Rechtsprechung / Europäischer Gerichtshof
Europäischer Gerichtshof Schlussantrag des Generalanwalts vom 05.03.2026 – C-167/26
ECLI:EU:C:2026:167
Vorläufige Fassung
SCHLUSSANTRÄGE DES GENERALANWALTS
DEAN SPIELMANN
vom 5. März 2026(1)
Rechtssache C‑5/25 (Pilev)(i)
Strafverfahren
gegen
WE,
Beteiligte:
Sofiyska gradska prokuratura
(Vorabentscheidungsersuchen des Sofiyski gradski sad [Stadtgericht Sofia, Bulgarien])
„ Vorlage zur Vorabentscheidung – Justizielle Zusammenarbeit in Strafsachen – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts – Von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommene Verarbeitungen – Anwendbarkeit der Richtlinie (EU) 2016/680 – Überprüfung der Identität des Angeklagten in öffentlicher Verhandlung – Angaben zum Geburtsort, zur Staatsangehörigkeit, zum Wohnort, zur Ausbildung, zum Familienstand, zum Strafregister und zur ethnischen Zugehörigkeit (‚narodnost‘) “
Einleitung
1. Die vorliegende Rechtssache betrifft den Umfang der Erhebung personenbezogener Daten eines Angeklagten durch ein nationales Strafgericht, die ausschließlich dazu dient, zu überprüfen, ob diese Person tatsächlich die in der Anklageschrift genannte Person ist. Sie bezieht sich hingegen nicht auf die Frage der Unabhängigkeit des Richters im Rahmen seiner Funktion als Tatrichter und seines Ermessensspielraums, den Angeklagten diesbezüglich zu befragen.
2. Diese Rechtssache gibt dem Gerichtshof somit Gelegenheit, den Anwendungsbereich der Richtlinie (EU) 2016/680(2) im Verhältnis zur Verordnung (EU) 2016/679(3) zu klären und seine Rechtsprechung zur Verhältnismäßigkeit im Hinblick auf den Zweck, den ein Strafgericht mit der Erhebung personenbezogener Daten verfolgt, zu ergänzen.
Rechtlicher Rahmen
Richtlinie 2016/680
3. Art. 1 („Gegenstand und Ziele“) Abs. 1 der Richtlinie 2016/680 sieht vor:
„Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“
4. Art. 2 („Anwendungsbereich“) Abs. 1 der Richtlinie 2016/680 bestimmt:
„Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.“
5. In Art. 3 („Begriffsbestimmungen“) der Richtlinie 2016/680 heißt es:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck:
…
7. ‚zuständige Behörde‘
a) eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist, oder
b) eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, übertragen wurde;
…“
6. In Art. 4 („Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten“) der Richtlinie 2016/680 heißt es:
„(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten
…
c) dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sind,
…“
7. Art. 8 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 der Richtlinie 2016/680 bestimmt:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung nur dann rechtmäßig ist, wenn und soweit diese Verarbeitung für die Erfüllung einer Aufgabe erforderlich ist, die von der zuständigen Behörde zu den in Artikel 1 Absatz 1 genannten Zwecken wahrgenommenen wird, und auf Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erfolgt.“
8. Art. 10 („Verarbeitung besonderer Kategorien personenbezogener Daten“) der Richtlinie 2016/680 lautet:
„Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung ist nur dann erlaubt, wenn sie unbedingt erforderlich ist und vorbehaltlich geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person erfolgt und
a) wenn sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig ist,
b) der Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person dient oder
c) wenn sie sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat.“
Bulgarisches Recht
Strafprozessordnung (NPK)
9. In Art. 138 Abs. 2 und 3 des Nakazatelno-protsesualen kodeks (Strafprozessordnung)(4) vom 29. April 2006 (im Folgenden: NPK) heißt es:
„…
(2) Vor der Vernehmung stellt die zuständige Behörde die Identität des Angeklagten fest.
(3) Die Vernehmung des Angeklagten beginnt mit der Frage, ob er die Anklage versteht; danach wird er aufgefordert, falls er es wünscht, mit eigenen Worten alles darzulegen, was er über die Strafsache weiß.“
10. Art. 272 Abs. 1 NPK sieht vor:
„Der Vorsitzende überprüft die Identität des Angeklagten, indem er ihn nach seinem vollständigen Namen, seinem Geburtsdatum und Geburtsort, seiner ethnischen Zugehörigkeit, seiner Staatsangehörigkeit, seinem Wohnsitz, seiner Ausbildung, seinem Familienstand und seiner persönlichen Identifikationsnummer sowie nach Vorstrafen fragt.“
11. Art. 311 Abs. 1 Nr. 2 NPK bestimmt:
„Das gerichtliche Sitzungsprotokoll … enthält … die Angaben zur Person des Angeklagten.“
Gesetz über das Personenstandsregister (ZGR)
12. Der Zakon za grazhdanskata registratsia (Gesetz über das Personenstandsregister)(5) vom 27. Juli 1999 (im Folgenden: ZGR) bestimmt in seinem Art. 8 Abs. 1, dass die Hauptdaten zum Personenstand der Name, das Geburtsdatum (Tag, Monat, Jahr) und der Geburtsort, das Geschlecht, die Staatsangehörigkeit und die persönliche Identifikationsnummer sind.
