Generalanwalt: Öffentlich abrufbare Daten stellen noch keine Übermittlung in ein Drittland dar

Was genau eine „Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation“ (Art. 45 Abs. 1 S. 1 DSGVO) darstellt, definiert die DSGVO nicht. Der EDSA hat ein, wie ich finde, sehr lesenswertes Papier (Leitlinien 05/2021 https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf PDF) zu dem Thema veröffentlicht, in dem er sich diesem Begriff definitorisch nähert und 3 Merkmale herausstellt, die für eine solche Übermittlung erfüllt sein müssen.

Interessant ist, dass der EDSA in seinem Papier eine der alltäglichsten Situationen nicht anspricht, die aber sogar unter der alten Datenschutzrichtlinie 95/46/EG schon einmal vor dem EuGH lag (in der Sache Lindqvist, C-101/01): findet eine Übermittlung in ein Drittland automatisch statt, wenn personenbezogene Daten öffentlich abrufbar im Internet, also auf einer Webseite, bereitgestellt werden?

Die Antwort auf diese Frage ist durchaus von praktischer Relevanz. Bsp: Daten zu Mitarbeitern auf Unternehmenswebseiten; Daten zu Personen auf Webseiten von News-Portalen etc.

EuGH zur alten Rechtslage

Der EuGH entschied mit Urteil vom 6.11.2003 (Rs C-101/01) noch zu Art. 25 der RL 95/46/EG, dass das Einstellen von personenbezogenen Daten auf einer Webseite, die weltweit abgerufen werden kann, keine „Übermittlung von Daten in ein Drittland“ darstellt (Rz. 70). U.a. begründete der EuGH dies damit, dass bei einer extensiven Auslegung der Übermittlung eine solche dann in jedes Land auf der Welt vorliegen würde. Und:

Damit würde die in Kapitel IV der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen Regelung für Vorgänge im Rahmen des Internets werden.

EDSA

Der EDSA äußert sich in seinen Leitlinien wie gesagt nicht konkret zu dieser Konstellation. Zwar deckt das Beispiel 1 in den Leitlinien eventuell einen Teilaspekt der Diskussion ab. Danach liegt keine Übermittlung nach Kap. V DSGVO vor, wenn ein Betroffener auf einer Webseite selbst Daten eingibt und an einen Verantwortlichen sendet, der außerhalb der EU sitzt.

Jedoch wird dort nicht die Frage beantwortet, was bei Webseiten gilt, auf denen schon personenbezogene Daten durch Verantwortliche eingestellt und öffentlich abrufbar sind. Zudem wird nicht die Konstellation angesprochen, dass der Verantwortliche für die Webseite in der EU sitzt und ob dieser dann Daten automatisch an alle Drittländer sendet.  

Generalanwalt

In seinen Schlussanträgen vom 20.1.2022 in den verbundene Rechtssachen C‑37/20 und C‑601/20 äußert sich der Generalanwalt Pitruzzella nun zumindest mittelbar zu dem Thema. Es ging dort um (teilweise) öffentlich abrufbar Daten auf online zugänglichen Registern.

Da es um den Spezialfall eines Registers ging, legt der Generalanwalt Art. 49 Abs. 1 lit. g) DSGVO aus. Es geht dort auch um die Frage, wann eine Übermittlung in ein Drittland vorliegt. Der Generalanwalt verweist darauf (Rz. 239), dass Art. 49 Abs. 1 lit. g) und Abs. 2 DSGVO speziell für jede Übertragung „aus“ einem öffentlichen Register gilt. Und dann kommt die interessante Feststellung bzw. Ansicht:

„Der Umstand, dass ein Register öffentlich ist, stellt an sich aber noch keine Übermittlung dar.“

Jetzt kann man natürlich argumentieren, dass der Generalanwalt hier allein Register und das Merkmal „aus“ interpretieren wollte. Dem lässt sich aber meines Erachtens entgegenhalten, dass der Generalanwalt ziemlich klar der Frage nachgeht, ob überhaupt eine Übermittlung nach Kap. V DSGVO vorliegt oder nicht. Zudem ist die Aussage des Generalanwalts auch abstrakt verwertbar, etwa für die Situation von Daten auf Webseiten. Darauf bezogen könnte man formulieren: der Umstand, dass eine Webseite öffentlich ist, stellt an sich noch keine Übermittlung der auf ihr vorhandenen Daten dar.

Dies lehnt er hier mit dem Argument ab, dass allein der Umstand, dass ein Register (und damit dort enthaltene Daten) öffentlich abrufbar sind, noch nicht ausreicht. Im Grunde dürfte eine solche Sichtweise mit der alten EuGH Rechtsprechung auf einer Linie liegen.

Spannend an dieser Interpretation ist, dass der Generalanwalt damit wohl auf noch keine „Form der Bereitstellung“ im Sinne von Art. 4 Nr. 2 DSGVO erkennt. Nach der Definition der „Verarbeitung“ liegt eine „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ vor. Der EDSA verweist etwa in seinen Leitlinien auch auf dieses Merkmal der „Bereitstellung“ von Daten.  

Fazit

Der Generalanwalt begründet seine Ansicht nicht weiter. Daher wird man, wie beschrieben, die Aussage auch anders verstehen können. Eventuell wird der EuGH in dem noch folgenden Urteil etwas dazu sagen, ob hier eine Übermittlung im Sinne von Kap. V DSGVO vorliegt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.