Die Übermittlung von personenbezogenen Daten zwischen Behörden bedarf der Information der Betroffenen.
URTEIL DES GERICHTSHOFS (Dritte Kammer)
1. Oktober 2015(*)
„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Verarbeitung personenbezogener Daten – Art. 10 und 11 – Unterrichtung der betroffenen Personen – Art. 13 – Ausnahmen und Beschränkungen – Übermittlung personenbezogener Steuerdaten durch eine Verwaltungsbehörde eines Mitgliedstaats zwecks Verarbeitung dieser Daten durch eine andere Verwaltungsbehörde“
In der Rechtssache C‑201/14
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht von der Curtea de Apel Cluj (Rumänien) mit Entscheidung vom 31. März 2014, beim Gerichtshof eingegangen am 22. April 2014, in dem Verfahren
Smaranda Bara u. a.
gegen
Președintele Casei Naționale de Asigurări de Sănătate,
Casa Naţională de Asigurări de Sănătate,
Agenţia Naţională de Administrare Fiscală (ANAF)
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung des Kammerpräsidenten M. Ilešič, des Richters A. Ó Caoimh, der Richterin C. Toader sowie der Richter E. Jarašiūnas und C. G. Fernlund (Berichterstatter),
Generalanwalt: P. Cruz Villalón,
Kanzler: L. Carrasco Marco, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 29. April 2015,
unter Berücksichtigung der Erklärungen
– von Smaranda Bara u. a., vertreten durch C. F. Costaş und K. Kapcza, avocați,
– der Casa Naţională de Asigurări de Sănătate, vertreten durch V. Ciurchea als Bevollmächtigten,
– der rumänischen Regierung, vertreten durch R. H. Radu, A. Buzoianu, A.-G. Văcaru und D. M. Bulancea als Bevollmächtigte,
– der tschechischen Regierung, vertreten durch M. Smolek und J. Vláčil als Bevollmächtigte,
– der Europäischen Kommission, vertreten durch I. Rogalski, B. Martenczuk und J. Vondung als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 9. Juli 2015
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 124 AEUV sowie der Art. 10, 11 und 13 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).
2 Es ergeht in einem Rechtsstreit zwischen Frau Bara u. a. einerseits und dem Președintele Casei Naționale de Asigurări de Sănătate (Präsident der Nationalen Kasse der Krankenversicherungen), der Casa Națională de Asigurări de Sănătate (Nationale Kasse der Krankenversicherungen, im Folgenden: CNAS) und der Agenția Națională de Administrare Fiscală (Nationale Agentur der Steuerverwaltung, im Folgenden: ANAF) andererseits wegen der Verarbeitung bestimmter Daten.
Rechtlicher Rahmen
Unionsrecht
3 In Art. 2 („Begriffsbestimmungen“) der Richtlinie 95/46 heißt es:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) ‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
c) ‚Datei mit personenbezogenen Daten‘ (‚Datei‘) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten aufgeteilt geführt wird;
d) ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;
…“
4 Art. 3 („Anwendungsbereich“) der Richtlinie lautet:
„(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
– die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
– die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.“
5 Art. 6 der Richtlinie, der die Grundsätze in Bezug auf die Qualität der Daten betrifft, bestimmt:
„(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten
a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;
b) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im Allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;
c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;
d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;
e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten vor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden.
(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.“
6 Art. 7 der Richtlinie, der die Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten betrifft, lautet:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;
c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwie[g]en.“
7 In Art. 10 („Information bei der Erhebung personenbezogener Daten bei der betroffenen Person“) der Richtlinie 95/46 heißt es:
„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
c) weitere Informationen, beispielsweise betreffend
– die Empfänger oder Kategorien der Empfänger der Daten,
– die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“
8 Art. 11 („Informationen für den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden“) der Richtlinie hat folgenden Wortlaut:
„(1) Für den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden, sehen die Mitgliedstaaten vor, dass die betroffene Person bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung,
c) weitere Informationen, beispielsweise betreffend
– die Datenkategorien, die verarbeitet werden,
– die Empfänger oder Kategorien der Empfänger der Daten,
– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
(2) Absatz 1 findet – insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung – keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten geeignete Garantien vor.“
9 Art. 13 („Ausnahmen und Einschränkungen“) der Richtlinie lautet:
(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;
f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.
