Auf die Religionsgemeinschaft der Zeugen Jehovas findet die EG-Richtlinie 95/46 Anwendung; auch für die Zeugen Jehovas gelten also die datenschutzrechtlichen Pflichten. Dies hat der Europäische Gerichtshof (EuGH) im Wege des Vorabentscheidungsverfahrens mit Urteil vom 10.07.2018 (Az. C-25/17) entschieden.
Hintergrund der Entscheidung
Das Vorabentscheidungsgesuch des Obersten Verwaltungsgerichtshofs in Finnland (Korkein hallinto-oikeus) betrifft die Frage der Anwendbarkeit der EG-Richtlinie 95/46 auf die Religionsgemeinschaft der Zeugen Jehovas und die Einhaltung der in der Richtlinie festgelegten Datenschutzpflichten.
Hintergrund des Verfahrens war das Verbot der finnischen Datenschutzkommission (Tietosuojalautakunta) gegenüber der Religionsgemeinschaft der Zeugen Jehovas in Finnland (Jehovan todistajat – uskonnollinen yhdyskunta), im Rahmen der von Tür zu Tür durchgeführten Verkündigungstätigkeit personenbezogene Daten zu erheben, ohne dass im Rahmen der Verarbeitung die datenschutzrechtlichen Vorgaben beachtet werden.
Personenbezogene Daten bei Verkündigungstätigkeit
Im Rahmen der von Tür zu Tür durchgeführten Verkündigungstätigkeit fertigen die Mitglieder der Gemeinschaft Notizen über ihre Besuche an. Dabei halten sie personenbezogene Daten wie Namen, Adresse, Familienverhältnisse und religiöse Überzeugungen als Gedankenstütze fest, damit diese Daten bei einem nächsten Besuch vorliegen und wieder genutzt werden können. Es liegt dafür weder eine Einwilligung der betroffenen Personen in die Datenverarbeitung vor noch werden die betroffenen Personen über die Datenerhebung entsprechend den Vorgaben informiert.
Darüber hinaus erstellt die Religionsgemeinschaft Gebietskarten, die sowohl die Aufteilung des Gebietes in Bezirke für die jeweiligen Verkündiger, aber auch Verzeichnisse über die Verkündiger und die Zahl der von ihnen verbreiteten Publikationen beinhalten. Daneben führt die Religionsgemeinschaft ebenfalls eine Aufzeichnung über die Personen, die ein erneutes Aufsuchen durch die Zeugen Jehovas nicht mehr wünschen.
Anwendbarkeit der EG-Richtlinie 95/46
Der EuGH erklärte die EG-Richtlinie 95/46 für die Religionsgemeinschaft der Zeugen Jehovas für anwendbar. Im Einzelnen:
Keine Anwendbarkeit wegen ausschließlich persönlichen oder familiären Charakters?
Eine Ausnahme, die der sachlichen Anwendbarkeit der EG-Richtlinie 95/46 entgegenstehen würde, bestehe gerade nicht. Als eine solche potentielle Ausnahme diskutierte der EuGH Art. 3 Abs. 2 der EG-Richtlinie 95/46: Danach ist die Richtlinie nicht anwendbar, wenn die Verarbeitung durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt.
Die von Tür zu Tür durchgeführte Verkündigungstätigkeit habe allerdings keinen ausschließlich persönlichen oder familiären Charakter; vielmehr liege die Verkündigungstätigkeit gerade nicht mehr in der persönlichen Sphäre des verkündigenden Mitglieds der Religionsgemeinschaft. Wesentlicher Zweck der Verkündigungstätigkeit von Tür zu Tür sei gerade die Verbreitung des Glaubens. Auch die Religionsfreiheit aus Art. 10 Charta der Grundrechte der Europäischen Union führe nicht zu einer Einstufung als ausschließlich persönliche oder familiäre Tätigkeit.
Anwendbarkeit auf nicht-automatisierte Verarbeitung?
Art. 3 Abs. 1 der Richtlinie legt fest, dass die die datenschutzrechtlichen Grundsätze für ganz oder teilweise automatisierte Verarbeitungen sowie für nicht automatisierte Verarbeitungen, die in einer Datei gespeichert sind, gelten.
Da die personenbezogenen Daten durch die Verkündiger manuell erfasst werden, kommt es also entscheidend darauf an, ob die Sammlung der personenbezogenen Daten als Datei (vgl. Art. 2 lit. c EG-Richtlinie 95/46) erfolgt. Eine Datei wird dabei als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird“ definiert.
Der EuGH urteilte, dass als Datei jede Sammlung der – während bei einer Verkündigungstätigkeit erhobenen – personenbezogenen Daten (Name, Adresse, weitere Informationen über die betroffene Person) verstanden werden kann, wenn sie strukturiert ist, sodass die schnelle Wiederauffindbarkeit der Daten garantiert werden kann. Einer Aufbewahrung in einem Verzeichnis oder Ordnungssystem bedarf es dabei nicht zwingend.
