Im Zuge der Enthüllungen in der NSA-Affäre und den andauernden Verhandlungen für eine Reform des europäischen Datenschutzrechts wird häufig darauf verwiesen, dass der Schutz personenbezogener Daten in Europa ein Grundrecht darstellt (so etwa die EU Justizkommissarin Viviane Reding in einem Interview). Nachfolgend möchte ich darauf eingehen, wo dieses Grundrecht auf Datenschutz gesetzlich festgeschrieben und wie es tatsächlich ausgestaltet ist. Dazu beschränke ich mich jedoch auf die Ebene der EU und des Europarates (zu weiteren internationalen Datenschutzabkommen hatte ich bereits einmal etwas geschrieben).
A. Europäische Menschenrechtskonvention
Auf der supranationalen Ebene des Europarats, dem sowohl alle europäischen Mitgliedstaaten, aber auch andere Nationen wie die Türkei oder Russland angehören, garantiert die Europäische Menschenrechtskonvention (EMRK) Personen, welche der Hoheitsgewalt der einzelnen Mitgliedstaaten unterliegen, gewisse Grundrechte und –freiheiten.
1. Recht auf Schutz des Privatlebens
Nach Art. 8 Abs. 1 EMRK hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens. Der Schutz von personenbezogenen Daten ist nicht ausdrücklich genannt. Jedoch muss beachtet werden, dass der Europäische Gerichtshof für Menschenrechte (EGMR), der bei einer Verletzung der EMRK zuständig ist, den Begriff des „Privatlebens“ weit interpretiert. Erst kürzlich hat er wieder festgestellt, dass dieser Begriff auch „die persönlichen Informationen, bei denen eine Person berechtigterweise erwarten kann, dass sie nicht ohne ihr Einverständnis veröffentlicht werden“ umfasst (Urteil vom 19.9.2013, Beschwerde Nr. 8772/10, Rn. 41). Der EGMR versteht den Schutz personenbezogener Informationen also als einen Teil des Schutzes des Privatlebens. Deutlich wird dies auch in einem älteren Urteil, in dem die Richter in Straßburg feststellten: „Außerdem ist angesichts des technischen Fortschritts bei der Aufzeichnung und Wiedergabe personenbezogener Daten eine verstärkte Wachsamkeit beim Schutz des Privatlebens geboten (Urteil vom 24.6.2004, Individualbeschwerde Nr. 59320/00, Rn. 70). Man erkennt jedoch stets den erforderlichen Bezug der geschützten Informationen zum Privatleben. Um den Schutz des Art. 8 Abs. 1 EMRK zu genießen, müssen die Informationen also eine Verbindung zum Privatleben der Betroffenen aufweisen. Allein das Vorliegen personenbezogener Daten (die ja nicht notwendigerweise den Bereich des Privaten betreffen müssen), reicht daher wohl noch nicht aus. So stellte der EGMR auch explizit fest, dass die Speicherung von Informationen, welche sich auf das Privatleben beziehen, als auch deren Veröffentlichung, in den Schutzbereich des Art. 8 Abs. 1 EMRK fallen (Urteil vom 13.11.12, Beschwerde Nr. 24029/07, Rn. 187).
2. Einschränkungen des Rechts auf Privatleben
Nach Art. 8 Abs. 2 EMRK ist ein Eingriff in das Recht auf Privatleben nur gerechtfertigt, soweit dieser 1) gesetzlich vorgesehen, 2) in einer demokratischen Gesellschaft notwendig ist und 3) dabei bestimmten Zielen, wie etwa der nationale oder öffentlichen Sicherheit, dem wirtschaftlichen Wohl des Landes oder der Aufrechterhaltung der Ordnung dient. Die erste Voraussetzung ist hierbei wohl die wichtigste. Der EGMR hat in Bezug auf personenbezogene Daten, welche durch Behörden gespeichert wurden, entschieden: „The greater the scope of the recording system, and thus the greater the amount and sensitivity of data held and available for disclosure, the more important the content of the safeguards to be applied at the various crucial stages in the subsequent processing of the data“ (Urteil vom 13.11.12, Beschwerde Nr. 24029/07, Rn. 200).
Ein ausdrücklich festgeschriebenes Grundrecht auf den Schutz personenbezogener Daten besteht also innerhalb der EMRK nicht. Dieses wird durch den EGMR aber aus dem Schutz des Privatlebens abgeleitet (Fundstellen aus Entscheidungen des EGMR zum Schutz personenbezogener Daten finden sich auch in einem offiziellen Informationsblatt des Gerichts).
3. Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
Ebenfalls auf der Ebene des Europarats besteht das sog. Übereinkommen 108 (Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.1.1981). Art. 1 des Übereinkommens 108 definiert den „Datenschutz“ als das Recht von jedermann, dass „seine Rechte und Grundfreiheiten, insbesondere sein Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden“. Hier wird also, anders als in der EMRK, der Datenschutz ausdrücklich erwähnt. Jedoch muss darauf verwiesen werden, dass der EGMR grundsätzlich nicht über Eingriffe und Verletzungen des Übereinkommens 108 entscheidet, sondern allein über solche im Rahmen der EMRK (siehe auch Art. 19 EMRK). Das Übereinkommen 108 bindet die unterzeichnenden Mitgliedstaaten des Europarats und legt ihnen gewisse Pflichten bei der Ausgestaltung ihres innerstaatlichen Rechts auf. Dass der EGMR nicht direkt auf Grundlage des Übereinkommens 108 entscheidet hindert ihn freilich nicht, dieses bei seinen Urteilen ergänzend heranzuziehen (so etwa in dem bereits angesprochenen Urteil vom 13.11.12, Beschwerde Nr. 24029/07, Rn. 188).
B. Charta der Grundrechte der Europäischen Union
Innerhalb der Europäischen Union werden Grundrechte und –freiheiten in der Charta der Europäischen Union (EU-Charta) verbindlich festgeschrieben. Erster Unterschied zur EMRK ist, dass mit Art. 8 Abs. 1 EU-Charta explizit ein Recht auf den Schutz personenbezogener Daten anerkannt wird. Dieses steht eigenständig neben demjenigen auf Achtung des Privatlebens nach Art. 7 EU-Charta. Deutlich wird damit auch, dass innerhalb der EU-Charta das Recht auf Achtung des Privatlebens und dasjenige auf Schutz personenbezogener Daten nicht als deckungsgleich zu verstehen sind. Nach Art. 51 Abs. 1 gilt die EU-Charta „für die Organe, Einrichtungen und sonstigen Stellen der Union unter Wahrung des Subsidiaritätsprinzips und für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union“. Die Pflicht zur Achtung des Rechts auf Datenschutz richtet sich daher grundsätzlich an die Mitgliedstaaten und nicht etwa an Private.
1. Rechtsprechung des EuGH zum Grundrecht auf Datenschutz
Überwacht wird die Einhaltung der EU-Charta in der EU durch den Gerichtshof der Europäischen Union (EuGH). Dieser hatte bereits einige Male Gelegenheit, zu dem in Art. 8 Abs. 1 EU-Charta festgeschriebenen Recht auf Schutz personenbezogener Daten Stellung zu nehmen (vgl. etwa nur Rechtssache C-291/12, C-473/12, C-486/12). Deutlich unterscheidet der EuGH zuletzt zwischen dem Recht auf Achtung des Privatlebens und demjenigen auf Schutz personenbezogener Daten. So etwa in der Rechtssache C-291/12 (Urteil vom 17.10.13), in der er beide Rechte nebeneinander erwähnt (Rn. 24). In früheren Entscheidung stellte der EuGH häufig eine irritierende Verbindung zwischen Art. 7 und Art. 8 Charta her, so etwa in den verbundenen Rechtssachen C-92/09 und C-93/09 (Urteil vom 9.11.10): „Demnach ist zum einen davon auszugehen, dass sich die in den Art. 7 und 8 EU-Charta anerkannte Achtung des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten auf jede Information erstreckt, die eine bestimmte oder bestimmbare natürliche Person betrifft“ (Rn. 52). Im übrigen trägt der EuGH grundsätzlich der Rechtsprechung des EGMR bei seiner Auslegung von Grundrechten Rechnung.
2. Einschränkungen des Rechts auf Datenschutz
„Das Recht auf Schutz der personenbezogenen Daten kann jedoch keine uneingeschränkte Geltung beanspruchen“, (EuGH, Verbundene Rechtssachen C-92/09 und C-93/09, Urteil vom 9.11.10, Rn. 48). Wie das Recht auf Achtung des Privatlebens in der EMRK, so gilt auch das Recht auf Schutz personenbezogener Daten in Art. 8 EU-Charta nicht ohne Einschränkungen. Begrenzungen erfährt das Grundrecht auf zwei Wegen. Zum einen durch Art. 8 Abs. 2 EU-Charta. Danach dürfen personenbezogene Daten „nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“. Sind diese Voraussetzungen gegeben, so liegt keine Verletzung des Grundrechts vor (EuGH, Verbundene Rechtssachen C-92/09 und C-93/09, Urteil vom 9.11.10, Rn. 49). Eine besondere Rolle spielt dabei das unionsrechtliche Sekundärrecht und hierbei die Datenschutz-Richtlinie (RL 95/46/EG, DS-RL). Denn nach den offiziellen Erläuterungen zur Charta der Grundrechte enthält die DS-RL „Bedingungen und Beschränkungen für die Wahrnehmung des Rechts auf den Schutz personenbezogener Daten“.
