EuGH: Keine öffentliche Einsicht in Strafpunkte aus Verkehrsverstößen

Einfach mal beim Kraftfahrt-Bundesamt in Flensburg anrufen und die Punkte des Nachbarn erfragen? Geht doch nicht. In Lettland bislang aber schon. Nun hat der EuGH dem einen Riegel vorgeschoben. Dem Datenschutz sei Dank. Wir zeigen auf, inwieweit das Urteil auch für Deutschland relevante Klarstellungen liefert.

Zeigt her Eure Punkte

Die Vorstellung, ein anderer könnte ohne große Mühe meinen „Punktestand“ in Flensburg in Erfahrung bringen, erscheint abwegig. Und glücklicherweise ist sie das in Deutschland auch. Nicht so – bislang – in Lettland:

Nach dem lettischen Straßenverkehrsgesetz sind die Informationen über gegen Fahrzeugführer verhängte und in einem entsprechenden Register bei der Direktion für Straßenverkehrssicherheit (CSDD) eingetragene Strafpunkte öffentlich zugänglich und werden von der CSDD jeder Person übermittelt, die dies beantragt. Der Antragsteller muss hierfür noch nicht einmal ein besonderes Interesse am Erhalt dieser Informationen geltend machen. Vielmehr durften die Informationen sogar an Wirtschaftsteilnehmer zum Zweck der (nicht näher spezifizierten) „Weiterverwendung“ übermittelt werden. Ein lettischer Bürger, der Zweifel an der Rechtmäßigkeit dieser Regelung, konkret an deren Vereinbarkeit mit dem in der lettischen Verfassung verbürgten Recht auf Achtung des Privatlebens, hatte, zog vor das Verfassungsgericht, das vor seiner Entscheidung eine europarechtliche Klärung durch den EuGH ersuchte.

Zu klärende Vorlagefragen

Dabei stellten sich für das lettische Verfassungsgericht mehrere Fragen, die gemäß Übersetzung der „Zusammenfassung des Vorabentscheidungsersuchens“ wie folgt lauteten:

1. Ist der in Art. 10 der Verordnung 2016/679 verwendete Begriff „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln“ dahin auszulegen, dass er auch die in der in Rede stehenden Vorschrift vorgesehene Verarbeitung von Informationen über die Punkte umfasst, die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängt worden sind?
2. Können – unabhängig von der Beantwortung der ersten Frage – die Bestimmungen der Verordnung 2016/679, insbesondere der in Art. 5 Abs. 1 Buchst. f genannte Grundsatz der „Integrität und Vertraulichkeit“, dahin ausgelegt werden, dass sie es den Mitgliedstaaten verbieten, festzulegen, dass Informationen über die wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängten Punkte jedermann zugänglich sind, und die Verarbeitung der entsprechenden Daten durch deren Offenlegung zu gestatten?
3. Sind die Erwägungsgründe 50 und 154, Art. 5 Abs. 1 Buchst. B und Art. 10 der Verordnung 2016/679 sowie Art. 1 Abs. 2 Buchst. c der Richtlinie 2003/98/EG dahin auszulegen, dass sie der Regelung eines Mitgliedstaats entgegenstehen, die die Übertragung von Informationen über wegen Verkehrsordnungswidrigkeiten gegen Fahrzeugführer verhängte Punkte zum Zweck der Weiterverwendung gestattet?
4. Sollte eine der vorstehenden Fragen bejaht werden, sind dann der Grundsatz des Vorrangs des Unionsrechts und der Grundsatz der Rechtssicherheit dahin auszulegen, dass es zulässig sein könnte, die in Rede stehende Norm anzuwenden und ihre rechtlichen Wirkungen bis zum Eintritt der Rechtskraft der abschließenden Entscheidung des Verfassungsgerichts aufrechtzuerhalten?

Aus „deutscher“ Sicht kann man die vier Vorlagefragen gut in zwei Gruppen unterteilen: zum einen diejenigen Fragen, die auf die Vereinbarkeit der konkreten lettischen Regelung mit europäischem Recht, insbesondere der DSGVO, abzielen (Vorlagefragen 2 und 3). Zum anderen die Vorlagefragen 1 und 4, die eher allgemeine Auslegungsfragen der DSGVO und des Europarechts betreffen.

