16.07.2021 · IWW-Abrufnummer 223547

Europäischer Gerichtshof: Urteil vom 22.06.2021 – C-439/19

Diese Entscheidung enthält keinen zur Veröffentlichung bestimmten Leitsatz.

URTEIL DES GERICHTSHOFS (Große Kammer)

22. Juni 2021(*)

„Vorlage zur Vorabentscheidung ‒ Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ‒ Verordnung (EU) 2016/679 ‒ Art. 5, 6 und 10 ‒ Nationale Regelung, die den Zugang der Öffentlichkeit zu personenbezogenen Daten über Strafpunkte für Verkehrsverstöße vorsieht ‒ Rechtmäßigkeit ‒ Begriff der ‚personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten‘ ‒ Offenlegung zum Zweck der Verbesserung der Straßenverkehrssicherheit ‒ Zugangsrecht der Öffentlichkeit zu amtlichen Dokumenten ‒ Informationsfreiheit ‒ Ausgleich mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten ‒ Weiterverwendung der Daten ‒ Art. 267 AEUV ‒ Zeitliche Wirkungen einer Vorabentscheidung ‒ Für das Verfassungsgericht eines Mitgliedstaats bestehende Möglichkeit, die Rechtswirkungen einer mit dem Unionsrecht unvereinbaren nationalen Regelung aufrechtzuerhalten ‒ Grundsätze des Vorrangs des Unionsrechts und der Rechtssicherheit“

In der Rechtssache C‑439/19

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht von der Latvijas Republikas Satversmes tiesa (Verfassungsgericht, Lettland) mit Entscheidung vom 4. Juni 2019, beim Gerichtshof eingegangen am 11. Juni 2019, in dem Verfahren auf Betreiben von

B,

Beteiligte:

Latvijas Republikas Saeima,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten K. Lenaerts, der Vizepräsidentin R. Silva de Lapuerta, der Kammerpräsidenten J.‑C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (Berichterstatter) und N. Piçarra, der Richter E. Juhász, M. Safjan, D. Šváby, S. Rodin und F. Biltgen, der Richterin K. Jürimäe sowie der Richter C. Lycourgos und P. G. Xuereb,

Generalanwalt: M. Szpunar,

Kanzler: A. Calot Escobar,

aufgrund des schriftlichen Verfahrens,

unter Berücksichtigung der Erklärungen

‒        der lettischen Regierung, ursprünglich vertreten durch V. Soņeca und K. Pommere, dann durch K. Pommere als Bevollmächtigte,

‒        der niederländischen Regierung, vertreten durch K. Bulterman und M. Noort als Bevollmächtigte,

‒        der österreichischen Regierung, vertreten durch J. Schmoll und G. Kunnert als Bevollmächtigte,

‒        der portugiesischen Regierung, vertreten durch L. Inez Fernandes, P. Barros da Costa, A. C. Guerra und I. Oliveira als Bevollmächtigte,

‒        der schwedischen Regierung, vertreten durch C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson und J. Lundberg als Bevollmächtigte,

‒        der Europäischen Kommission, vertreten durch D. Nardi, H. Kranenborg und I. Rubene als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 17. Dezember 2020

folgendes

Urteil

Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 5, 6 und 10 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO), von Art. 1 Abs. 2 Buchst. cc der Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. 2003, L 345, S. 90) in der durch die Richtlinie 2013/37/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 (ABl. 2013, L 175, S. 1) geänderten Fassung (im Folgenden: Richtlinie 2003/98) sowie der Grundsätze des Vorrangs des Unionsrechts und der Rechtssicherheit.

Es ergeht im Rahmen eines Verfahrens auf Betreiben von B betreffend die Rechtmäßigkeit einer nationalen Regelung, die den Zugang der Öffentlichkeit zu personenbezogenen Daten über Strafpunkte für Verkehrsverstöße vorsieht.

Rechtlicher Rahmen

Unionsrecht

Richtlinie 95/46/EG

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) wurde durch die DSGVO mit Wirkung vom 25. Mai 2018 aufgeboben. Art. 3 („Anwendungsbereich“) dieser Richtlinie lautete:

„(1)      Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(2)      Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

‒        die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des [EU-]Vertrags [in der Fassung vor dem Vertrag von Lissabon], und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

…“

DSGVO

In den Erwägungsgründen 1, 4, 10, 16, 19, 39, 50 und 154 der DSGVO heißt es:

„(1)      Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

…

(4)      Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

…

(10)      Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden....

…

(16)      Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

…

(19)      Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates [vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89),] unterliegen....

…

(39)      ... Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.... Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann....

…

(50)      Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird....

…

(154)      Diese Verordnung ermöglicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten kann als öffentliches Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden, sollten von dieser Behörde oder Stelle öffentlich offengelegt werden können, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist. Diese Rechtsvorschriften sollten den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten in Einklang bringen und können daher die notwendige Übereinstimmung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung regeln. Die Bezugnahme auf Behörden und öffentliche Stellen sollte in diesem Kontext sämtliche Behörden oder sonstigen Stellen beinhalten, die vom Recht des jeweiligen Mitgliedstaats über den Zugang der Öffentlichkeit zu Dokumenten erfasst werden. Die Richtlinie 2003/98/EG... lässt das Schutzniveau für natürliche Personen in Bezug auf die Verarbeitung personenbezogener Daten gemäß den Bestimmungen des Unionsrechts und des Rechts der Mitgliedstaaten unberührt und beeinträchtigt diese[s] in keiner Weise, und sie bewirkt insbesondere keine Änderung der in dieser Verordnung dargelegten Rechte und Pflichten. Insbesondere sollte die genannte Richtlinie nicht für Dokumente gelten, die nach den Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder nur eingeschränkt zugänglich sind, oder für Teile von Dokumenten, die nach diesen Regelungen zugänglich sind, wenn sie personenbezogene Daten enthalten, bei denen Rechtsvorschriften vorsehen, dass ihre Weiterverwendung nicht mit dem Recht über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist.“

Art. 1 („Gegenstand und Ziele“) der DSGVO bestimmt:

„(1)      Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)      Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)      Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Art. 2 („Sachlicher Anwendungsbereich“) Abs. 1 und 2 der DSGVO sieht vor:

„(1)      Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2)      Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a)      im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b)      durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c)      durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d)      durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“

In Art. 4 („Begriffsbestimmungen“) der DSGVO heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.      ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person... beziehen...

2.      ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…

7.      ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

…“

Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der DSGVO sieht vor:

„(1)      Personenbezogene Daten müssen

a)      auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b)      für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;... (‚Zweckbindung‘);

c)      dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d)      sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e)      in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;... (‚Speicherbegrenzung‘);

f)      in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘).

(2)      Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

Art. 6 („Rechtmäßigkeit der Verarbeitung“) der DSGVO sieht in Abs. 1 vor:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)      Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)      die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)      die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)      die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)      die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)      die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“

Art. 10 („Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“) der DSGVO lautet:

„Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.“

Art. 51 („Aufsichtsbehörde“) Abs. 1 der DSGVO lautet:

„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“

Art. 85 („Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit“) der DSGVO bestimmt in Abs. 1:

„Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.“

Art. 86 („Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten“) der DSGVO sieht vor:

„Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.“

In Art. 87 („Verarbeitung der nationalen Kennziffer“) der DSGVO heißt es:

„Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden.“

Art. 94 der DSGVO bestimmt:

„(1) Die Richtlinie [95/46] wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. ...“

Richtlinie 2016/680

Die Erwägungsgründe 10, 11 und 13 der Richtlinie 2016/680 lauten:

„(10)      In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte spezifische Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen.

(11)      Daher sollte diesen Bereichen durch eine Richtlinie Rechnung getragen werden, die spezifische Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, enthält, wobei den Besonderheiten dieser Tätigkeiten Rechnung getragen wird. Diese zuständigen Behörden können nicht nur staatliche Stellen wie die Justizbehörden, die Polizei oder andere Strafverfolgungsbehörden einschließen, sondern auch alle anderen Stellen oder Einrichtungen, denen durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse für die Zwecke dieser Richtlinie übertragen wurde. Wenn solche Stellen oder Einrichtungen jedoch personenbezogene Daten zu anderen Zwecken als denen dieser Richtlinie verarbeiten, gilt die [DSGVO]. Daher gilt die [DSGVO] in Fällen, in denen eine Stelle oder Einrichtung personenbezogene Daten zu anderen Zwecken erhebt und diese personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der sie unterliegt, weiterverarbeitet. …

…

(13)      Eine Straftat im Sinne dieser Richtlinie sollte ein eigenständiger Begriff des Unionsrechts in der Auslegung durch den Gerichtshof der Europäischen Union... sein.“

Art. 3 der Richtlinie 2016/680 bestimmt:

„Im Sinne dieser Richtlinie bezeichnet der Ausdruck:

…

7.      ‚zuständige Behörde‘

a)      eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist, oder

b)      eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, übertragen wurde;

…“

Richtlinie 2003/98

Im 21. Erwägungsgrund der Richtlinie 2003/98 heißt es:

„Diese Richtlinie sollte unter uneingeschränkter Beachtung der Grundsätze des Schutzes personenbezogener Daten nach der Richtlinie [95/46] durchgeführt und angewandt werden.“

In Art. 1 („Gegenstand und Anwendungsbereich“) der Richtlinie 2003/98 heißt es:

„(1)      Diese Richtlinie enthält einen Mindestbestand an Regeln für die Weiterverwendung und die praktischen Mittel zur Erleichterung der Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen der Mitgliedstaaten sind.

(2)      Diese Richtlinie gilt nicht für

…

cc)      Dokumente, die nach den Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder nur eingeschränkt zugänglich sind, und Teile von Dokumenten, die nach diesen Regelungen zugänglich sind, wenn sie personenbezogene Daten enthalten, deren Weiterverwendung gesetzlich nicht mit dem Recht über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist;

…

(3)      Diese Richtlinie stützt sich auf die Zugangsregelungen der Mitgliedstaaten und lässt diese Regelungen unberührt.

(4)      Diese Richtlinie hat keinerlei Auswirkungen auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß den Rechtsvorschriften der Union und der Mitgliedstaaten und lässt insbesondere die Pflichten und Rechte gemäß der Richtlinie [95/46] unberührt.