(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, dass die Daten für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden, können die Mitgliedstaaten in Fällen, in denen offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschränken, wenn die Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht länger als erforderlich lediglich zur Erstellung von Statistiken aufbewahrt werden.“
Rumänisches Recht
Gesetz Nr. 95/2006
10 Der in der Vorlageentscheidung angeführte Art. 215 des Gesetzes Nr. 95/2006 über die Reform im Gesundheitssektor (Legea nr. 95/2006 privind reforma în domeniul sănătății) vom 14. April 2006 (Monitorul Oficial al României, Teil I, Nr. 372 vom 28. April 2006) sieht vor:
„(1) Die Pflicht, den Beitrag zur Krankenversicherung zu leisten, obliegt natürlichen oder juristischen Personen, die auf der Grundlage eines Einzelarbeitsvertrags oder eines speziellen, gesetzlich vorgesehenen Statuts Personen beschäftigen, sowie gegebenenfalls natürlichen Personen.
(2) Die juristischen oder natürlichen Personen, für die die Versicherten ihre Tätigkeit erbringen, sind verpflichtet, den von den Versicherten frei gewählten Krankenkassen gegenüber monatlich namentliche Erklärungen bezüglich der ihnen gegenüber dem Fonds obliegenden Pflichten abzugeben und den Nachweis über die Zahlung der Beiträge zu erbringen.
…“
11 Art. 315 dieses Gesetzes bestimmt:
„Die zur Feststellung der Versicherteneigenschaft erforderlichen Daten werden den Krankenkassen von den Behörden, öffentlichen Einrichtungen und anderen Institutionen auf der Grundlage eines Protokolls kostenfrei übermittelt.“
Erlass Nr. 617/2007 des Präsidenten der CNAS
12 Art. 35 des Erlasses Nr. 617/2007 des Präsidenten der CNAS vom 13. August 2007 zur Genehmigung der Methoden zur Ausstellung der Nachweisdokumente für den Erwerb der Eigenschaft als Versicherter oder beitragsfreier Versicherter und zur Anwendung von Zwangsvollstreckungsmaßnahmen zwecks Beitreibung der dem Nationalen Einheitsfonds der sozialen Krankenversicherungen geschuldeten Beiträge (Monitorul Oficial al României, Teil I, Nr. 649 vom 24. September 2007) bestimmt:
„… [D]er Forderungstitel bezüglich der gegenüber dem Fonds bestehenden Beitragspflichten natürlicher Personen, die aufgrund eines Versicherungsvertrags versichert sind und deren Einkünfte nicht durch die ANAF besteuert werden, [besteht] je nach Fall in der Erklärung …, in dem vom zuständigen Organ der CAS [Krankenkasse] erlassenen Beitragsbescheid oder in Gerichtsentscheidungen über die Forderungen des Fonds. Der Beitragsbescheid kann vom zuständigen Organ der CAS auch auf der Grundlage der von der ANAF auf der Grundlage des Protokolls übermittelten Informationen erlassen werden.“
Protokoll von 2007
13 In Art. 4 des zwischen der CNAS und der ANAF geschlossenen Protokolls P 5282/26.10.2007/95896/30.10.2007 (im Folgenden: Protokoll von 2007) heißt es:
„Nach dem Inkrafttreten des vorliegenden Protokolls liefert die [ANAF] durch ihre nachgeordneten Stellen in elektronischer Form den ursprünglichen Datenbestand betreffend
a) die Einkünfte der Personen, die den Kategorien nach Art. l Abs. l des vorliegenden Protokolls angehören, und jeweils vierteljährlich die Aktualisierung dieser Daten an die [CNAS] auf Datenträgern, die eine automatisierte Verarbeitung ermöglichen, nach Maßgabe des Anhangs 1 des vorliegenden Protokolls …
…“
Ausgangsverfahren und Vorlagefragen
14 Die Kläger des Ausgangsverfahrens erzielen Einkünfte aus selbständiger Tätigkeit. Die ANAF übermittelte der CNAS die Daten über die von ihnen erklärten Einkünfte. Auf der Grundlage dieser Daten verlangte die CNAS die Zahlung rückständiger Krankenversicherungsbeiträge.