Zum anderen können sich Einschränkungen aus Art. 6 Abs. 1, Art. 52 Abs. 1 EU-Charta ergeben. Nach Art. 6 Abs. 1 EU-Charta werden die „in der Charta niedergelegten Rechte, Freiheiten und Grundsätze … gemäß den allgemeinen Bestimmungen des Titels VII der Charta, der ihre Auslegung und Anwendung regelt, und unter gebührender Berücksichtigung der in der Charta angeführten Erläuterungen, in denen die Quellen dieser Bestimmungen angegeben sind, ausgelegt“. Zu diesen allgemeinen Bestimmungen gehört Art. 52 EU-Charta. Dort wird festgelegt, dass jede „Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten…gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten“ muss. Wie im Rahmen des Art. 8 EMRK, ist also auch hier eine gesetzliche Grundlage erforderlich. Weiter als die möglichen Einschränkungen unter der EMRK geht Art. 52 Abs. 1 EU-Charta jedoch insofern, als keine bestimmten Zwecke vorgeschrieben werden, die durch den Eingriff verfolgt werden müssen. Vielmehr dürfen Einschränkung unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen werden, „wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen“. Die möglichen Zwecke der Einschränkung sind also allgemeiner gehalten, als diejenige in der EMRK, auch wenn sie sich tatsächlich häufig entsprechen werden.
3. Unterschiede zur EMRK
Zum Schluss möchte ich noch auf einige Unterschiede zwischen dem Schutzumfang der EMRK und der EU-Charta in Bezug auf personenbezogene Daten eingehen. Zum einen wurde bereits angesprochen, dass Art. 8 EMRK sich auf solche Informationen erstreckt, die einen Bezug zum Privatleben aufweisen. Art. 8 EU-Charta schützt jedoch alle personenbezogenen Daten, unabhängig davon, ob sie dem Privat- oder etwa dem öffentlichen Berufsleben zuzuordnen sind. Dies ergibt sich aus der entsprechenden (weiten) Definition „personenbezogener Daten“ in Art. 2 a) DS-RL, welche nach der Erläuterung zur EU-Charta bei der Auslegung von Art. 8 EU-Charta berücksichtigt werden muss. Ebenfalls bereits kurz angedeutet wurde, dass die möglichen Einschränkungen des Grundrechts aus Art. 8 EU-Charta durch Art. 52 Abs. 1 EU-Charta weniger genau definiert sind, als jene in Art. 8 Abs. 2 EMRK.
Fazit
Auf europäischer Ebene existiert ein Grundrecht auf Datenschutz, wenn auch nicht unbeschränkt. Im Verhältnis von EU-Charta und EMRK zeigen sich einige interessante Unterschiede in Bezug auf den Schutzumfang von personenbezogenen Daten. Die vorliegende Darstellung kann jedoch nicht auf alle Probleme des Zusammenspiels von EMRK und EU-Charta eingehen, sondern sollte einen groben Überblick über die bestehenden Systeme geben. Sowohl der EGMR als auch der EuGH erkennen die Bedeutung des Datenschutzes in der Struktur der bestehenden Grundrechte an und man darf gespannt sein, welche Urteile in Zukunft aus Straßburg und Luxemburg im Bereich des Datenschutzrechts zu erwarten sind.
Spannender und hilfreicher Beitrag, danke! Gerade in diesem Kontext finde ich auch Art. 52 Abs. 2 der Grundrechtecharta i.V.m. Art. 16 AEUV relevant. Ich bin jedenfalls gespannt, was der EuGH aus dem Sammelsurium an Schranken und Schranken-Schranken machen wird, die ihm Art. 6 EUV und die Grundrechtecharta zur Verfügung stellen.
Hallo Simon.
Besten Dank. In der Tat, in dem ganzen Bereich steckt insgesamt auf Rechtsprechungsebene noch Musik, denke ich.