…“

Lettisches Recht

Art. 96 der Latvijas Republikas Satversme (Verfassung der Republik Lettland, im Folgenden: lettische Verfassung) bestimmt:

„Jede Person hat das Recht auf Achtung ihres Privatlebens, ihrer Wohnung und ihres Briefverkehrs.“

Nach Art. 1 Abs. 5 des Informācijas atklātības likums (Gesetz über die Offenlegung von Informationen) vom 29. Oktober 1998 (Latvijas Vēstnesis, 1998, Nr. 334/335) besteht die Weiterverwendung in der Verwendung von der Öffentlichkeit zugänglichen Informationen, die sich im Besitz einer Behörde befinden und von ihr erstellt wurden, für andere ‒ kommerzielle oder nichtkommerzielle ‒ Zwecke als den ursprünglichen Zweck, für den die Informationen erstellt wurden, sofern diese Verwendung von einer Privatperson vorgenommen wird und nicht zu den hoheitlichen Aufgaben zählt.

Nach Art. 4 dieses Gesetzes sind der Öffentlichkeit zugängliche Informationen solche, die nicht zur Kategorie der Informationen mit beschränktem Zugang gehören.

Art. 5 Abs. 1 des Gesetzes sieht vor, dass Informationen beschränkt zugänglich sind, wenn sie für eine begrenzte Gruppe von Personen zum Zweck der Erfüllung ihrer Aufgaben oder ihrer beruflichen Pflichten bestimmt sind und wenn die Offenlegung oder der Verlust dieser Informationen aufgrund ihrer Art und ihres Inhalts die Tätigkeiten einer Behörde behindert oder behindern kann oder den gesetzlich geschützten Interessen von Personen schadet oder schaden kann. In Abs. 2 dieses Artikels wird hervorgehoben, dass Informationen u. a. dann als Informationen mit beschränktem Zugang gelten, wenn das Gesetz dies vorsieht, und in Abs. 6 wird bestimmt, dass bereits veröffentlichte Informationen nicht als Informationen mit beschränktem Zugang angesehen werden können.

Nach Art. 10 Abs. 3 des Gesetzes können der Öffentlichkeit zugängliche Informationen auf Antrag erteilt werden, wobei der Antragsteller sein Interesse am Erhalt dieser Informationen nicht besonders nachweisen muss und ihm der Zugang zu ihnen nicht mit der Begründung verweigert werden darf, dass sie ihn nicht betreffen.

Art. 141 („Zugang zu den im nationalen Register für Fahrzeuge und Fahrzeugführer eingetragenen Informationen“) des Ceļu satiksmes likums (Straßenverkehrsgesetz) vom 1. Oktober 1997 (Latvijas Vēstnesis, 1997, Nr. 274/276) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Straßenverkehrsgesetz) bestimmt in Abs. 2:

„Informationen... über das Recht von Personen, Fahrzeuge zu führen, und über wegen Verkehrsordnungswidrigkeiten verhängte Bußgelder, die nicht innerhalb der gesetzlichen Fristen bezahlt worden sind, sowie sonstige Informationen, die im nationalen Register für Fahrzeuge und Fahrzeugführer... eingetragen sind, sind für jedermann zugänglich.“

Art. 431 („Strafpunktesystem“) des Straßenverkehrsgesetzes bestimmt in Abs. 1:

„Mit dem Ziel, das Verhalten der Fahrzeugführer zu beeinflussen, indem ein sicheres Führen von Fahrzeugen und die Einhaltung der Straßenverkehrsregeln gefördert wird, und dem Ziel, die Gefahren für das Leben, die Gesundheit und das Eigentum von Personen so weit wie möglich zu verringern, werden von Fahrzeugführern begangene Ordnungswidrigkeiten in das Verurteilungsregister eingetragen, und die Strafpunkte werden in das nationale Register für Fahrzeuge und Fahrzeugführer eingetragen.“

Gemäß den Nrn. 1 und 4 des Ministru kabineta noteikumi Nr. 551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi“ (Verordnung Nr. 551 des Ministerrats über die Regeln für die Durchführung des Strafpunktesystems) vom 21. Juni 2004 (Latvijas Vēstnesis, 2004, Nr. 102) werden Strafpunkte für von Fahrzeugführern im Straßenverkehr begangene Ordnungswidrigkeiten an dem Tag, an dem die Rechtsbehelfsfrist gegen die Entscheidung abläuft, mit dem eine Verwaltungssanktion verhängt wird, automatisch eingetragen.

Nach Nr. 7 dieser Verordnung werden die Strafpunkte gelöscht, wenn sie verjährt sind.

In Nr. 12 dieser Verordnung sind für Fahrzeugführer je nach der Anzahl der Strafpunkte Maßnahmen wie Verwarnungen, Schulungen oder Prüfungen im Bereich der Straßenverkehrssicherheit oder das Verbot der Ausübung der Berechtigung zum Führen von Kraftfahrzeugen während eines bestimmten Zeitraums vorgesehen.

Wie aus Art. 32 Abs. 1 des Satversmes tiesas likums (Gesetz über das Verfassungsgericht) vom 5. Juni 1996 (Latvijas Vēstnesis, 1996, Nr. 103) hervorgeht, ist ein Urteil der Latvijas Republikas Satversmes tiesa (Verfassungsgericht, Lettland) ab seiner Verkündung rechtskräftig und vollstreckbar. Nach Art. 32 Abs. 3 dieses Gesetzes gilt eine Rechtsvorschrift, die die Latvijas Republikas Satversmes tiesa (Verfassungsgericht) für mit einer höherrangigen Rechtsnorm unvereinbar erklärt hat, ab dem Tag der Verkündung des Urteils dieses Gerichts als nichtig, sofern das Gericht nichts anderes beschließt.

Ausgangsverfahren und Vorlagefragen

B ist eine natürliche Person, gegen die wegen einer oder mehrerer Verkehrsverstöße Strafpunkte verhängt wurden. Gemäß dem Straßenverkehrsgesetz und der Verordnung Nr. 551 vom 21. Juni 2004 hat die Ceļu satiksmes drošības direkcija (Direktion für Straßenverkehrssicherheit, Lettland, im Folgenden: CSDD) diese Strafpunkte in das nationale Register für Fahrzeuge und Fahrzeugführer eingetragen.

Da die in diesem Register enthaltenen Informationen über Strafpunkte öffentlich zugänglich sind und zudem nach den Angaben von B mehreren Wirtschaftsteilnehmern zur Weiterverwendung übermittelt wurden, erhob B Verfassungsbeschwerde bei der Latvijas Republikas Satversmes tiesa (Verfassungsgericht), damit diese die Vereinbarkeit von Art. 141 Abs. 2 des Straßenverkehrsgesetzes mit dem in Art. 96 der lettischen Verfassung verankerten Grundrecht auf Achtung des Privatlebens prüft.

Die Latvijas Republikas Saeima (Parlament der Republik Lettland, im Folgenden: lettisches Parlament) wurde als das Organ, das das Straßenverkehrsgesetz erlassen hat, an dem Verfahren beteiligt. Außerdem wurde die CSDD angehört, die die Daten über die für Verkehrsverstöße verhängten Strafpunkte verarbeitet, ebenso wie die Datu valsts inspekcija (Datenschutzbehörde), die in Lettland die Aufsichtsbehörde im Sinne von Art. 51 der DSGVO ist, sowie mehrere andere Behörden und Personen.

Im Rahmen des Ausgangsverfahrens bestätigte das lettische Parlament, dass nach Art. 141 Abs. 2 des Straßenverkehrsgesetzes jede Person Informationen über die gegen eine andere Person verhängten Strafpunkte erhalten könne, indem sie entweder unmittelbar bei der CSDD anfrage oder die Dienstleistungen von gewerblichen Weiterverwendern in Anspruch nehme.

Es betonte, dass diese Bestimmung rechtmäßig sei, da sie durch das Ziel der Verbesserung der Straßenverkehrssicherheit gerechtfertigt sei. Dieses Allgemeininteresse erfordere es, dass Personen, die gegen das Straßenverkehrsgesetz verstießen, insbesondere diejenigen, die dieses Gesetz systematisch und bösgläubig missachteten, offen identifiziert würden und dass Fahrzeugführer durch diese Transparenz von der Begehung von Verstößen abgeschreckt würden.

Im Übrigen sei diese Bestimmung durch das in der lettischen Verfassung vorgesehene Recht auf Zugang zu Informationen gerechtfertigt.

Das lettische Parlament präzisierte, dass die Übermittlung der im nationalen Register für Fahrzeuge und Fahrzeugführer enthaltenen Informationen in der Praxis unter der Bedingung erfolge, dass die Person, die die betreffende Information anfordere, die nationale Identifikationsnummer des Fahrzeugführers angebe, über den sie Auskunft begehre. Diese Voraussetzung für den Erhalt der Information sei dadurch zu erklären, dass die nationale Identifikationsnummer im Unterschied zum Namen der Person, der mit dem Namen anderer Personen identisch sein könne, ein individuelles Identifizierungsmerkmal sei.

Die CSDD wies darauf hin, dass Art. 141 Abs. 2 des Straßenverkehrsgesetzes weder den Zugang der Öffentlichkeit zu den Daten über Strafpunkte noch die Weiterverwendung dieser Daten einschränke. Zu den Verträgen, die sie mit gewerblichen Weiterverwendern schließt, führte die CSDD aus, dass in diesen Verträgen keine rechtliche Übertragung der Daten vorgesehen sei und dass die Weiterverwender sicherzustellen hätten, dass die an ihre Kunden übermittelten Informationen nicht über diejenigen hinausgingen, die von der CSDD bezogen werden könnten. Außerdem bestätige der Erwerber im Rahmen dieser Verträge, dass er die erhaltenen Informationen in Übereinstimmung mit den im Vertrag genannten Zwecken und unter Beachtung der geltenden Vorschriften verwenden werde.

