In den verbundenen Rechtssachen C‑141/12 und C‑372/12 hat der EuGH eine bislang wenig beachtete, allerdings mit weitreichender praktischer Bedeutung versehene Entscheidung getroffen. Im Kern geht es um die Auslegung des Zentralbegriffs des europäischen Datenschutzrechts, nämlich der „personenbezogenen Daten“. Aus der Entscheidung folgt, dass nicht jede Information, die Bezug zu einer natürlichen Person aufweist, automatisch unter das Datenschutzrecht fällt (EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 ff.). Vielmehr ist nach dem EuGH eine feinsinnige Abgrenzung vorzunehmen, die in der Praxis sicher noch zu Diskussionen führen wird.
1. Hintergrund der Entscheidung
Die Entscheidung des EuGH geht zurück auf die Anträge verschiedener Drittstaatsangehöriger, die in den Niederlanden einen Antrag auf eine befristete Aufenthaltserlaubnis gestellt hatten. Diese Anträge wurden in einem Fall abgelehnt und in zwei weiteren Fällen zwar gewährt, jedoch ohne weitergehende Begründung. In sämtlichen Fällen beantragten die späteren Kläger, gestützt auf den datenschutzrechtlichen Auskunftsanspruch, die Übersendung der sog. „Entwurfsschrift“, was ihnen jedoch verweigert wurde. Gegen diese Ablehnung wandten sich die Kläger mit ihrer Klage.
a) Herausgabe der „Entwurfsschrift“
Hintergrund des Verlangens auf Herausgabe der „Entwurfsschrift“ war folgender (vgl. im Einzelnen EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 Rz. 13): Der für die Bearbeitung eines Antrags auf Erteilung einer Aufenthaltserlaubnis zuständige Sachbearbeiter der Einwanderungs- und Einbürgerungsbehörde erstellt den Entwurf einer Entscheidung, der einem leitenden Sachbearbeiter (Resumptor) dieser Behörde zur Beurteilung vorgelegt wird. Der Sachbearbeiter fügt dem Entwurf ein Dokument bei, in dem er dem Resumptor die Gründe darlegt, auf denen sein Entscheidungsentwurf beruht, die „Entwurfsschrift“. Die Entwurfsschrift ist Teil des vorbereitenden Prozesses bei dieser Behörde, nicht jedoch der endgültigen Entscheidung.
b) Inhalte der „Entwurfsschrift“
Die Entwurfsschrift enthält im Allgemeinen u.a. Angaben über den Antragsteller wie Name, Geburtsdatum, Staatsangehörigkeit, Geschlecht, ethnische Zugehörigkeit, Religion und Sprache. Daneben beinhaltet sie Angaben zum Verfahrensverlauf sowie über vom Antragsteller abgegebene Erklärungen und vorgelegte Unterlagen. Schließlich enthält die Entwurfsschrift eine Beurteilung der vorstehenden Angaben im Licht der anwendbaren rechtlichen Bestimmungen. Diese Beurteilung wird in der Entscheidung des EuGH als „rechtliche Analyse“ bezeichnet.
Die rechtliche Analyse ist je nach Fall mehr oder weniger umfangreich. Bei einer ausführlichen Analyse geht der Sachbearbeiter insbesondere auf die Glaubhaftigkeit der abgegebenen Erklärungen ein und begründet, weshalb ein Antragsteller seiner Auffassung nach für eine Aufenthaltserlaubnis in Betracht kommt oder nicht.
2. Vorlagefragen an den EuGH
Die Kläger hatten geltend gemacht, dass die Entwurfsschrift personenbezogene Daten enthalte und dass sie daher im Rahmen ihres datenschutzrechtlichen Auskunftsanspruchs ein Recht auf Herausgabe der Entwurfsschrift – einschließlich der rechtlichen Analyse – hätten.
Die zuständigen niederländischen Gerichte haben daraufhin das Verfahren ausgesetzt und dem EuGH bestimmte Fragen zur Vorabentscheidung vorgelegt, nämlich insbesondere:
(1) ob es sich bei der in die Entwurfsschrift enthaltenen rechtlichen Analyse um personenbezogene Daten handelt und
(2) ob ein Recht des Betroffenen auf Erhalt einer Kopie von Schriftstücken besteht, in denen personenbezogene Daten verarbeitet worden sind, oder ob es genügt, eine Ãœbersicht über diese Daten in verständlicher Form zu übermitteln (vgl. im Einzelnen EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 (139) Rz. 22 u. 31).