15 Die Kläger des Ausgangsverfahrens erhoben Klage bei der Curtea de Apel Cluj, mit der sie geltend machten, die Übermittlung der Steuerdaten über ihre Einkünfte verstoße gegen die Richtlinie 95/46. Sie tragen vor, diese personenbezogenen Daten seien auf der Grundlage eines bloßen internen Protokolls zu anderen Zwecken als denen, zu denen sie ursprünglich der ANAF mitgeteilt worden seien, ohne ihre ausdrückliche Einwilligung und ohne ihre vorherige Unterrichtung übermittelt und verwendet worden.
16 Aus der Vorlageentscheidung geht hervor, dass öffentliche Einrichtungen aufgrund des Gesetzes Nr. 95/2006 ermächtigt sind, den Krankenkassen personenbezogene Daten zu übermitteln, um es ihnen zu ermöglichen, die Versicherteneigenschaft der betroffenen Personen festzustellen. Diese Daten betreffen die Personalien (Vor- und Zuname, persönliche Identifikationsnummer, Anschrift), schließen aber keine Informationen über die erzielten Einkünfte ein.
17 Das vorlegende Gericht möchte wissen, ob die Verarbeitung der Daten durch die CNAS eine vorherige Unterrichtung der betroffenen Personen über die Identität des für die Verarbeitung Verantwortlichen und den Zweck der Übermittlung dieser Daten erfordert hätte. Es hat ferner darüber zu befinden, ob die Übermittlung der Daten auf der Grundlage des Protokolls von 2007 gegen die Bestimmungen der Richtlinie 95/46 verstößt, nach denen jede Einschränkung der Rechte der betroffenen Personen durch Gesetz vorgesehen und mit Garantien versehen sein muss, insbesondere wenn die Daten gegen die betroffenen Personen verwendet werden.
18 Unter diesen Umständen hat die Curtea de Apel Cluj beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist die nationale Steuerbehörde in ihrer Eigenschaft als Vertreterin des zuständigen Ministeriums eines Mitgliedstaats ein Finanzinstitut im Sinne von Art. 124 AEUV?
2. Kann die Übermittlung des Datenbestands betreffend die von den Staatsangehörigen eines Mitgliedstaats erzielten Einkünfte von der nationalen Steuerbehörde an eine andere Einrichtung dieses Mitgliedstaats im Wege eines einem Verwaltungsakt gleichzusetzenden Rechtsakts, nämlich eines zwischen der nationalen Steuerverwaltung und einer anderen staatlichen Einrichtung geschlossenen Protokolls, geregelt werden, ohne dass dies einen bevorrechtigten Zugang im Sinne von Art. 124 AEUV darstellt?
3. Stellt die Übermittlung des Datenbestands zu dem Zweck, den Staatsangehörigen eines Mitgliedstaats eine Pflicht zur Zahlung von Sozialabgaben an die Einrichtung dieses Mitgliedstaats aufzuerlegen, an die die Übermittlung erfolgt, einen „aufsichtsrechtlichen Grund“ im Sinne von Art. 124 AEUV dar?
4. Dürfen personenbezogene Daten von einer Behörde verarbeitet werden, die nicht Adressat dieser Daten war, wenn eine solche Vorgehensweise rückwirkend einen Vermögensschaden verursacht?
Zu den Vorlagefragen
Zur Zulässigkeit
Zur Zulässigkeit der ersten drei Fragen
19 Nach ständiger Rechtsprechung kann der Gerichtshof die Entscheidung über die Vorlagefrage eines nationalen Gerichts ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn er nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine sachdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (vgl. Urteil PreussenElektra, C‑379/98, EU:C:2001:160, Rn. 39 und die dort angeführte Rechtsprechung).
20 In allen beim Gerichtshof eingereichten Erklärungen werden die ersten drei Vorlagefragen zur Auslegung von Art. 124 AEUV als unzulässig angesehen, weil sie in keinem Zusammenhang mit dem Gegenstand des Ausgangsrechtsstreits stehen.
21 Insoweit ist darauf hinzuweisen, dass Art. 124 AEUV zum Dritten Teil, Titel VIII, des AEU-Vertrags gehört, der die Wirtschafts- und Währungspolitik betrifft. Er verbietet Maßnahmen, die nicht aus aufsichtsrechtlichen Gründen getroffen werden und einen bevorrechtigten Zugang der Organe, Einrichtungen oder sonstigen Stellen der Union, der Zentralregierungen, der regionalen oder lokalen Gebietskörperschaften oder anderen öffentlich-rechtlichen Körperschaften, sonstiger Einrichtungen des öffentlichen Rechts oder öffentlicher Unternehmen der Mitgliedstaaten zu den Finanzinstituten schaffen.