Die Datu valsts inspekcija (Datenschutzbehörde) äußerte Zweifel an der Vereinbarkeit von Art. 141 Abs. 2 des Straßenverkehrsgesetzes mit Art. 96 der lettischen Verfassung, der das Recht auf Achtung des Privatlebens vorsieht. Aus ihrer Sicht sind die Bedeutung und der Zweck der auf der Grundlage der im Ausgangsverfahren in Rede stehenden Bestimmung vorgenommenen Verarbeitung nicht eindeutig belegt, so dass nicht ausgeschlossen sei, dass diese Verarbeitung unangemessen oder unverhältnismäßig sei. Denn die Statistiken über Verkehrsunfälle in Lettland zeigten zwar eine Verringerung der Zahl der Unfälle, doch sei nicht nachgewiesen, dass das Strafpunktesystem und der Zugang der Öffentlichkeit zu Informationen darüber zu dieser günstigen Entwicklung beigetragen hätten.

Die Latvijas Republikas Satversmes tiesa (Verfassungsgericht) stellt zunächst fest, dass die Verfassungsbeschwerde Art. 141 Abs. 2 des Straßenverkehrsgesetzes nur insoweit betreffe, als diese Bestimmung die im nationalen Register für Fahrzeuge und Fahrzeugführer eingetragenen Strafpunkte der Öffentlichkeit zugänglich mache.

Sodann weist dieses Gericht darauf hin, dass die Strafpunkte personenbezogene Daten seien und dass im Rahmen der Beurteilung des in Art. 96 der lettischen Verfassung niedergelegten Rechts auf Achtung des Privatlebens die DSGVO und allgemeiner Art. 16 AEUV sowie Art. 8 der Charta zu berücksichtigen seien.

Zu den Zielen der lettischen Straßenverkehrsregelung führt das vorlegende Gericht aus, dass in Lettland als Ordnungswidrigkeiten eingestufte Verstöße von Fahrzeugführern in das nationale Verurteilungsregister und Strafpunkte in das nationale Register für Fahrzeuge und Fahrzeugführer eingetragen würden, um insbesondere die Straßenverkehrssicherheit zu fördern.

Was insbesondere das nationale Register für Fahrzeuge und Fahrzeugführer betreffe, so ermögliche es dieses Register, Kenntnis von der Zahl der begangenen Verkehrsverstöße zu erlangen und Maßnahmen nach Maßgabe dieser Zahl zu ergreifen. Das System der Strafpunkte, die in diesem Register eingetragen seien, solle demnach die Straßenverkehrssicherheit verbessern, indem damit zum einen Fahrzeugführer, die die Straßenverkehrsregeln systematisch und bösgläubig missachteten, von Fahrzeugführern unterschieden werden könnten, die gelegentlich Verstöße begingen. Zum anderen könne ein solches System auch das Verhalten der Verkehrsteilnehmer präventiv beeinflussen, indem es sie zur Einhaltung der Straßenverkehrsregeln veranlasse.

Es stehe fest, dass Art. 141 Abs. 2 des Straßenverkehrsgesetzes jedermann das Recht verleihe, die CSDD um Auskunft über die im nationalen Register für Fahrzeuge und Fahrzeugführer enthaltenen Informationen über die gegen Fahrzeugführer verhängten Strafpunkte zu ersuchen und diese Informationen zu erhalten. In der Praxis würden diese Informationen demjenigen mitgeteilt, der darum ersuche, sobald er die nationale Identifikationsnummer des betreffenden Fahrzeugführers angebe.

Die Latvijas Republikas Satversmes tiesa (Verfassungsgericht) stellt sodann klar, dass Strafpunkte aufgrund ihrer Einstufung als öffentlich zugängliche Informationen in den Anwendungsbereich des Gesetzes über die Offenlegung von Informationen fielen und daher für andere ‒ kommerzielle oder nichtkommerzielle ‒ Zwecke als den ursprünglichen Zweck, für den die Informationen erstellt worden seien, weiterverwendet werden dürften.

Um Art. 96 der lettischen Verfassung im Einklang mit dem Unionsrecht auszulegen und anzuwenden, möchte das vorlegende Gericht erstens wissen, ob die Informationen über Strafpunkte zu den in Art. 10 der DSGVO genannten Informationen gehören, d. h. zu den „personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“. Bejahendenfalls könnte angenommen werden, dass Art. 141 Abs. 2 des Straßenverkehrsgesetzes gegen die in Art. 10 enthaltene Anforderung verstoße, wonach die Verarbeitung der dort genannten Daten nur „unter behördlicher Aufsicht“ oder unter der Voraussetzung erfolgen dürfe, dass „geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen“ bestünden.

Das vorlegende Gericht weist darauf hin, dass Art. 8 Abs. 5 der Richtlinie 95/46, der es jedem Mitgliedstaat überlassen habe, zu beurteilen, ob die besonderen Vorschriften für Daten über Straftaten und strafrechtliche Verurteilungen auf Daten über administrative Zuwiderhandlungen und Strafen erstreckt werden sollten, in Lettland ab dem 1. September 2007 so umgesetzt worden sei, dass personenbezogene Daten über Ordnungswidrigkeiten ebenso wie Daten über Straftaten und strafrechtliche Verurteilungen nur von den hierzu gesetzlich befugten Personen und in den gesetzlich vorgesehenen Fällen verarbeitet werden dürften.

Das vorlegende Gericht weist im Übrigen darauf hin, dass die Bedeutung von Art. 10 der DSGVO entsprechend dem vierten Erwägungsgrund dieser Verordnung unter Berücksichtigung der Funktion der Grundrechte in der Gesellschaft zu beurteilen sei. In diesem Zusammenhang könnte das Ziel, zu verhindern, dass sich eine frühere Verurteilung einer Person übermäßig nachteilig auf ihr Privat- und Berufsleben auswirke, sowohl für strafrechtliche Verurteilungen als auch für Ordnungswidrigkeiten gelten. In diesem Zusammenhang sei die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte zur Gleichstellung bestimmter Verwaltungssachen mit Strafsachen zu berücksichtigen.

Zweitens fragt die Latvijas Republikas Satversmes tiesa (Verfassungsgericht) nach der Bedeutung von Art. 5 der DSGVO. Sie fragt sich insbesondere, ob der lettische Gesetzgeber der in Abs. 1 Buchst. f dieses Artikels aufgestellten Verpflichtung nachgekommen ist, bei der Verarbeitung personenbezogener Daten „Integrität und Vertraulichkeit“ zu gewährleisten. Art. 141 Abs. 2 des Straßenverkehrsgesetzes, der es durch die Gewährung des Zugangs zu Informationen über Strafpunkte ermögliche, in Erfahrung zu bringen, ob eine Person wegen einer Verkehrsordnungswidrigkeit verurteilt worden sei, gehe nicht mit besonderen Maßnahmen zur Gewährleistung der Sicherheit dieser Daten einher.

Drittens möchte das vorlegende Gericht wissen, ob die Richtlinie 2003/98 für die Prüfung der Vereinbarkeit von Art. 141 Abs. 2 des Straßenverkehrsgesetzes mit dem Recht auf Achtung des Privatlebens relevant ist. Aus dieser Richtlinie ergebe sich nämlich, dass die Weiterverwendung personenbezogener Daten nur unter Beachtung dieses Rechts gestattet werden könne.

Viertens fragt sich das vorlegende Gericht im Hinblick auf die Rechtsprechung des Gerichtshofs, wonach die in Vorabentscheidungen vorgenommene Auslegung des Unionsrechts erga omnes und ex tunc wirkt, ob es im Fall der Unvereinbarkeit von Art. 141 Abs. 2 des Straßenverkehrsgesetzes mit Art. 96 der lettischen Verfassung, ausgelegt im Licht der DSGVO und der Charta, die zeitlichen Wirkungen von Art. 141 Abs. 2 des Straßenverkehrsgesetzes angesichts der großen Zahl der in Rede stehenden Rechtsverhältnisse gleichwohl bis zum Zeitpunkt der Verkündung seines Urteils aufrechterhalten kann.

Hierzu führt die Latvijas Republikas Satversmes tiesa (Verfassungsgericht) aus, dass nach lettischem Recht ein von ihr für verfassungswidrig erklärter Rechtsakt ab dem Tag der Verkündung ihres Urteils als nichtig anzusehen sei, sofern sie nichts anderes entscheide. Sie müsse insoweit einen Ausgleich zwischen dem Grundsatz der Rechtssicherheit einerseits und den Grundrechten der verschiedenen Beteiligten andererseits sicherstellen.

Unter diesen Umständen hat die Latvijas Republikas Satversmes tiesa (Verfassungsgericht) das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.      Ist der in Art. 10 der DSGVO verwendete Begriff „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln“ dahin auszulegen, dass er auch die in der in Rede stehenden Vorschrift vorgesehene Verarbeitung von Informationen über die Punkte umfasst, die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängt worden sind?

2.      Können ‒ unabhängig von der Beantwortung der ersten Frage ‒ die Bestimmungen der DSGVO, insbesondere der in Art. 5 Abs. 1 Buchst. f genannte Grundsatz der „Integrität und Vertraulichkeit“, dahin ausgelegt werden, dass sie es den Mitgliedstaaten verbieten, festzulegen, dass Informationen über die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängten Punkte jedermann zugänglich sind, und die Verarbeitung der entsprechenden Daten durch deren Offenlegung zu gestatten?

3.      Sind die Erwägungsgründe 50 und 154, Art. 5 Abs. 1 Buchst. b und Art. 10 der DSGVO sowie Art. 1 Abs. 2 Buchst. cc der Richtlinie 2003/98 dahin auszulegen, dass sie der Regelung eines Mitgliedstaats entgegenstehen, die die Übermittlung von Informationen über wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängte Punkte zum Zweck der Weiterverwendung gestattet?

4.      Sollte eine der vorstehenden Fragen bejaht werden, sind dann der Grundsatz des Vorrangs des Unionsrechts und der Grundsatz der Rechtssicherheit dahin auszulegen, dass es zulässig sein könnte, die in Rede stehende Norm anzuwenden und ihre rechtlichen Wirkungen bis zum Eintritt der Rechtskraft der abschließenden Entscheidung des Verfassungsgerichts aufrechtzuerhalten?

Zu den Vorlagefragen

Zur ersten Frage

Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 10 der DSGVO dahin auszulegen ist, dass er auf die in der Offenlegung entsprechender Daten gegenüber der Öffentlichkeit bestehende Verarbeitung personenbezogener Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, anwendbar ist.

