Der EuGH (Urt. v. 6. November 2003 - Az.: C-101/01) hat sich erstmals zur Auslegung der "Richtlinie über den Schutz personenbezogener Daten und den freien Datenverkehr im Internet" geäußert.
Interessant dabei ist vor allem die Frage, ob die Veröffentlichung des Namens einer Person oder die Angabe von bestimmten Merkmalen, die eine Identifizierung zulassen, "eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten" ist.
Dazu die Richter:
"Der (...) verwendete Begriff personenbezogene Daten bezieht sich (...) auf alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Dieser Ausdruck erfasst eindeutig die Nennung des Namens einer Person in Verbindung mit deren Telefonnummern oder mit Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen.
Zu bestimmen bleibt noch, ob diese Verarbeitung ganz oder teilweise automatisiert ist. Hierzu ist festzustellen, dass es zur Wiedergabe von Informationen auf einer Internetseite nach den gegenwärtig angewandten technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server sowie der erforderlichen Vorgänge bedarf, um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen. Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form.
Mithin ist auf die (...) Frage zu antworten, dass die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten (...) darstellt.
Diese Verarbeitung personenbezogener Daten falle - so die Richter - weder unter die Kategorie der die öffentliche Sicherheit betreffenden Tätigkeiten noch unter diejenige ausschließlich persönlicher oder familiärer Tätigkeiten, die vom Anwendungsbereich der Richtlinie ausgenommen sind.
Desweiteren war Gegenstand der Auseinandersetzung, ob die Veröffentlichung im Internet als "Übermittlung von Daten in ein Drittland" zu werten sei. Hier sieht die RiL besondere Voraussetzungen vor, damit eine solche Übermittlung stattfinden darf:
"Aus den Akten geht hervor, dass ein Internetbenutzer zum Erhalt der Informationen auf den Internetseiten (...) nicht nur eine Verbindung zum Internet herstellen, sondern auch - eigenhändig - die notwendigen Schritte zum Einsehen dieser Seiten unternehmen musste. Die Internetseiten (...) enthielten, anders gesagt, nicht die technischen Mechanismen, die einen automatischen Versand dieser Informationen an Personen ermöglicht hätten, die diese Seiten nicht bewusst aufgesucht hatten.
Daraus folgt, dass (...) die personenbezogenen Daten, die von einer Person aus, die sie auf eine Website hochgeladen hat, in den Rechner einer sich in einem Drittland befindenden Person gelangen, nicht zwischen diesen beiden Personen unmittelbar, sondern über die EDV-Infrastruktur des Host-Service-Providers, auf der die Seite gespeichert ist, übermittelt worden sind.
Angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der Richtlinie (...) und des Fehlens von Kriterien für die Internetbenutzung (...) kann nicht angenommen werden, dass der Gemeinschaftsgesetzgeber unter den Begriff Übermittlung von Daten in ein Drittland im Vorgriff auch den Vorgang fassen wollte, dass eine Person (...) Daten in eine Internetseite aufnimmt, auch wenn diese Daten dadurch Personen aus Drittländern zugänglich gemacht werden, die über die technischen Mittel für diesen Zugang verfügen."
Die ausführliche Pressemitteilung finden Sie hier.
Die aktuelle EuGH-Entscheidung dürfte für einigen neuenWirbel im Datenschutzrecht sorgen.
In Deutschland gilt für für den Online-Bereich bekanntlich das TDDSG. Vgl. ausführlich zum Online-Datenschutzrecht die Rechts-FAQ von RA Dr. Bahr. Ob die neue Entscheidung des EuGH auch zu einer praktischen Veränderung der nationalen Rechtslage führen wird, bleibt abzuwarten.