Verbesserung der Straßenverkehrssicherheit kein ausreichendes Argument

In seinem Urteil zur Rechtssache C-439/19, kommt der EuGH nach seiner Pressemitteilung, bezüglich Vorlagefrage 2 zu der wohl wenig überraschenden Erkenntnis,

„dass die DSGVO der lettischen Regelung entgegensteht, die die CSDD verpflichtet, die Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, der Öffentlichkeit zugänglich zu machen, ohne dass die Person, die den Zugang beantragt, ein besonderes Interesse am Erhalt dieser Daten nachzuweisen hat.“

Zwar sieht der Gerichtshof die Verbesserung der Straßenverkehrssicherheit als ein „von der Union anerkanntes Ziel im allgemeinen Interesse“ an. Der Gerichtshof hebt zudem hervor, dass die Mitgliedstaaten somit die Straßenverkehrssicherheit als „Aufgabe (…) die im öffentlichen Interesse liegt“, einstufen können. Damit wäre eine Legitimierung entsprechender Maßnahmen über Art. 6 Abs. 1 Buchst. e der DSGVO denkbar. Allerdings sei bereits

„nicht nachgewiesen, dass die lettische Regelung der Übermittlung personenbezogener Daten über Strafpunkte zur Gewährleistung des verfolgten Ziels erforderlich ist.“

Neben der Möglichkeit des Bestehens milderer Maßnahmen weist der EuGH auch darauf hin, dass die Übermittlung der Strafpunkte an die Öffentlichkeit einen schweren Eingriff in die Rechte auf Achtung des Privatlebens bedeuten und eine Stigmatisierung der betroffenen Person zur Folge haben könne.

Aus denselben Gründen entscheidet der EuGH zudem (hinsichtlich Vorlagefrage 3),

„dass die DSGVO der lettischen Regelung auch insoweit entgegensteht, als sie es der CSDD erlaubt, Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, an Wirtschaftsteilnehmer zu übermitteln, damit diese sie weiterverwenden und an die Öffentlichkeit übermitteln können.“

Verarbeitungen im Rahmen des „Punkteregisters“ unterliegen der DSGVO

Für den deutschen Rechtsanwender möglicherweise interessanter sind jedoch die Feststellungen des EuGH zur Anwendbarkeit von Art. 10 DSGVO auf den vorliegenden Fall:

Der EuGH führt insoweit zunächst aus, dass die DSGVO überhaupt auf den vorliegenden Fall anwendbar ist und insbesondere der Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO nicht greift. Nach dieser Vorschrift beansprucht die DSGVO keine Geltung in Bereichen, die außerhalb des Anwendungsbereichs des Unionsrechts liegen. Hierzu heißt es im Urteil (Rn. 66 ff.):

„Daraus folgt, dass Art. 2 Abs. 2 Buchst. a der DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung so zu verstehen ist, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden (…).

Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten, auf die Art. 2 Abs. 2 Buchst. a der DSGVO abstellt, umfassen (…) insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken.

Mit den Tätigkeiten, die die Straßenverkehrssicherheit betreffen, wird jedoch kein solches Ziel verfolgt, so dass sie nicht der Kategorie der auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten zugeordnet werden können, auf die Art. 2 Abs. 2 Buchst. a der DSGVO abstellt.“

Lettische CSDD keine zuständige Behörde im Bereich des Strafrechts

Auch der Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. d DSGVO steht nach zutreffender Ansicht des EuGH der Anwendung der DSGVO hier nicht entgegen: Die lettische Direktion für Straßenverkehrssicherheit (CSDD) ist nämlich keine zuständige Behörde im Bereich des Strafrechts im Sinne dieser Vorschrift (und des Art. 3 Nr. 7 der Richtlinie (EU) 2016/680). Damit greifen grundsätzlich die Vorschriften der DSGVO – und wie der Gerichtshof in Beantwortung der Vorlagefrage 1 feststellt, gerade auch deren Art. 10.