Nach Art. 10 der DSGVO darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Art. 6 Abs. 1 nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.

Daher ist zunächst zu prüfen, ob die nach der im Ausgangsverfahren in Rede stehenden Regelung an Dritte übermittelten Informationen über Strafpunkte „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der DSGVO sind und ob diese Übermittlung eine „Verarbeitung“ solcher Daten im Sinne von Art. 4 Nr. 2 der DSGVO darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wie er in ihrem Art. 2 definiert ist.

Hierzu ist erstens festzustellen, dass aus der Vorlageentscheidung hervorgeht, dass die lettische Regelung die Verhängung von Strafpunkten gegen Fahrzeugführer vorsieht, die einen (Straßen‑)Verkehrsverstoß begangen haben und gegen die eine finanzielle oder andere Sanktion verhängt wurde. Diese Punkte werden von einer öffentlichen Einrichtung, der CSDD, am Tag des Ablaufs der Frist für die Einlegung eines Rechtsbehelfs gegen die Entscheidung, mit der diese Sanktion verhängt wird, in das nationale Register für Fahrzeuge und Fahrzeugführer eingetragen.

Aus der Vorlageentscheidung geht auch hervor, dass die Verkehrsverstöße und die Sanktionen, um sie zu ahnden, in Lettland unter das Verwaltungsrecht fallen und dass die Verhängung von Strafpunkten nicht die Verhängung einer zusätzlichen Sanktion zum Ziel hat, sondern die betroffenen Fahrzeugführer sensibilisieren soll, indem sie dazu veranlasst werden, eine sicherere Fahrweise anzunehmen. Wird eine bestimmte Zahl von Strafpunkten erreicht, kann dem Betroffenen für eine bestimmte Zeit ein Fahrverbot auferlegt werden.

Aus dieser Entscheidung geht ferner hervor, dass die im Ausgangsverfahren in Rede stehende Regelung die CSDD verpflichtet, allen Personen, die Zugang zu diesen Informationen beantragen, die Informationen über die gegen einen bestimmten Fahrzeugführer verhängten Strafpunkte zu übermitteln. Die CSDD verlangt zu diesem Zweck lediglich, dass der Antragsteller den betreffenden Fahrzeugführer unter Angabe seiner nationalen Identifikationsnummer gebührend identifiziert.

Somit ist festzustellen, dass die Informationen über Strafpunkte, die sich auf eine bestimmte natürliche Person beziehen, „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der DSGVO sind und dass ihre Übermittlung durch die CSDD an Dritte eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 der DSGVO darstellt.

Zweitens ist festzustellen, dass die Übermittlung dieser Informationen unter die sehr weite Definition des sachlichen Anwendungsbereichs der DSGVO gemäß ihrem Art. 2 Abs. 1 fällt und nicht zu den Verarbeitungen personenbezogener Daten gehört, die nach Art. 2 Abs. 2 Buchst. a und d der DSGVO von diesem Anwendungsbereich ausgenommen sind.

Was nämlich zum einen Art. 2 Abs. 2 Buchst. a der DSGVO betrifft, so findet diese Verordnung danach keine Anwendung auf die Verarbeitung personenbezogener Daten „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“. Diese Ausnahme vom Anwendungsbereich der DSGVO ist, wie die anderen in ihrem Art. 2 Abs. 2 vorgesehenen Ausnahmen, eng auszulegen (vgl. in diesem Sinne Urteile vom 9. Juli 2020, Land Hessen, C‑272/19, EU:C:2020:535, Rn. 68, und vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 84).

Art. 2 Abs. 2 Buchst. a der DSGVO ist insoweit in Verbindung mit ihrem Art. 2 Abs. 2 Buchst. b und ihrem 16. Erwägungsgrund zu lesen, wonach diese Verordnung nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit „Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten“, sowie Tätigkeiten „im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union“ gilt.

Daraus folgt, dass Art. 2 Abs. 2 Buchst. a und b der DSGVO teilweise an Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 anknüpft. Folglich kann Art. 2 Abs. 2 Buchst. a und b der DSGVO nicht dahin ausgelegt werden, dass er weiter gefasst ist als die Ausnahme nach Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46, wonach bereits diese Richtlinie keine Anwendung fand u. a. auf die Verarbeitung personenbezogener Daten, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des [EU‑]Vertrags [in seiner Fassung vor dem Vertrag von Lissabon], und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates …“

Wie der Gerichtshof wiederholt entschieden hat, waren indessen nur Verarbeitungen personenbezogener Daten im Rahmen einer in Art. 3 Abs. 2 ausdrücklich genannten spezifischen Tätigkeit des Staates oder staatlicher Stellen oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vom Anwendungsbereich der Richtlinie 95/46 ausgeschlossen (vgl. in diesem Sinne Urteile vom 6. November 2003, Lindqvist, C‑101/01, EU:C:2003:596, Rn. 42 bis 44, vom 27. September 2017, Puškár, C‑73/16, EU:C:2017:725, Rn. 36 und 37, sowie vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 38).

Daraus folgt, dass Art. 2 Abs. 2 Buchst. a der DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung so zu verstehen ist, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden, so dass der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nicht dafür ausreicht, dass diese Ausnahme automatisch für diese Tätigkeit gilt (vgl. in diesem Sinne Urteil vom 9. Juli 2020, Land Hessen, C‑272/19, EU:C:2020:535, Rn. 70).

Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten, auf die Art. 2 Abs. 2 Buchst. a der DSGVO abstellt, umfassen, wie auch der Generalanwalt in den Nrn. 57 und 58 seiner Schlussanträge im Wesentlichen ausgeführt hat, insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken.

Mit den Tätigkeiten, die die Straßenverkehrssicherheit betreffen, wird jedoch kein solches Ziel verfolgt, so dass sie nicht der Kategorie der auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten zugeordnet werden können, auf die Art. 2 Abs. 2 Buchst. a der DSGVO abstellt.

Was zum anderen Art. 2 Abs. 2 Buchst. d der DSGVO betrifft, so findet diese Verordnung danach keine Anwendung auf die Verarbeitung personenbezogener Daten „durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. Wie sich aus dem 19. Erwägungsgrund dieser Verordnung ergibt, beruht diese Ausnahme darauf, dass für die Verarbeitung personenbezogener Daten zu solchen Zwecken und durch die zuständigen Behörden ein spezifischerer Rechtsakt der Union gilt, nämlich die Richtlinie 2016/680, die am selben Tag wie die DSGVO erlassen wurde und in ihrem Art. 3 Nr. 7 definiert, was unter „zuständige Behörde“ zu verstehen ist, wobei diese Definition auf Art. 2 Abs. 2 Buchst. d entsprechend anzuwenden ist.

Aus dem zehnten Erwägungsgrund der Richtlinie 2016/680 geht hervor, dass der Begriff „zuständige Behörde“ im Zusammenhang mit dem Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu verstehen ist, unter Berücksichtigung der spezifischen Regelungen, die sich insoweit aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen können. Außerdem heißt es im elften Erwägungsgrund dieser Richtlinie, dass die DSGVO für die Verarbeitung personenbezogener Daten gilt, die von einer „zuständigen Behörde“ im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680, aber zu anderen als den in ihr vorgesehenen Zwecken vorgenommen wird.

In Anbetracht der dem Gerichtshof vorliegenden Informationen ist nicht ersichtlich, dass die CSDD bei der Ausübung der im Ausgangsverfahren in Rede stehenden Tätigkeiten, die in der Übermittlung personenbezogener Daten über Strafpunkte an die Öffentlichkeit zu Zwecken der Straßenverkehrssicherheit bestehen, als „zuständige Behörde“ im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680 angesehen werden könnte und diese Tätigkeiten somit unter die in Art. 2 Abs. 2 Buchst. d der DSGVO vorgesehene Ausnahme fallen könnten.

Daher fällt die von der CSDD vorgenommene Übermittlung personenbezogener Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, in den sachlichen Anwendungsbereich der DSGVO.

Was die Anwendbarkeit von Art. 10 der DSGVO auf eine solche Übermittlung betrifft, geht es um die Frage, ob die so übermittelten Informationen personenbezogene Daten „über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln“ im Sinne dieser Bestimmung darstellen, deren Verarbeitung „nur unter behördlicher Aufsicht vorgenommen werden [darf]“, es sei denn, sie ist „nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig“.

Insoweit ist darauf hinzuweisen, dass Art. 10 einen verstärkten Schutz gegen Verarbeitungen gewährleisten soll, die aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (vgl. in diesem Sinne Urteil vom 24. September 2019, GC u. a. [Auslistung sensibler Daten], C‑136/17, EU:C:2019:773, Rn. 44).

Da nämlich die Daten, auf die sich Art. 10 der DSGVO bezieht, Verhaltensweisen betreffen, die zur Missbilligung durch die Gesellschaft führen, kann die Gewährung eines Zugangs zu solchen Daten die betroffene Person stigmatisieren und damit einen schweren Eingriff in ihr Privat- oder Berufsleben darstellen.

Im vorliegenden Fall werden zwar die Entscheidungen der lettischen Behörden zur Ahndung von Verkehrsverstößen, wie die lettische Regierung in ihren Antworten auf die Fragen des Gerichtshofs hervorgehoben hat, in das Register der Verurteilungen eingetragen, zu dem die Öffentlichkeit nur in begrenzten Fällen Zugang hat, und nicht in das Register der Fahrzeuge und Fahrzeugführer, zu dem Art. 141 Abs. 2 des Straßenverkehrsgesetzes freien Zugang gewährt. Wie jedoch das vorlegende Gericht hervorhebt, ermöglicht die Übermittlung der in diesem Register enthaltenen personenbezogenen Daten über Strafpunkte durch die CSDD der Öffentlichkeit die Feststellung, ob eine bestimmte Person Verkehrsverstöße begangen hat, und, falls dies der Fall ist, den Schluss auf die Schwere und die Häufigkeit dieser Verstöße. Eine solche Regelung über die Mitteilung von Strafpunkten läuft daher darauf hinaus, Zugang zu personenbezogenen Daten über Verkehrsverstöße zu gewähren.