3. EuGH zum Begriff personenbezogener Daten
Hinsichtlich der ersten Frage über die Weite des Begriffs der personenbezogenen Daten hat der EuGH zunächst klargestellt, dass es sich bei den in der rechtlichen Analyse enthaltenen Daten über die jeweiligen Antragsteller, wie etwa deren Namen, selbstverständlich um personenbezogene Daten handelt (vgl. EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 (139) Rz. 34). Darüber bestand ohnehin Konsens.
a) Unterschiedliche Definitionsansätze
Streitig war indes, wie mit dem restlichen Teil der rechtlichen Analyse umzugehen ist. Dazu sind im Vorfeld drei unterschiedliche Positionen seitens der Regierungen der Mitgliedstaaten vertreten worden (vgl. EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 (139) Rz. 35 ff.):
-  Nach der weiten Ansicht solle die gesamte rechtliche Analyse unter den Begriff der personenbezogenen Daten fallen, soweit sie sich auf eine konkrete natürliche Person bezieht.
-  Nach einer vermittelnden Ansicht sei danach zu differenzieren, inwieweit sich die rechtliche Analyse auf spezifische Angaben zu einer konkreten Person stützt; dann unterfalle sie dem Begriff der personenbezogenen Daten. Demgegenüber seien „lediglich abstrakte rechtliche Auslegungen“ nicht unter diesem Begriff zu fassen.
-  Nach der restriktiven Ansicht fällt die rechtliche Analyse per se nicht unter den Begriff der personenbezogenen Daten.
b) Restriktiver Ansatz des EuGH
Der EuGH hat sich im Ergebnis einer eher restriktiven Sichtweise angeschlossen. Zwar handele es sich bei den in der rechtlichen Analyse enthaltenen Daten über denjenigen, der einen Aufenthaltstitel beantragt (wie etwa sein Name oder seine Staatsangehörigkeit) um personenbezogene Daten. Diese „Einstufung gilt allerdings nicht für die Analyse als solche“, so der EuGH (vgl. EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 (139) Rz. 48).
Begründet hat der EuGH diese Entscheidung damit, dass insbesondere das datenschutzrechtliche Auskunftsrecht dem Betroffenen die Möglichkeit eröffnen solle, sich darüber zu vergewissern, ob seine personenbezogenen Daten richtig und in zulässiger Weise verarbeitet werden. Würde dieses Auskunftsrecht nun auf die gesamte rechtliche Analyse ausgedehnt, so der EuGH, so wäre dies nicht mehr mit dem (begrenzten) Ziel des Schutzes der Privatsphäre des Betroffenen vereinbar (vgl. EuGH, Urt. v. 17.7.2014 – C-141/12 u. C-372/12, CRi 2014, 138 (139) Rz. 44).
Der EuGH bestimmt den Begriff der „personenbezogenen Daten“ also nicht isoliert, sondern funktional mit Blick auf die daraus folgenden Ansprüche. Dies heißt gleichzeitig, dass unter Umständen in einer anderen Sachverhaltskonstellation auch ein anders gewichtetes Verständnis des Begriffs der „personenbezogenen Daten“ denkbar bleibt.
4. EuGH zur Weite des Auskunftsrechts
Die dargestellte Entscheidung zur Weite des Begriffs der personenbezogenen Daten entfaltet ihre praktische Relevanz vor allem im Hinblick auf die Reichweite des Auskunftsrechts der Betroffenen (vgl. grundsätzlich dazu Plath/Kamlah, in Plath, BDSG, § 34 Rz. 7 ff.). Neben der Frage, ob überhaupt solche Daten vorliegen, die ein Auskunftsanspruch begründen, war relevant, wie ein solcher Anspruch zu erfüllen ist.
a) Konsens bei „persönlichen“ Daten
Einigkeit besteht insoweit darüber, dass jeder Betroffene gegen die verantwortliche Stelle ein generelles Recht auf Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten hat. Umstritten war im konkreten Fall jedoch, ob sich aus diesem Auskunftsrecht ein Anspruch auf Überlassung einer Kopie des gesamten Originaldokuments ergibt, in dem die Daten enthalten sind, oder ob es reicht, dem Betroffenen eine Übersicht zu den über ihn gespeicherten Daten zu gewähren.
b) Keine „Ausstrahlungswirkung“ auf weitere Inhalte
Der EuGH hat diese Frage dahingehend entschieden, dass kein Anspruch auf Überlassung einer Kopie des gesamten Dokuments besteht. Vielmehr sei es zur Wahrung des Auskunftsanspruchs ausreichend, wenn die verantwortliche Stelle dem Betroffenen eine „vollständige Übersicht dieser Daten in verständlicher Form“ überlässt, d.h. in einer Form, „die es ihm ermöglicht, von diesen Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der Richtlinie gemäß verarbeitet werden“ (vgl. Rz 60 der EuGH-Entscheidung).