22 Dieses Verbot geht auf Art. 104a EG-Vertrag (später Art. 102 EG) zurück, der mit dem Maastrichter Vertrag in den EG-Vertrag eingefügt wurde. Es ist Teil der Bestimmungen des AEU-Vertrags über die Wirtschaftspolitik, die die Mitgliedstaaten dazu anhalten sollen, eine gesunde Haushaltspolitik zu befolgen, indem vermieden wird, dass eine monetäre Finanzierung öffentlicher Defizite oder Privilegien der öffentlichen Hand auf den Finanzmärkten zu einer übermäßigen Verschuldung oder überhöhten Defiziten der Mitgliedstaaten führen (vgl. in diesem Sinne Urteil Gauweiler u. a., C‑62/14, EU:C:2015:400, Rn. 100).
23 Die erbetene Auslegung von Art. 124 AEUV steht somit offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits, in dem es um den Schutz personenbezogener Daten geht.
24 Die ersten drei Fragen sind daher nicht zu beantworten.
Zur Zulässigkeit der vierten Frage
25 Nach Ansicht der CNAS und der rumänischen Regierung ist die vierte Frage unzulässig. Die rumänische Regierung sieht keinen Zusammenhang zwischen dem von den Klägern des Ausgangsverfahrens geltend gemachten Schaden und der Nichtigerklärung der im Rahmen des Ausgangsverfahrens angefochtenen Verwaltungsakte.
26 Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs eine Vermutung für die Entscheidungserheblichkeit der Vorlagefragen des nationalen Gerichts spricht, die es zur Auslegung des Unionsrechts in dem rechtlichen und sachlichen Rahmen stellt, den es in eigener Verantwortung festgelegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat. Der Gerichtshof kann die Entscheidung über das Vorabentscheidungsersuchen eines nationalen Gerichts nur ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn er nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine sachdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil Fish Legal und Shirley, C‑279/12, EU:C:2013:853, Rn. 30 und die dort angeführte Rechtsprechung).
27 Im Ausgangsverfahren geht es um die Rechtmäßigkeit der Verarbeitung von Steuerdaten, die von der ANAF erhoben wurden. Das vorlegende Gericht fragt nach der Auslegung der Bestimmungen der Richtlinie 95/46 im Rahmen einer Prüfung der Rechtmäßigkeit der Übermittlung dieser Daten an die CNAS und ihrer anschließenden Verarbeitung. Die vierte Vorlagefrage ist somit entscheidungserheblich und hinreichend genau, um dem Gerichtshof eine sachdienliche Beantwortung zu ermöglichen. Das Vorabentscheidungsersuchen ist daher in Bezug auf die vierte Frage als zulässig anzusehen.
Zur Beantwortung der Frage
28 Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob die Art. 10, 11 und 13 der Richtlinie 95/46 dahin auszulegen sind, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.
29 Hierzu ist auf der Grundlage der Angaben des vorlegenden Gerichts festzustellen, dass die Steuerdaten, die von der ANAF an die CNAS übermittelt wurden, personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 sind, da es sich um „Informationen über eine bestimmte oder bestimmbare natürliche Person“ handelt (Urteil Satakunnan Markkinapörssi und Satamedia, C‑73/07, EU:C:2008:727, Rn. 35). Sowohl ihre Übermittlung durch die ANAF – der mit der Verwaltung der Datenbank, in der die Daten zusammengetragen sind, betrauten Stelle – als auch ihre anschließende Verarbeitung durch die CNAS weisen somit die Merkmale einer „Verarbeitung personenbezogener Daten“ im Sinne von Art. 2 Buchst. b der Richtlinie auf (vgl. in diesem Sinne insbesondere Urteile Österreichischer Rundfunk u. a., C‑465/00, C‑138/01 und C‑139/01, EU:C:2003:294, Rn. 64, und Huber, C‑524/06, EU:C:2008:724, Rn. 43).