Verkehrsverstöße sind Straftaten im Sinne der DSGVO

Art. 10 DSGVO verschärft die Zulässigkeit der Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten, indem er sie unter einen sog. „Behördenvorbehalt“ stellt. Der EuGH stellt nun klar, dass auch die fraglichen Verkehrsverstöße unter den Begriff „Straftaten“ im Sinne dieser Vorschrift fallen.

Die Frage, ob auch Ordnungswidrigkeiten des deutschen Rechts unter Art. 10 DSGVO fallen, ist umstritten, wird aber in der Literatur oftmals verneint. Tatsächlich sprachen bislang gute Gründe gegen eine Anwendung des Art. 10 auch auf OWi-Verfahren, nicht zuletzt der Umstand, dass die Aufnahme von „verwaltungsrechtlichen Sanktionen“ in den Text der Vorschrift lange diskutiert wurde – und schließlich unterblieb.

Zentrale Kriterien der Bewertung als „Straftat“

Unstreitig ist der Begriff der Straftat autonom unionsrechtlich auszulegen. Die europäische Rechtsprechung hat hierfür drei Beurteilungskriterien entwickelt:

• die rechtliche Einordnung der Zuwiderhandlung im innerstaatlichen Recht,
• die Art der Zuwiderhandlung und
• der Schweregrad der drohenden Sanktion.

Der EuGH hat nun bezüglich der Strafpunkte im Verkehrsrecht entschieden, dass sich trotz der Verortung im Ordnungswidrigkeitenrecht der strafrechtliche Charakter aber auch anderweitig ergeben könne (vgl. Urteil, Rn. 88 f.):

„Auch für Zuwiderhandlungen, die im innerstaatlichen Recht nicht als „strafrechtlich“ eingestuft werden, kann sich ein solcher Charakter nichtsdestoweniger aus der Art der Zuwiderhandlung und dem Schweregrad der dem Betroffenen drohenden Sanktion ergeben (…).

Das Kriterium, das sich auf die Art der Zuwiderhandlung bezieht, erfordert die Prüfung, ob mit der fraglichen Sanktion u. a. eine repressive Zielsetzung verfolgt wird, ohne dass der bloße Umstand, dass mit ihr auch eine präventive Zielsetzung verfolgt wird, ihr ihre Einstufung als strafrechtliche Sanktion nehmen kann. Es liegt nämlich in der Natur strafrechtlicher Sanktionen, dass sie sowohl auf die Repression als auch auf die Prävention rechtswidriger Verhaltensweisen abzielen. Dagegen ist eine Maßnahme, die nur den durch die Zuwiderhandlung entstandenen Schaden ersetzen soll, nicht strafrechtlicher Natur (…).

Es steht indessen fest, dass mit der Verhängung von Strafpunkten für Verkehrsverstöße ebenso wie mit Bußgeldern oder anderen Sanktionen, die die Begehung dieser Verstöße nach sich ziehen kann, nicht nur der Ersatz von Schäden bezweckt wird, die durch diese Verstöße möglicherweise verursacht werden, sondern auch ein repressiver Zweck verfolgt wird.“

Zudem komme die Verhängung von Strafpunkten nur bei erheblichen Verstößen in Betracht und könnten somit auch „zu Sanktionen mit einem gewissen Schweregrad führen“. Daher fallen die fraglichen Verkehrsverstöße nach dem EuGH unter den Begriff „Straftaten“ im Sinne der DSGVO.

Keine weitere Anwendung der beanstandeten Norm

Abschließend stellt der EuGH (zur 4. Vorlagefrage) klar, dass es der Vorrang des Unionsrechts dem vorlegenden Gericht verwehrt, die Rechtswirkungen der nationalen Regelung bis zum Zeitpunkt der Verkündung seines endgültigen Urteils aufrechtzuerhalten. Die Norm darf daher nicht weiter angewandt werden.

Bedeutung über das Verkehrsrecht hinaus?

Inwieweit sich aus dem Urteil des EuGH Auswirkungen auch auf andere Bereiche, in denen Ordnungswidrigkeiten relevant sind, ergeben, bleibt abzuwarten. Aufgrund der Besonderheit der Punkte als strafendes, repressives Element, dürfte eine erhebliche Ausweitung des Anwendungsbereichs des Art. 10 DSGVO eher nicht zu erwarten sein.