⇨ Folge:
Es kann also lediglich eine Aufstellung der Daten gefordert werden;
es besteht kein weitergehendes Zugriffsrecht auf die (ggf. teilweise geschwärzten) Unterlagen, in denen die personenbezogenen Daten enthalten sind.
5. Auswirkungen der Entscheidung des EuGH auf die Praxis
Die Entscheidung ist von großer praktischer Relevanz, und zwar weit über den konkreten Kontext des Asylrechts bzw. die Kommunikation mit behördlichen Einrichtungen hinaus. Interessant ist die Entscheidung für eine Vielzahl von Branchen wie etwa für Auskunfteien, Personalberater, Banken oder Versicherungen, die zwar u.U. bestimmte Entscheidungen zu beauskunften haben, nicht aber zwingend die Erwägungen, die zu diesen Entscheidungen geführt haben.
a) Auskunftspflicht eng: nur für personenbezogene Daten
Der EuGH stellt nämlich klar, dass die Verwendung personenbezogener Daten in einem Dokument, also beispielsweise einem Rechtsgutachten, jedenfalls in Bezug auf den Auskunftsanspruch nicht unmittelbar auf das gesamte Dokument ausstrahlt. Oder anders formuliert:
Der Umstand, dass ein Text personenbezogene Daten enthält, lässt bezogen auf einen Auskunftsanspruch nicht unmittelbar sämtliche weiteren in dem Text enthaltenen Informationen zu einem personenbezogenen Datum werden.
Dies ist zu begrüßen, denn ansonsten würde jede Verwendung eines personenbezogenen Datums in einem beliebigen Dokument zwingend dazu führen, dass jeweils das gesamte Dokument gegenüber dem bzw. den jeweiligen Betroffenen vorzulegen wäre. Auch wenn der Betroffene ein Interesse an Informationen haben mag, die ihn und seine Lebenssituation betreffen, so ist es nicht der Zweck des Datenschutzrechts, dem Einzelnen einen umfassenden Auskunftsanspruch gegenüber Dritten zu gewähren (!).
b) Schutzmaßnahmen weit: auch Kontext
Unabhängig vom Auskunftsanspruch bleibt die – an sich nicht gewollte – Ausstrahlungswirkung personenbezogener Daten bei der Verarbeitung von Dokumenten allerdings durchaus die Regel sein dürfte. Dies zeigt sich, wenn sich z.B. die Frage stellt, ob ein bestimmtes Dokument an einen Dritten übermittelt oder z.B. auf den Servern eines IT-Dienstleisters gehostet werden darf. Hier gilt: Bereits wenn in diesem Dokument auch nur ein einziges personenbezogenes Datum enthalten ist, sind bei der Verwendung dieses Dokuments die datenschutzrechtlichen Vorgaben, z.B. zur Wahrung der erforderlichen technischen und organisatorischen Maßnahmen, zu beachten (Plath in: Plath, BDSG § 9 Rz 9 ff.).
c) Fragen der Abgrenzung
Schließlich wirft die Entscheidung Abgrenzungsfragen auf. Denn neben den „klassischen“ personenbezogenen Daten mit unmittelbarem Personenbezug (Name, Alter, Staatsangehörigkeit, etc.) dürfte davon auszugehen sein, dass auch der tatsächliche Umstand (z.B. die Verweigerung einer Aufenthaltserlaubnis) ein personenbezogenes Datum darstellen kann, da es „persönliche oder sachliche Verhältnisse“ einer bestimmten Person beschreibt. Insofern müsste in dem vorliegenden Beispiel also der Umstand beauskunftet werden, dass die Aufenthaltserlaubnis verweigert worden ist, nicht jedoch, welches die konkreten Gründe für die Ablehnung waren.