30 Gemäß den Bestimmungen des Kapitels II („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) der Richtlinie 95/46 muss jede Verarbeitung personenbezogener Daten – vorbehaltlich der in Art. 13 zugelassenen Ausnahmen – den in Art. 6 der Richtlinie aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und einem der in Art. 7 der Richtlinie angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (Urteile Österreichischer Rundfunk u. a., C‑465/00, C‑138/01 und C‑139/01, EU:C:2003:294, Rn. 65, Huber, C‑524/06, EU:C:2008:724, Rn. 48, sowie ASNEF und FECEMD, C‑468/10 und C‑469/10, EU:C:2011:777, Rn. 26).
31 Darüber hinaus trifft den für die Verarbeitung der Daten Verantwortlichen oder seinen Vertreter eine Unterrichtungspflicht, deren Modalitäten, die in den Art. 10 und 11 der Richtlinie 95/46 festgelegt sind, sich danach unterscheiden, ob die betreffenden Daten bei der betroffenen Person erhoben wurden oder nicht; zudem lässt Art. 13 der Richtlinie Ausnahmen von dieser Unterrichtungspflicht zu.
32 Erstens sieht Art. 10 der Richtlinie 95/46 vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die in den Buchst. a bis c dieses Artikels genannten Informationen erhält, sofern diese ihr noch nicht vorliegen. Diese Informationen betreffen die Identität des für die Verarbeitung der Daten Verantwortlichen, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten. Als weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten, sind in Art. 10 Buchst. c der Richtlinie ausdrücklich „die Empfänger oder Kategorien der Empfänger der Daten“ sowie „das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich [die betroffene Person] betreffender Daten“ genannt.
33 Wie der Generalanwalt in Nr. 74 seiner Schlussanträge ausgeführt hat, ist dieses Erfordernis einer Unterrichtung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen umso wichtiger, als es die Voraussetzung dafür schafft, dass sie ihr in Art. 12 der Richtlinie 95/46 festgelegtes Auskunfts- und Berichtigungsrecht in Bezug auf die verarbeiteten Daten und ihr in Art. 14 der Richtlinie geregeltes Recht, der Verarbeitung der Daten zu widersprechen, ausüben können.
34 Folglich verpflichtet das in Art. 6 der Richtlinie 95/46 vorgesehene Erfordernis der Verarbeitung personenbezogener Daten nach Treu und Glauben eine Verwaltungsbehörde, die betroffenen Personen davon zu unterrichten, dass die personenbezogenen Daten an eine andere Verwaltungsbehörde weitergeleitet werden, um von dieser in ihrer Eigenschaft als deren Empfänger verarbeitet zu werden.
35 Aus den Erläuterungen des vorlegenden Gerichts geht hervor, dass die Kläger des Ausgangsverfahrens von der ANAF nicht über die Übermittlung der sie betreffenden personenbezogenen Daten an die CNAS unterrichtet worden waren.
36 Die rumänische Regierung macht allerdings geltend, die ANAF sei u. a. aufgrund von Art. 315 des Gesetzes Nr. 95/2006 verpflichtet, den regionalen Krankenkassen die für die Feststellung der Versicherteneigenschaft von Personen mit Einkünften aus selbständiger Tätigkeit durch die CNAS erforderlichen Informationen zu übermitteln.
37 Art. 315 des Gesetzes Nr. 95/2006 sieht zwar ausdrücklich vor, dass „[d]ie zur Feststellung der Versicherteneigenschaft erforderlichen Daten … den Krankenkassen von den Behörden, öffentlichen Einrichtungen und anderen Institutionen auf der Grundlage des Protokolls kostenfrei übermittelt [werden]“. Aus den Erläuterungen des vorlegenden Gerichts ergibt sich jedoch, dass zu den Daten, die im Sinne dieser Vorschrift zur Feststellung der Versicherteneigenschaft erforderlich sind, keine Daten über die Einkünfte gehören, zumal das Gesetz die Versicherteneigenschaft auch Personen ohne steuerpflichtige Einkünfte zuerkennt.
38 Unter diesen Umständen kann Art. 315 des Gesetzes Nr. 95/2006 keine vorherige Unterrichtung im Sinne von Art. 10 der Richtlinie 95/46 darstellen, die es ermöglichte, den für die Verarbeitung Verantwortlichen von seiner Pflicht zu entbinden, die Personen, bei denen er die Daten über ihre Einkünfte erhebt, über den Empfänger dieser Daten zu informieren. Daher kann nicht davon ausgegangen werden, dass die in Rede stehende Übermittlung unter Beachtung der Bestimmungen des Art. 10 der Richtlinie 95/46 stattfand.