Eine Strukturierung könne nach Kriterien zur Vorbereitung weiterer Besuche, aber auch zur Vorbereitung der Erstellung von Listen von Personen, die nicht wieder aufgesucht werden möchten, erfolgen. Die tatsächliche Strukturierung sei allerdings dann ohne Belang, wenn innerhalb der Datensammlung Daten über eine bestimmte aufgesuchte Person leicht wiederauffindbar sind. Ob die personenbezogenen Daten tatsächlich leicht wiederauffindbar sind, muss das finnische Gericht nun beurteilen.
Gemeinsame Verantwortlichkeit zwischen Religionsgemeinschaft und Verkündiger
Aber wer ist denn nun für die Verarbeitung verantwortlich? Die Religionsgemeinschaft, der Verkündiger oder gar beide?
Nach Art. 2 lit. d der Richtlinie ist Verantwortlicher derjenige, der Entscheidungen über Zwecke und Mittel der Verarbeitung trifft. Dabei kann der Verantwortliche entweder allein oder auch gemeinsam mit anderen (gemeinsame Verantwortlichkeit) diese Entscheidung treffen. Eine unterschiedlich intensive Beteiligung an der Verarbeitung kann dabei im Einzelfall den Grad der Verantwortlichkeit bestimmen.
Der EuGH hielt fest, dass die Entscheidung über Zwecke und Mittel nicht zwingend einer schriftlichen Anweisung des Verantwortlichen bedarf. Vielmehr kann als Verantwortlicher auch derjenige gesehen werden, der aus Eigeninteresse Einfluss auf die Entscheidung über Zwecke und Mittel nimmt und an der Verarbeitung beteiligt ist. Die gemeinsame Verantwortlichkeit bedinge darüber hinaus nicht zwingend den Zugang zu den personenbezogenen Daten.
Zwar obliegt dem verkündigenden Mitglied die Entscheidung darüber, welche Daten es in welcher Form erhebt. Eine gemeinsame Verantwortlichkeit zwischen Religionsgemeinschaft und den Verkündigern kann dennoch vorliegen. Die Religionsgemeinschaft organisiere, koordiniere und ermuntere die Verkündiger, sodass eine Beteiligung an der Verarbeitung bejaht werden könne. Eine abschließende Beurteilung der gemeinsamen Verantwortlichkeit unter Würdigung aller Umstände obliegt nun dem finnischen Gericht.
Hat die Entscheidung auch nach Wirksamwerden der DSGVO Relevanz?
Auch wenn die Entscheidung des EuGH zu vermeintlich „altem Recht“, nämlich der EG-Richtlinie 95/46, ergangen ist, lassen sich die Ergebnisse des EuGH auch auf die seit dem 25.05.2018 wirksame und die EG-Richtlinie ablösende Datenschutz-Grundverordnung (DS-GVO) übertragen:
1) Auch die DS-GVO statuiert eine Ausnahme vom Anwendungsbereich, wenn eine Verarbeitung von personenbezogenen Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (Art. 2 Abs. 2 lit. c DS-GVO).
2) Ebenso erklärt Art. 2 Abs. 1 DS-GVO den sachlichen Anwendungsbereich für ganz oder teilweise automatisierte Verarbeitungen sowie für nichtautomatisierte Verarbeitungen, die in einem Dateisystem gespeichert sind oder gespeichert werden, für eröffnet. Anders als die EG-Richtlinie 95/46 verwendet die Datenschutz-Grundverordnung nunmehr den Begriff des „Dateisystems“.
Ein Dateisystem wird als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“ verstanden (Art. 4 Nr. 6 DS-GVO).
3) Auch Art. 4 Nr. 7 DS-GVO stellt für die Einstufung als „Verantwortlicher“ auf die Entscheidung über Zwecke und Mittel der Verarbeitung ab. Diese Entscheidung kann der Verantwortliche allein (alleinige Verantwortlichkeit) oder auch gemeinsam mit anderen (gemeinsame Verantwortlichkeit, Art. 26 DS-GVO) treffen.
Achtung: Gegenüber der betroffenen Person gelten gemeinsam Verantwortliche im Außenverhältnis als Gesamtschuldner, Art. 82 Abs. 4 DS-GVO. Auch kann jede betroffene Person gegenüber jedem Verantwortlichen ihre Rechte geltend machen ungeachtet des Grads der Verantwortlichkeit, Art. 26 Abs. 3 DS-GVO. Lediglich im Innenverhältnis kann der Grad der Verantwortlichkeit bei einem etwaigen Regress zwischen den Verantwortlichen Bedeutung erlangen.
Haben Sie Fragen zur Anwendbarkeit der Datenschutz-Grundverordnung, zu Datenschutzpflichten oder zur gemeinsamen Verantwortlichkeit? Unser Team hilft Ihnen gerne weiter.