung erfolglos bleibt.
Fazit
Ich denke, dass für den EuGH bei seiner Auslegung ein wichtiger Aspekt war, dass der erfolgreiche Versuch direkt zur Verarbeitung geführt hätte. Datenschutzrechtliche Pflichten konnten dann nur bereits vor dem Versuch ordentlich beachtet und erfüllt werden.