39 Zu prüfen ist, ob die unterbliebene Unterrichtung der betroffenen Personen möglicherweise von Art. 13 der Richtlinie 95/46 gedeckt ist. Aus Art. 13 Abs. 1 Buchst. e und f geht nämlich hervor, dass die Mitgliedstaaten die Pflichten und Rechte gemäß Art. 10 beschränken können, sofern eine solche Beschränkung notwendig ist für „ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats … einschließlich Währungs-, Haushalts- und Steuerangelegenheiten“ sowie für „Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind“. Art. 13 verlangt jedoch ausdrücklich, dass derartige Beschränkungen durch Rechtsvorschriften vorgenommen werden.
40 Abgesehen davon, dass – wie das vorlegende Gericht ausführt – die Daten über die Einkünfte nicht zu den personenbezogenen Daten gehören, die zur Feststellung der Versicherteneigenschaft erforderlich sind, ist auch hervorzuheben, dass Art. 315 des Gesetzes Nr. 95/2006 nur den Grundsatz aufstellt, dass diese im Besitz von Behörden, öffentlichen Einrichtungen und anderen Institutionen befindlichen personenbezogenen Daten übermittelt werden können. Aus der Vorlageentscheidung geht ferner hervor, dass die übermittlungsfähigen Informationen sowie die Modalitäten ihrer Übermittlung nicht durch Rechtsvorschriften festgelegt wurden, sondern durch das zwischen der ANAF und der CNAF geschlossene Protokoll von 2007, das nicht Gegenstand einer amtlichen Veröffentlichung war.
41 Unter diesen Umständen kann nicht davon ausgegangen werden, dass die in Art. 13 der Richtlinie 95/46 aufgestellten Voraussetzungen erfüllt sind, damit ein Mitgliedstaat eine Ausnahme von den sich aus Art. 10 dieser Richtlinie ergebenden Rechten und Pflichten vorsehen kann.
42 Zweitens sieht Art. 11 der Richtlinie 95/46 in Abs. 1 vor, dass im Fall von Daten, die nicht bei der betroffenen Person erhoben wurden, die betroffene Person vom für die Verarbeitung Verantwortlichen die in den Buchst. a bis c genannten Informationen erhält. Diese Informationen betreffen die Identität des für die Verarbeitung Verantwortlichen, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten. Zu den weiteren Informationen gehören nach dem ausdrücklichen Wortlaut von Art. 11 Abs. 1 Buchst. c der Richtlinie „die Datenkategorien, die verarbeitet werden“ sowie „das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten“.
43 Folglich war nach Art. 11 Abs. 1 Buchst. b und c der Richtlinie 95/46 unter Umständen wie denen des Ausgangsverfahrens Voraussetzung für die Verarbeitung der von der ANAF übermittelten Daten durch die CNAF, dass die von diesen Daten betroffenen Personen über die Zweckbestimmungen der Verarbeitung sowie über die Datenkategorien, die verarbeitet werden, unterrichtet wurden.
44 Aus den Erläuterungen des vorlegenden Gerichts ergibt sich jedoch, dass die Kläger des Ausgangsverfahrens die in Art. 11 Abs. 1 Buchst. a bis c der Richtlinie 95/46 genannten Informationen von der CNAS nicht erhalten haben.
45 Hinzuzufügen ist, dass nach Art. 11 Abs. 2 der Richtlinie 95/46 die Bestimmungen von Art. 11 Abs. 1 dieser Richtlinie u. a. dann keine Anwendung finden, wenn die Speicherung oder Weitergabe der Daten durch Gesetz vorgesehen ist, wobei die Mitgliedstaaten in diesem Fall geeignete Garantien vorsehen müssen. Aus den in den Rn. 40 und 41 des vorliegenden Urteils genannten Gründen lassen sich jedoch die von der rumänischen Regierung angeführten Bestimmungen des Gesetzes Nr. 95/2006 und das Protokoll von 2007 weder unter die Ausnahmeregelung in Art. 11 Abs. 2 noch unter die in Art. 13 der Richtlinie subsumieren.
46 Nach alledem ist auf die Vorlagefrage zu antworten, dass die Art. 10, 11 und 13 der Richtlinie 95/46 dahin auszulegen sind, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.
Kosten
47 Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Die Art. 10, 11 und 13 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.
Gefällt mir:
Gefällt mir Wird geladen...