Um zu bestimmen, ob ein solcher Zugang eine Verarbeitung personenbezogener Daten über „Straftaten“ im Sinne von Art. 10 der DSGVO darstellt, ist erstens darauf hinzuweisen, dass sich dieser Begriff ausschließlich auf Straftaten im Sinne des Strafrechts bezieht, wie sich insbesondere aus der Entstehungsgeschichte der DSGVO ergibt. Das Europäische Parlament hatte nämlich vorgeschlagen, die Wendung „verwaltungsrechtliche Sanktionen“ (ABl. 2017, C 378, S. 430) ausdrücklich in diese Bestimmung aufzunehmen, doch wurde dieser Vorschlag nicht angenommen. Dieser Umstand ist umso bemerkenswerter, als die Vorgängerbestimmung zu Art. 10 der DSGVO, d. h. Art. 8 Abs. 5 der Richtlinie 95/46, der sich in Unterabs. 1 auf „Straftaten“ und „strafrechtliche Verurteilungen“ bezog, den Mitgliedstaaten in Unterabs. 2 die Möglichkeit gab, vorzusehen, „dass Daten, die administrative Strafen... betreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen“. Aus einer Gesamtbetrachtung dieses Art. 8 Abs. 5 ergibt sich somit eindeutig, dass sich der Begriff „Straftaten“ ausschließlich auf Straftaten im Sinne des Strafrechts bezog.

Unter diesen Umständen ist davon auszugehen, dass der Unionsgesetzgeber, indem er bewusst davon abgesehen hat, das Adjektiv „administrativ“ in Art. 10 der DSGVO aufzunehmen, den in dieser Bestimmung vorgesehenen verstärkten Schutz allein dem strafrechtlichen Bereich vorbehalten wollte.

Diese Auslegung wird, wie der Generalanwalt in den Nrn. 74 bis 77 seiner Schlussanträge ausgeführt hat, dadurch bestätigt, dass mehrere Sprachfassungen von Art. 10 der DSGVO ausdrücklich auf „Straftaten“ im Sinne des Strafrechts Bezug nehmen, wie z. B. die deutsche (Straftaten), die spanische (infracciones penales), die italienische (reati), die litauische (nusikalstamas veikas), die maltesische (reati) und die niederländische (strafbare feiten).

Zweitens ist der Umstand, dass Verkehrsverstöße in Lettland als Ordnungswidrigkeiten eingestuft werden, für die Beurteilung, ob diese Verstöße unter Art. 10 der DSGVO fallen, nicht entscheidend.

Insoweit ist darauf hinzuweisen, dass die Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 19. September 2000, Linster, C‑287/98, EU:C:2000:468, Rn. 43, und vom 1. Oktober 2019, Planet49, C‑673/17, EU:C:2019:801, Rn. 47).

Im vorliegenden Fall ist zunächst festzustellen, dass die DSGVO hinsichtlich der Tragweite der in ihrem Art. 10 verwendeten Begriffe, insbesondere der Begriffe „Straftaten“ und „strafrechtliche Verurteilungen“, nicht auf die nationalen Rechtsordnungen verweist.

Sodann geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass diese zur Verwirklichung eines Raums der Freiheit, der Sicherheit und des Rechts beitragen soll, indem ein gleichmäßiges und hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten gewährleistet wird, was voraussetzt, dass dieses Schutzniveau in allen Mitgliedstaaten gleichwertig und homogen ist. Einem solchen Zweck liefe es zuwider, wenn der in dieser Bestimmung vorgesehene verstärkte Schutz nur in einigen Mitgliedstaaten für die Verarbeitung personenbezogener Daten über Verkehrsverstöße gilt, nicht aber in anderen, nur weil diese Verstöße in den letztgenannten Mitgliedstaaten nicht als Straftaten eingestuft werden.

Schließlich wird diese Feststellung, wie der Generalanwalt in Nr. 84 seiner Schlussanträge ausgeführt hat, durch den 13. Erwägungsgrund der Richtlinie 2016/680 bestätigt, wonach „[e]ine Straftat im Sinne dieser Richtlinie... ein eigenständiger Begriff des Unionsrechts in der Auslegung durch den Gerichtshof der Europäischen Union... sein [sollte]“.

Daraus folgt, dass der Begriff „Straftat“, der für die Bestimmung der Anwendbarkeit von Art. 10 der DSGVO auf personenbezogene Daten über Verkehrsverstöße wie die im Ausgangsverfahren in Rede stehenden entscheidend ist, in der gesamten Union einer autonomen und einheitlichen Auslegung bedarf, die unter Berücksichtigung des mit dieser Bestimmung verfolgten Ziels und des Kontexts, in den sie sich einfügt, gefunden werden muss, ohne dass es insoweit darauf ankommt, wie der betreffende Mitgliedstaat diese Verstöße einstuft; diese Einstufung kann in den einzelnen Staaten unterschiedlich sein (vgl. in diesem Sinne Urteil vom 14. November 2013, Baláž, C‑60/12, EU:C:2013:733, Rn. 26 und 35).

Drittens ist zu prüfen, ob Verkehrsverstöße wie die, die zur Eintragung von Strafpunkten in das Register für Fahrzeuge und Fahrzeugführer führen, deren Mitteilung an Dritte in der streitigen Bestimmung vorgesehen ist, eine „Straftat“ im Sinne von Art. 10 der DSGVO darstellen.

Nach der Rechtsprechung des Gerichtshofs sind für die Beurteilung des strafrechtlichen Charakters einer Zuwiderhandlung drei Kriterien maßgebend: erstens die rechtliche Einordnung der Zuwiderhandlung im innerstaatlichen Recht, zweitens die Art der Zuwiderhandlung und drittens der Schweregrad der dem Betroffenen drohenden Sanktion (vgl. in diesem Sinne Urteile vom 5. Juni 2012, Bonda, C‑489/10, EU:C:2012:319, Rn. 37, vom 20. März 2018, Garlsson Real Estate u. a., C‑537/16, EU:C:2018:193, Rn. 28, und vom 2. Februar 2021, Consob, C‑481/19, EU:C:2021:84, Rn. 42).

Auch für Zuwiderhandlungen, die im innerstaatlichen Recht nicht als „strafrechtlich“ eingestuft werden, kann sich ein solcher Charakter nichtsdestoweniger aus der Art der Zuwiderhandlung und dem Schweregrad der dem Betroffenen drohenden Sanktion ergeben (vgl. in diesem Sinne Urteil vom 20. März 2018, Garlsson Real Estate u. a., C‑537/16, EU:C:2018:193, Rn. 28 und 32).

Das Kriterium, das sich auf die Art der Zuwiderhandlung bezieht, erfordert die Prüfung, ob mit der fraglichen Sanktion u. a. eine repressive Zielsetzung verfolgt wird, ohne dass der bloße Umstand, dass mit ihr auch eine präventive Zielsetzung verfolgt wird, ihr ihre Einstufung als strafrechtliche Sanktion nehmen kann. Es liegt nämlich in der Natur strafrechtlicher Sanktionen, dass sie sowohl auf die Repression als auch auf die Prävention rechtswidriger Verhaltensweisen abzielen. Dagegen ist eine Maßnahme, die nur den durch die Zuwiderhandlung entstandenen Schaden ersetzen soll, nicht strafrechtlicher Natur (vgl. in diesem Sinne Urteile vom 5. Juni 2012, Bonda, C‑489/10, EU:C:2012:319, Rn. 39, und vom 20. März 2018, Garlsson Real Estate u. a., C‑537/16, EU:C:2018:193, Rn. 33). Es steht indessen fest, dass mit der Verhängung von Strafpunkten für Verkehrsverstöße ebenso wie mit Bußgeldern oder anderen Sanktionen, die die Begehung dieser Verstöße nach sich ziehen kann, nicht nur der Ersatz von Schäden bezweckt wird, die durch diese Verstöße möglicherweise verursacht werden, sondern auch ein repressiver Zweck verfolgt wird.

Was das Kriterium des Schweregrads der Sanktionen betrifft, zu denen die Begehung dieser Verstöße führen kann, ist zunächst darauf hinzuweisen, dass nur Verkehrsverstöße von gewisser Schwere zur Verhängung von Strafpunkten führen und dass solche Verstöße daher zu Sanktionen von bestimmter Schwere führen können. Sodann kommt die Verhängung von Strafpunkten im Allgemeinen zu der im Fall eines solchen Verstoßes verhängten Sanktion hinzu. Wie in Rn. 58 des vorliegenden Urteils ausgeführt, ist dies im Übrigen bei der im Ausgangsverfahren in Rede stehenden Regelung der Fall. Schließlich hat die Kumulierung dieser Punkte als solche rechtliche Folgen, wie etwa die Verpflichtung, eine Prüfung abzulegen, oder ein Fahrverbot.

Diese Analyse wird bestätigt durch die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, wonach Verkehrsverstöße trotz einer Tendenz zur „Entkriminalisierung“ dieser Verstöße in einigen Staaten angesichts des zugleich präventiven und repressiven Zwecks der verhängten Sanktionen und des Schweregrads, den diese erreichen können, im Allgemeinen als Verstöße strafrechtlicher Natur anzusehen sind (vgl. in diesem Sinne Europäischer Gerichtshof für Menschenrechte, 21. Februar 1984, Öztürk/Deutschland, CE:ECHR:1984:0221JUD000854479, Nrn. 49 bis 53, vom 29. Juni 2007, O’Halloran und Francis/Vereinigtes Königreich, CE:ECHR:2007:0629JUD001580902, Nrn. 33 bis 36, und vom 4. Oktober 2016, Rivard/Schweiz, CE:ECHR:2016:1004JUD002156312, Nrn. 23 und 24).

Die Einstufung von Verkehrsverstößen, die zur Verhängung von Strafpunkten führen können, als „Straftaten“ im Sinne von Art. 10 der DSGVO entspricht auch dem Zweck dieser Bestimmung. Die Übermittlung personenbezogener Daten über Verkehrsverstöße, einschließlich der für ihre Begehung verhängten Strafpunkte, an die Öffentlichkeit ist nämlich angesichts dessen, dass solche Verstöße die Straßenverkehrssicherheit beeinträchtigen, geeignet, zu einer Missbilligung durch die Gesellschaft und zur Stigmatisierung der betreffenden Person zu führen, insbesondere wenn diese Punkte eine bestimmte Schwere oder eine bestimmte Häufigkeit dieser Verstöße zeigen.

