Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Begriff ‚Verarbeitung‘ personenbezogener Daten. Mobile Anwendung. Überprüfung der Gültigkeit von nach der Verordnung (EU) 2021/953 ausgestellten ‚digitalen Covid-Zertifikaten der EU‘
Normenkette
EUVO 679/2016 Art. 4 Nr. 2
Beteiligte
Ministerstvo zdravotnictví (Application mobile Covid-19) |
Ministerstvo zdravotnictví |
Tenor
Der Begriff „Verarbeitung“ personenbezogener Daten in Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
er die Überprüfung der Gültigkeit interoperabler Covid-19-Zertifikate zur Bescheinigung von Impfung, Test und Genesung, die gemäß der Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Covid-19-Impfungen und -Tests sowie der Genesung von einer Covid-19-Infektion (digitales Covid-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der Covid-19-Pandemie ausgestellt und von einem Mitgliedstaat für nationale Zwecke verwendet werden, mittels einer nationalen mobilen Anwendung umfasst.
Tatbestand
In der Rechtssache C-659/22
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Nejvyšší správní soud (Oberstes Verwaltungsgericht, Tschechische Republik) mit Entscheidung vom 12. Oktober 2022, beim Gerichtshof eingegangen am 20. Oktober 2022, in dem Verfahren
RK
gegen
Ministerstvo zdravotnictví
erlässt
DER GERICHTSHOF (Achte Kammer)
unter Mitwirkung des Kammerpräsidenten M. Safjan sowie der Richter N. Piçarra und M. Gavalec (Berichterstatter),
Generalanwältin: L. Medina,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
- – von RK, vertreten durch D. Sudolská, Advokátka,
- – der tschechischen Regierung, vertreten durch M. Smolek, O. Serdula und J. Vláčil als Bevollmächtigte,
- – der niederländischen Regierung, durch M. K. Bulterman und A. Hanje als Bevollmächtigte,
- – der Europäischen Kommission, vertreten durch A. Bouchagiar, H. Kranenborg und P. Ondrůšek als Bevollmächtigte,
aufgrund des nach Anhörung der Generalanwältin ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Abs. 1 und Art. 4 Nr. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
Rz. 2
Es ergeht im Rahmen eines Rechtsstreits zwischen RK und dem Ministerstvo zdravotnictví (Gesundheitsministerium, Tschechische Republik, im Folgenden: Ministerium) über eine außerordentliche Maßnahme, mit der das Ministerium den Zugang von Personen zu bestimmten Räumlichkeiten und Veranstaltungen zum Schutz der Bevölkerung vor der Ausbreitung der Covid-19-Pandemie regelte.
Rechtlicher Rahmen
DSGVO
Rz. 3
Im ersten Erwägungsgrund der DSGVO heißt es: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union … sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union … hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Rz. 4
Art. 2 („Sachlicher Geltungsbereich“) Abs. 1 der Verordnung 2016/679 bestimmt:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Rz. 5
Art. 2 Abs. 2 zählt vier Fälle auf, in denen die DSGVO „keine Anwendung auf die Verarbeitung personenbezogener Daten [findet]“.
Rz. 6
Art. 4 der Verordnung 2016/679 bestimmt:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert ...