Entscheidungsstichwort (Thema)
Elektronische Kommunikation. Richtlinie 2002/58/EG. Art. 6 Abs. 2 und 5. Verarbeitung personenbezogener Daten. Für die Gebührenabrechnung und die Forderungseinziehung erforderliche Verkehrsdaten. Forderungseinziehung durch eine dritte Gesellschaft. Personen, die auf Weisung der Betreiber öffentlicher Kommunikationsnetze und Kommunikationsdienste handeln
Beteiligte
Tenor
Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) ist in dem Sinne auszulegen, dass danach ein Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste (Diensteanbieter) im Hinblick auf die Einziehung seiner Telekommunikationsleistungen betreffenden Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen übermitteln und dieser Zessionar diese Daten verarbeiten darf, sofern er erstens in Bezug auf die Verarbeitung dieser Daten auf Weisung des Diensteanbieters handelt und sich zweitens auf die Verarbeitung derjenigen Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Forderungen erforderlich sind.
Unabhängig von der Einstufung des Abtretungsvertrags ist davon auszugehen, dass der Zessionar im Sinne von Art. 6 Abs. 5 der Richtlinie 2002/58 auf Weisung des Diensteanbieters handelt, wenn er für die Verarbeitung von Verkehrsdaten nur auf Anweisung dieses Diensteanbieters und unter dessen Kontrolle handelt. Der zwischen Zessionar und Diensteanbieter geschlossene Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen durch den Zessionar zu überzeugen.
Tatbestand
In der Rechtssache
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Entscheidung vom 16. Februar 2012, beim Gerichtshof eingegangen am 6. März 2012, in dem Verfahren
Josef Probst
gegen
mr.nexnet GmbH
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung des Richters K. Lenaerts (Berichterstatter) in Wahrnehmung der Aufgaben des Präsidenten der Dritten Kammer sowie der Richter E. Juhász, G. Arestis, T. von Danwitz und D. Šváby,
Generalanwalt: P. Cruz Villalón,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
- der mr.nexnet GmbH, vertreten durch Rechtsanwalt P. Wassermann,
- der Europäischen Kommission, vertreten durch F. Wilman und F. Bulst als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201, S. 37).
Rz. 2
Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der mr.nexnet GmbH (im Folgenden: nexnet), Zessionarin von Forderungen betreffend Internetzugangsdienstleistungen, die die Verizon Deutschland GmbH (im Folgenden: Verizon) gegenüber Herrn Probst, dem Empfänger dieser Leistungen, erbracht hat.
Rechtlicher Rahmen
Richtlinie 95/46/EG
Rz. 3
Art. 16 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) bestimmt:
„Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen gesetzliche Verpflichtungen.”
Rz. 4
Art. 17 der Richtlinie 95/46 sieht vor:
„(1) Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten an...