Daraus folgt, dass Verkehrsverstöße, die zur Verhängung von Strafpunkten führen können, unter den Begriff „Straftaten“ im Sinne von Art. 10 der DSGVO fallen.

Nach alledem ist auf die erste Vorlagefrage zu antworten, dass Art. 10 der DSGVO dahin auszulegen ist, dass er auf die Verarbeitung personenbezogener Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, anwendbar ist.

Zur zweiten Frage

Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob die Bestimmungen der DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die die mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betraute öffentliche Einrichtung verpflichtet, diese Daten jeder Person zu übermitteln, die dies beantragt, ohne dass sie ein besonderes Interesse am Erhalt dieser Daten nachzuweisen hat.

Insoweit ist darauf hinzuweisen, dass jede Verarbeitung personenbezogener Daten zum einen mit den in Art. 5 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und zum anderen einem der in Art. 6 der DSGVO aufgeführten Grundsätze in Bezug auf die Rechtmäßigkeit der Verarbeitung entsprechen muss (vgl. in diesem Sinne Urteil vom 16. Januar 2019, Deutsche Post, C‑496/17, EU:C:2019:26, Rn. 57 und die dort angeführte Rechtsprechung).

Was die Grundsätze für die Verarbeitung personenbezogener Daten betrifft, bezieht sich das vorlegende Gericht zwar speziell auf die in Art. 5 Abs. 1 Buchst. f der DSGVO verankerten Grundsätze der „Integrität“ und der „Vertraulichkeit“. Allerdings ergibt sich aus den Fragen des vorlegenden Gerichts, dass es allgemeiner feststellen möchte, ob die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten im Hinblick auf alle Bestimmungen dieser Verordnung, insbesondere im Hinblick auf den Grundsatz der Verhältnismäßigkeit, als rechtmäßig angesehen werden kann.

Folglich sind in der dem vorlegenden Gericht zu gebenden Antwort auch andere in Art. 5 Abs. 1 der DSGVO genannte Grundsätze und insbesondere der in Buchst. c dieser Bestimmung enthaltene Grundsatz der „Datenminimierung“ zu berücksichtigen, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen, womit der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht wird (vgl. in diesem Sinne Urteil vom 11. Dezember 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, Rn. 48).

Hinsichtlich der Grundsätze in Bezug auf die Rechtmäßigkeit der Verarbeitung sieht Art. 6 der DSGVO eine erschöpfende und abschließende Liste der Fälle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in Art. 6 vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (vgl. in diesem Sinne Urteil vom 11. Dezember 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, Rn. 37 und 38). Insoweit kann die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, d. h. die von der CSDD vorgenommene Übermittlung der Daten über für Verkehrsverstöße verhängte Strafpunkte an die Öffentlichkeit, unter Art. 6 Abs. 1 Buchst. e der DSGVO fallen, wonach die Verarbeitung rechtmäßig ist, wenn und soweit sie „für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“.

100

Da, wie in Rn. 94 des vorliegenden Urteils festgestellt wurde, die personenbezogenen Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, unter Art. 10 der DSGVO fallen, unterliegt ihre Verarbeitung zudem den in dieser Bestimmung vorgesehenen zusätzlichen Beschränkungen. Danach darf die Verarbeitung dieser Daten „nur unter behördlicher Aufsicht vorgenommen werden“, es sei denn, sie ist „nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig“. In dieser Bestimmung heißt es im Übrigen, dass „[e]in umfassendes Register der strafrechtlichen Verurteilungen... nur unter behördlicher Aufsicht geführt werden [darf]“.

101

Im vorliegenden Fall steht fest, dass die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, d. h. die Übermittlung der Daten über für Verkehrsverstöße verhängte Strafpunkte an die Öffentlichkeit, durch eine öffentliche Einrichtung, die CSDD, erfolgt, die der für die Verarbeitung Verantwortliche im Sinne von Art. 4 Nr. 7 der DSGVO ist (vgl. entsprechend Urteil vom 9. März 2017, Manni, C‑398/15, EU:C:2017:197, Rn. 35). Es steht jedoch auch fest, dass diese Daten nach ihrer Übermittlung von den Personen eingesehen werden, die ihre Übermittlung beantragt haben, und von diesen Personen gegebenenfalls gespeichert oder verbreitet werden. Da diese Weiterverarbeitungen von Daten nicht mehr „unter [der] Aufsicht“ der CSDD oder einer anderen Behörde erfolgen, muss das nationale Recht, das die Übermittlung dieser Daten durch die CSDD erlaubt, „geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen“ vorsehen.

102

Daher ist die Vereinbarkeit einer nationalen Regelung wie der im Ausgangsverfahren in Rede stehenden mit der DSGVO sowohl im Hinblick auf die allgemeinen Rechtmäßigkeitsvoraussetzungen, insbesondere die in Art. 5 Abs. 1 Buchst. c und Art. 6 Abs. 1 Buchst. e der DSGVO aufgestellten, als auch im Hinblick auf die in Art. 10 der DSGVO vorgesehenen besonderen Beschränkungen zu prüfen.

103

Hierzu ist festzustellen, dass keine dieser Bestimmungen es allgemein und absolut verbietet, dass eine Behörde durch eine nationale Regelung ermächtigt oder sogar gezwungen wird, personenbezogene Daten an Personen zu übermitteln, die dies beantragen.

104

Auch wenn Art. 5 Abs. 1 Buchst. c der DSGVO die Verarbeitung personenbezogener Daten von der Einhaltung des Grundsatzes der „Datenminimierung“ abhängig macht, geht aus dem Wortlaut dieser Bestimmung nämlich klar hervor, dass mit ihr kein solches allgemeines und absolutes Verbot eingeführt werden soll und dass sie insbesondere der Übermittlung personenbezogener Daten an die Öffentlichkeit nicht entgegensteht, wenn diese Übermittlung im Sinne von Abs. 6 Abs. 1 Buchst. e der DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichem Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies gilt auch dann, wenn die fraglichen Daten unter Art. 10 DSGVO fallen, sofern die Regelung, die diese Übermittlung gestattet, geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht (vgl. in diesem Sinne Urteil vom 24. September 2019, GC u. a. [Auslistung sensibler Daten], C‑136/17, EU:C:2019:773, Rn. 73).

105

In diesem Zusammenhang ist darauf hinzuweisen, dass die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten keine uneingeschränkte Geltung beanspruchen, sondern im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden müssen. Somit können Einschränkungen vorgesehen werden, sofern sie gemäß Art. 52 Abs. 1 der Charta gesetzlich vorgesehen sind und den Wesensgehalt der Grundrechte sowie den Grundsatz der Verhältnismäßigkeit wahren. Nach diesem Grundsatz dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Sie müssen sich auf das absolut Notwendige beschränken, und die den Eingriff enthaltende Regelung muss klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 172 bis 176).

106

Um festzustellen, ob eine Übermittlung personenbezogener Daten über Strafpunkte an die Öffentlichkeit, wie sie im Ausgangsverfahren in Rede steht, im Sinne von Art. 6 Abs. 1 Buchst. e der DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichem Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, und ob die Regelung, die eine solche Übermittlung gestattet, geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen im Sinne von Art. 10 dieser Verordnung vorsieht, ist somit insbesondere zu prüfen, ob diese Übermittlung angesichts der Schwere des durch sie bewirkten Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten im Hinblick auf die Verwirklichung der verfolgten Ziele gerechtfertigt und insbesondere verhältnismäßig ist.

107

Im vorliegenden Fall machen das lettische Parlament ‒ in seinen Erklärungen vor dem vorlegenden Gericht ‒ und die lettische Regierung ‒ in ihren Erklärungen vor dem Gerichtshof ‒ geltend, dass die Übermittlung von personenbezogenen Daten über Strafpunkte durch die CSDD an jede Person, die dies beantrage, zu der diesem Organ obliegenden Aufgabe im öffentlichen Interesse gehöre, die Straßenverkehrssicherheit zu verbessern, und in diesem Zusammenhang insbesondere die Identifizierung der Fahrzeugführer, die systematisch gegen die Straßenverkehrsregeln verstießen, ermöglichen und das Verhalten der Straßenverkehrsteilnehmer dahin gehend beeinflussen solle, dass sie zu einem den Straßenverkehrsregeln entsprechenden Verhalten veranlasst würden.

108

Insoweit ist darauf hinzuweisen, dass die Verbesserung der Straßenverkehrssicherheit ein von der Union anerkanntes Ziel im allgemeinen Interesse darstellt (vgl. in diesem Sinne Urteil vom 23. April 2015, Aykul, C‑260/13, EU:C:2015:257, Rn. 69 und die dort angeführte Rechtsprechung). Die Mitgliedstaaten sind daher berechtigt, die Straßenverkehrssicherheit als „Aufgabe..., die im öffentlichen Interesse liegt“, im Sinne von Art. 6 Abs. 1 Buchst. e der DSGVO einzustufen.

109

Um die in dieser Bestimmung aufgestellten Voraussetzungen zu erfüllen, ist es jedoch erforderlich, dass die Übermittlung der in dem von der CSDD geführten Register eingetragenen personenbezogenen Daten über Strafpunkte tatsächlich dem im allgemeinen Interesse liegenden Ziel der Verbesserung der Straßenverkehrssicherheit entspricht, ohne über das hinauszugehen, was zur Erreichung dieses Ziels erforderlich ist.

110

Wie im 39. Erwägungsgrund der DSGVO hervorgehoben wird, ist diese Anforderung der Erforderlichkeit nicht erfüllt, wenn das im allgemeinen Interesse liegende verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte der betroffenen Personen, insbesondere die in den Art. 7 und 8 der Charta verbürgten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, wobei sich die Ausnahmen und Einschränkungen hinsichtlich des Grundsatzes des Schutzes solcher Daten auf das absolut Notwendige beschränken müssen (vgl. in diesem Sinne Urteil vom 11. Dezember 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, Rn. 46 und 47).

111

Wie sich aus der Praxis der Mitgliedstaaten ergibt, verfügt indessen jeder von ihnen über eine Vielzahl von Handlungsmöglichkeiten, zu denen u. a. die Möglichkeit einer abschreckenden Ahndung von Verkehrsverstößen gehört, insbesondere indem den betreffenden Fahrzeugführern das Recht zum Führen eines Kraftfahrzeugs genommen wird, wobei der Verstoß gegen ein solches Verbot seinerseits mit wirksamen Strafen geahndet werden kann, ohne dass es erforderlich wäre, den Erlass solcher Maßnahmen der Öffentlichkeit mitzuteilen. Aus dieser Praxis ergibt sich auch, dass darüber hinaus zahlreiche vorbeugende Maßnahmen ergriffen werden können, die von Kampagnen zur kollektiven Sensibilisierung bis zum Erlass individueller Maßnahmen dahin gehend reichen, einen Fahrzeugführer zur Teilnahme an Schulungen und zum Ablegen von Prüfungen zu zwingen, ohne dass es erforderlich wäre, den Erlass solcher individuellen Maßnahmen der Öffentlichkeit mitzuteilen. Aus den dem Gerichtshof vorliegenden Akten geht jedoch nicht hervor, dass solche Maßnahmen vom lettischen Gesetzgeber anstelle des Erlasses der im Ausgangsverfahren in Rede stehenden Regelung geprüft und bevorzugt worden wären.

112

Außerdem kann, wie in Rn. 92 des vorliegenden Urteils ausgeführt, die Übermittlung personenbezogener Daten über Verkehrsverstöße einschließlich der Daten über die für ihre Begehung verhängten Strafpunkte an die Öffentlichkeit einen schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen, da sie zur Missbilligung durch die Gesellschaft und zur Stigmatisierung der betroffenen Person führen kann.

113

Unter Berücksichtigung zum einen der Sensibilität der fraglichen Daten und der Schwere dieses Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten der betroffenen Personen und zum anderen der Tatsache, dass in Anbetracht der Feststellungen in Rn. 111 des vorliegenden Urteils nicht ersichtlich ist, dass das Ziel der Verbesserung der Straßenverkehrssicherheit in zumutbarer Weise nicht mit anderen, weniger einschneidenden Mitteln ebenso wirksam erreicht werden kann, kann nicht davon ausgegangen werden, dass die Erforderlichkeit einer solchen Regelung der Übermittlung personenbezogener Daten über Strafpunkte für Verkehrsverstöße zur Gewährleistung dieses Zieles nachgewiesen ist (vgl. entsprechend Urteil vom 9. November 2010, Volker und Markus Schecke und Eifert, C‑92/09 und C‑93/09, EU:C:2010:662, Rn. 86).

114

Somit kann es zwar gerechtfertigt sein, die Fahrzeugführer, die systematisch und bösgläubig gegen die Straßenverkehrsregeln verstoßen, von den Fahrzeugführern zu unterscheiden, die gelegentlich Verstöße begehen, doch kann nicht davon ausgegangen werden, dass die Identifizierung der ersten Kategorie von Fahrzeugführern für die Zwecke der Verbesserung der Straßenverkehrssicherheit von der breiten Öffentlichkeit vorgenommen oder mit der breiten Öffentlichkeit geteilt werden muss, so dass sogar an der Eignung der im Ausgangsverfahren in Rede stehenden Regelung, das erste der in Rn. 107 des vorliegenden Urteils genannten Ziele zu erreichen, Zweifel bestehen können.

115

Im Übrigen geht aus den dem Gerichtshof vorliegenden Akten hervor, dass die CSDD nicht nur die Daten über Strafpunkte, die gegen Fahrzeugführer verhängt wurden, die systematisch und bösgläubig gegen die Straßenverkehrsregeln verstoßen, sondern auch die über Strafpunkte, die gegen Fahrzeugführer verhängt wurden, die gelegentlich Verstöße begehen, an die Öffentlichkeit übermittelt. Somit geht die im Ausgangsverfahren in Rede stehende Regelung dadurch, dass sie einen generellen Zugang der Öffentlichkeit zu Strafpunkten vorsieht, jedenfalls über das hinaus, was erforderlich ist, um das Ziel sicherzustellen, die systematische und bösgläubige Missachtung der Straßenverkehrsregeln zu bekämpfen.

116

Was das zweite der mit der streitigen Regelung verfolgten Ziele betrifft, auf das in Rn. 107 des vorliegenden Urteils hingewiesen wurde, geht aus den Akten hervor, dass in Lettland zwar eine Tendenz zur Verringerung der Zahl von Verkehrsunfällen beobachtet werden konnte, dass aber nichts den Schluss zulässt, dass diese Tendenz mit der Offenlegung der Informationen über Strafpunkte und nicht mit der Einführung des Systems der Strafpunkte als solchen zusammenhängt.

117

Die in Rn. 113 des vorliegenden Urteils gezogene Schlussfolgerung wird nicht dadurch in Frage gestellt, dass die CSDD die Übermittlung der fraglichen personenbezogenen Daten in der Praxis von der Voraussetzung abhängig macht, dass der Antragsteller die nationale Identifikationsnummer des Fahrzeugführers angibt, über den er sich informieren möchte.

118

Selbst wenn die Mitteilung der nationalen Identifikationsnummern durch die öffentlichen Stellen, die die Bevölkerungsregister führen, entsprechend den Ausführungen der lettischen Regierung strengen Anforderungen unterliegt und damit Art. 87 der DSGVO genügt, ändert dies nichts daran, dass die im Ausgangsverfahren in Rede stehende Regelung, wie sie von der CSDD angewandt wird, es jedem, der die nationale Identifikationsnummer eines bestimmten Fahrzeugführers kennt, erlaubt, die personenbezogenen Daten über die gegen diesen Fahrzeugführer verhängten Strafpunkte ohne weitere Voraussetzung zu erhalten. Eine solche Offenlegungsregelung kann zu einer Situation führen, in der diese Daten an Personen weitergegeben werden, die aus Gründen, die mit dem im allgemeinen Interesse liegenden Ziel der Verbesserung der Straßenverkehrssicherheit nichts zu tun haben, versuchen, sich über die gegen eine bestimmte Person verhängten Strafpunkte zu informieren.

119

Die in Rn. 113 des vorliegenden Urteils gezogene Schlussfolgerung wird auch nicht dadurch entkräftet, dass das nationale Register für Fahrzeuge und Fahrzeugführer ein amtliches Dokument im Sinne von Art. 86 der DSGVO ist.

120

Zwar stellt der Zugang der Öffentlichkeit zu amtlichen Dokumenten, wie aus dem 154. Erwägungsgrund der DSGVO hervorgeht, ein öffentliches Interesse dar, dass die Übermittlung von in solchen Dokumenten enthaltenen personenbezogenen Daten rechtfertigen kann, doch muss der entsprechende Zugang nichtsdestoweniger mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten in Einklang gebracht werden, wie es im Übrigen in Art. 86 ausdrücklich verlangt wird. Angesichts insbesondere der Sensibilität der Daten über für Verkehrsverstöße verhängte Strafpunkte und der Schwere des Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, der mit der Offenlegung dieser Daten vorgenommen wird, ist indessen davon auszugehen, dass diese Rechte dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten, insbesondere zum nationalen Register für Fahrzeuge und Fahrzeugführer, vorgehen.

121

Außerdem kann das in Art. 85 der DSGVO verankerte Recht auf Informationsfreiheit aus demselben Grund nicht dahin ausgelegt werden, dass es die Übermittlung personenbezogener Daten über für Verkehrsverstöße verhängte Strafpunkte an jede Person rechtfertigt, die sie beantragt.

122

Nach alledem ist auf die zweite Frage zu antworten, dass die Bestimmungen der DSGVO, insbesondere ihr Art. 5 Abs. 1, ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10, dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die die mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betraute öffentliche Einrichtung verpflichtet, diese Daten der Öffentlichkeit zugänglich zu machen, ohne dass die Person, die den Zugang beantragt, ein besonderes Interesse am Erhalt dieser Daten nachzuweisen hat.

Zur dritten Frage

123

Mit seiner dritten Frage möchte das vorlegende Gericht wissen, ob die Bestimmungen der DSGVO, insbesondere ihr Art. 5 Abs. 1 Buchst. b und ihr Art. 10, sowie Art. 1 Abs. 2 Buchst. cc der Richtlinie 2003/98 dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die es der mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betrauten öffentliche Einrichtung erlaubt, diese Daten Wirtschaftsteilnehmern zur Weiterverwendung zu übermitteln.

124

Wie das vorlegende Gericht ausführt, beruht diese Frage darauf, dass die CSDD mit Wirtschaftsteilnehmern Verträge schließt, nach denen sie die personenbezogenen Daten über die im nationalen Register für Fahrzeuge und Fahrzeugführer eingetragenen Strafpunkte an die betreffenden Wirtschaftsteilnehmer übermittelt, so dass u. a. jede Person, die sich über die gegen einen bestimmten Fahrzeugführer verhängten Strafpunkte informieren möchte, diese Daten nicht nur von der CSDD, sondern auch von diesen Wirtschaftsteilnehmern erhalten kann.

125

Aus der Antwort auf die zweite Frage ergibt sich, dass die Bestimmungen der DSGVO, insbesondere ihr Art. 5 Abs. 1, ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10, dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die die mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betraute öffentliche Einrichtung verpflichtet, diese Daten der Öffentlichkeit zugänglich zu machen, ohne dass die Person, die den Zugang beantragt, ein besonderes Interesse am Erhalt dieser Daten nachzuweisen hat.

126

Diese Bestimmungen sind aus den gleichen Gründen, so wie sie in der Antwort auf die zweite Frage dargelegt wurden, dahin auszulegen, dass sie auch einer nationalen Regelung entgegenstehen, die es einer öffentlichen Einrichtung erlaubt, derartige Daten an Wirtschaftsteilnehmer zu übermitteln, damit diese sie weiterverwenden und an die Öffentlichkeit übermitteln können.

127

Schließlich ist zu Art. 1 Abs. 2 Buchst. cc der Richtlinie 2003/98, auf den sich die dritte Vorlagefrage ebenfalls bezieht, festzustellen, dass diese Bestimmung, wie der Generalanwalt in den Nrn. 128 und 129 seiner Schlussanträge ausgeführt hat, für die Feststellung, ob die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten einer Regelung wie der im Ausgangsverfahren in Rede stehenden entgegenstehen, nicht relevant ist.

128

Unabhängig davon, ob die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte in den Anwendungsbereich der Richtlinie 2003/98 fallen, ist der Umfang des Schutzes dieser Daten nämlich in jedem Fall auf der Grundlage der DSGVO zu bestimmen, wie sich zum einen aus dem 154. Erwägungsgrund dieser Verordnung und zum anderen aus dem 21. Erwägungsgrund und Art. 1 Abs. 4 dieser Richtlinie in Verbindung mit Art. 94 Abs. 2 der DSGVO ergibt. Art. 1 Abs. 4 der Richtlinie 2003/98 sieht nämlich im Wesentlichen vor, dass diese Richtlinie keinerlei Auswirkungen auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß den Rechtsvorschriften u. a. der Union hat und insbesondere die Pflichten und Rechte gemäß der DSGVO unberührt lässt.

129

Nach alledem ist auf die dritte Frage zu antworten, dass die Bestimmungen der DSGVO, insbesondere ihr Art. 5 Abs. 1, ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10, dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die es der mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betrauten öffentlichen Einrichtung erlaubt, diese Daten Wirtschaftsteilnehmern zur Weiterverwendung zu übermitteln.

Zur vierten Frage

130

Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob der Grundsatz des Vorrangs des Unionsrechts dahin auszulegen ist, dass er es dem Verfassungsgericht eines Mitgliedstaats, bei dem ein Rechtsbehelf gegen eine nationale Regelung anhängig ist, die im Licht einer Vorabentscheidung des Gerichtshofs mit dem Unionsrecht unvereinbar ist, verwehrt, in Anwendung des Grundsatzes der Rechtssicherheit zu entscheiden, dass die Rechtswirkungen dieser Regelung bis zum Zeitpunkt der Verkündung des Urteils, mit dem es endgültig über diesen verfassungsrechtlichen Rechtsbehelf entscheidet, aufrechterhalten werden.

131

Wie aus der Vorlageentscheidung hervorgeht, wird diese Frage aufgrund der großen Zahl der Rechtsverhältnisse gestellt, die von der im Ausgangsverfahren in Rede stehenden nationalen Regelung betroffen sind, und angesichts dessen, dass das vorlegende Gericht nach Art. 32 Abs. 3 des Gesetzes über das Verfassungsgericht und der dazu ergangenen Rechtsprechung bei der Wahrnehmung seiner Aufgabe, ein Gleichgewicht zwischen dem Grundsatz der Rechtssicherheit und den Grundrechten der betroffenen Personen zu gewährleisten, die Rückwirkung seiner Urteile beschränken kann, um zu verhindern, dass diese in schwerwiegender Weise die Rechte anderer beeinträchtigen.

132

Hierzu ist darauf hinzuweisen, dass durch die Auslegung einer Vorschrift des Unionsrechts, die der Gerichtshof in Ausübung seiner Befugnisse aus Art. 267 AEUV vornimmt, erläutert und verdeutlicht wird, in welchem Sinne und mit welcher Tragweite diese Vorschrift seit ihrem Inkrafttreten zu verstehen und anzuwenden ist oder gewesen wäre. Nur ganz ausnahmsweise kann der Gerichtshof aufgrund des allgemeinen unionsrechtlichen Grundsatzes der Rechtssicherheit die für die Betroffenen bestehende Möglichkeit beschränken, sich auf die Auslegung, die er einer Bestimmung gegeben hat, zu berufen, um in gutem Glauben begründete Rechtsverhältnisse in Frage zu stellen. Eine solche Beschränkung ist nur dann zulässig, wenn zwei grundlegende Kriterien erfüllt sind, nämlich guter Glaube der Betroffenen und die Gefahr schwerwiegender Störungen (Urteile vom 6. März 2007, Meilicke, C‑292/04, EU:C:2007:132, Rn. 34 und 35, vom 22. Januar 2015, Balazs, C‑401/13 und C‑432/13, EU:C:2015:26, Rn. 49 und 50, sowie vom 29. September 2015, Gmina Wrocław, C‑276/14, EU:C:2015:635, Rn. 44 und 45).

133

Eine solche Beschränkung kann nach der ständigen Rechtsprechung des Gerichtshofs nur in dem Urteil selbst vorgenommen werden, in dem über die erbetene Auslegung entschieden wird. Die zeitliche Wirkung der vom Gerichtshof auf ein Ersuchen hin vorgenommenen Auslegung einer Vorschrift des Unionsrechts muss nämlich notwendigerweise zu einem einzigen Zeitpunkt bestimmt werden. Der Grundsatz, dass eine Beschränkung nur in dem Urteil selbst erfolgen kann, mit dem über die erbetene Auslegung entschieden wird, stellt die Gleichbehandlung der Mitgliedstaaten und der Einzelnen in Ansehung des Unionsrechts sicher und erfüllt damit die Anforderungen, die sich aus dem Grundsatz der Rechtssicherheit ergeben (Urteil vom 6. März 2007, Meilicke, C‑292/04, EU:C:2007:132, Rn. 36 und 37; vgl. in diesem Sinne auch Urteile vom 23. Oktober 2012, Nelson u. a., C‑581/10 und C‑629/10, EU:C:2012:657, Rn. 91, und vom 7. November 2018, O’Brien, C‑432/17, EU:C:2018:879, Rn. 34).

134

Folglich können die zeitlichen Wirkungen einer Vorabentscheidung des Gerichtshofs weder vom Zeitpunkt der Verkündung des Urteils abhängen, mit dem das vorlegende Gericht endgültig über das Ausgangsverfahren entscheidet, noch von der Beurteilung der Notwendigkeit, die Rechtswirkungen der fraglichen nationalen Regelung aufrechtzuerhalten, durch dieses Gericht.

135

Nach dem Grundsatz des Vorrangs des Unionsrechts dürfen nämlich Vorschriften des nationalen Rechts, auch wenn sie Verfassungsrang haben, die einheitliche Geltung und die Wirksamkeit des Unionsrechts nicht beeinträchtigen (vgl. in diesem Sinne Urteile vom 26. Februar 2013, Melloni, C‑399/11, EU:C:2013:107, Rn. 59, und vom 29. Juli 2019, Pelham u. a., C‑476/17, EU:C:2019:624, Rn. 78). Selbst wenn zwingende Erwägungen der Rechtssicherheit ausnahmsweise zu einer vorläufigen Aussetzung der Verdrängungswirkung führen können, die durch eine unmittelbar anwendbare Vorschrift des Unionsrechts gegenüber dem mit ihr unvereinbaren nationalen Recht ausgeübt wird, können die Voraussetzungen für eine solche Aussetzung nur vom Gerichtshof bestimmt werden (vgl. in diesem Sinne Urteil vom 8. September 2010, Winner Wetten, C‑409/06, EU:C:2010:503, Rn. 61 und 67).

136

Da im vorliegenden Fall das Bestehen einer Gefahr schwerwiegender Störungen aufgrund der vom Gerichtshof im vorliegenden Urteil vorgenommenen Auslegung nicht dargetan ist, sind seine Wirkungen nicht zeitlich zu begrenzen, da die in Rn. 132 des vorliegenden Urteils genannten Kriterien kumulativ sind.

137

Nach alledem ist auf die vierte Frage zu antworten, dass der Grundsatz des Vorrangs des Unionsrechts dahin auszulegen ist, dass er es dem Verfassungsgericht eines Mitgliedstaats, bei dem ein Rechtsbehelf gegen eine nationale Regelung anhängig ist, die im Licht einer Vorabentscheidung des Gerichtshofs mit dem Unionsrecht unvereinbar ist, verwehrt, in Anwendung des Grundsatzes der Rechtssicherheit zu entscheiden, dass die Rechtswirkungen dieser Regelung bis zum Zeitpunkt der Verkündung des Urteils, mit dem es endgültig über diesen verfassungsrechtlichen Rechtsbehelf entscheidet, aufrechterhalten werden.

Kosten

138

Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

1.      Art. 10 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er auf die Verarbeitung personenbezogener Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, anwendbar ist.

2.      Die Bestimmungen der Verordnung (EU) 2016/679, insbesondere ihr Art. 5 Abs. 1, ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10, sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, die die mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betraute öffentliche Einrichtung verpflichtet, diese Daten der Öffentlichkeit zugänglich zu machen, ohne dass die Person, die den Zugang beantragt, ein besonderes Interesse am Erhalt dieser Daten nachzuweisen hat.

3.      Die Bestimmungen der Verordnung (EU) 2016/679, insbesondere ihr Art. 5 Abs. 1, ihr Art. 6 Abs. 1 Buchst. e und ihr Art. 10, sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, die es der mit dem Register, in das die gegen Fahrzeugführer wegen Verkehrsverstößen verhängten Strafpunkte eingetragen werden, betrauten öffentlichen Einrichtung erlaubt, diese Daten Wirtschaftsteilnehmern zur Weiterverwendung zu übermitteln.

4.      Der Grundsatz des Vorrangs des Unionsrechts ist dahin auszulegen, dass er es dem Verfassungsgericht eines Mitgliedstaats, bei dem ein Rechtsbehelf gegen eine nationale Regelung anhängig ist, die im Licht einer Vorabentscheidung des Gerichtshofs mit dem Unionsrecht unvereinbar ist, verwehrt, in Anwendung des Grundsatzes der Rechtssicherheit zu entscheiden, dass die Rechtswirkungen dieser Regelung bis zum Zeitpunkt der Verkündung des Urteils, mit dem es endgültig über diesen verfassungsrechtlichen Rechtsbehelf entscheidet, aufrechterhalten werden.

Sprechen Sie uns an!

Kundenservice
Max-Planck-Str. 7/9
97082 Würzburg
Tel. 0931 4170-472
kontakt@iww.de

Garantierte Erreichbarkeit

Montag - Donnerstag: 8 - 17 Uhr
Freitag: 8 - 16 Uhr