Gesetz über die bulgarischen Identitätsdokumente (ZBLD)
13. Der Zakon za balgarskite lichni dokumenti (Gesetz über die bulgarischen Identitätsdokumente)(6) vom 1. April 1999 (im Folgenden: ZBLD) sieht in seinem Art. 3 Abs. 1 vor:
„Ausweisdokumente bescheinigen die Identität und bei Bedarf die Staatsangehörigkeit durch die darin enthaltenen Daten.“
14. Art. 6 ZBLD bestimmt:
„Staatsbürger sind verpflichtet, sich auf Verlangen der zuständigen, gesetzlich festgelegten Amtsträger auszuweisen.“
15. Art. 16 Abs. 1 ZBLD lautet:
„Die bulgarischen Identitätsdokumente enthalten die folgenden personenbezogenen Pflichtangaben:
1. Namen;
2. Geburtsdatum;
3. persönliche Identifikationsnummer (Identifikationsnummer oder Identifikationsnummer eines ausländischen Staatsangehörigen);
4. Geschlecht;
5. Staatsangehörigkeit.“
Gerichtsverfassungsgesetz (ZSV)
16. Der Zakon za sadebnata vlast (Gerichtsverfassungsgesetz)(7) (im Folgenden: ZSV) sieht in seinem Art. 8 Abs. 2 vor:
„Bei der Ausübung richterlicher Aufgaben … dürfen keine Rechte beschränkt oder Vorteile gewährt werden, die auf der … ethnischen Zugehörigkeit … beruhen.“
Ausgangsverfahren, Vorlagefrage und Verfahren vor dem Gerichtshof
17. Beim Sofiyski gradski sad (Stadtgericht Sofia, Bulgarien), dem vorlegenden Gericht, wurde eine Anklageschrift der Sofiyska gradska prokuratura (Staatsanwaltschaft der Stadt Sofia, Bulgarien) eingereicht, die einer natürlichen Person vorwirft, am 6. September 2023 zum einen in Sofia Polizeibeamte bestochen zu haben, um die Feststellung einer Ordnungswidrigkeit, nämlich des Führens eines Kraftfahrzeugs ohne Führerschein, zu umgehen, wobei sie zum anderen zeitgleich an Ort und Stelle den Beruf eines Taxifahrers ausgeübt haben soll, ohne im Besitz der erforderlichen Genehmigung zu sein. Bei diesen Sachverhalten soll es sich um Straftaten handeln.
18. Zur ersten gerichtlichen Verhandlung, die am 5. Juli 2024 stattfand, erschienen ein Vertreter der Staatsanwaltschaft der Stadt Sofia, der Angeklagte und sein Verteidiger. Das vorlegende Gericht eröffnete das Verfahren, und gemäß Art. 272 Abs. 1 NPK musste der Kammerpräsident die Identität des Angeklagten feststellen und ihn zu den in dieser Bestimmung genannten Umständen befragen.
19. Anhand des vom Angeklagten vorgelegten Personalausweises vergewisserte sich der Kammerpräsident, dass es sich bei der vor ihm erschienenen Person um die in der Anklageschrift als Angeklagter geführte Person handelt. Er verzichtete jedoch darauf, dem Angeklagten die in Art. 272 Abs. 1 NPK vorgesehenen Fragen zu seiner Identität zu stellen, und die Verhandlung der Rechtssache wurde ausgesetzt.
20. Das vorlegende Gericht ersuchte den Konstitutsionen sad (Verfassungsgericht, Bulgarien) um Feststellung der Unvereinbarkeit von Art. 272 Abs. 1 NPK mit bestimmten Vorschriften der Konstitutsia na Republika Bulgaria (Verfassung der Republik Bulgarien)(8). Da dieses Gericht es ablehnte, in der Sache zu entscheiden, entschied das vorlegende Gericht, das vorliegende Vorabentscheidungsersuchen zu stellen.
21. Das vorlegende Gericht betont, dass es zwar, wie es bereits in der ersten Verhandlung geschehen sei, den Angeklagten anhand seines Ausweises, der alle erforderlichen Identifikationsdaten enthalte, mit hinreichender Sicherheit identifizieren könne, dass aber die in Art. 272 Abs.1 NPK vorgesehene Abfrage der Identifikationsdaten nützlich sei, damit die erschienene Person anhand ihrer Antworten mit größerer Sicherheit nachweisen könne, dass sie tatsächlich der Angeklagte sei, dass also das verwendete Ausweisdokument nicht einer anderen Person gehöre und nicht gefälscht sei. Es weist jedoch darauf hin, dass es zur Identifizierung der erschienenen Person ausreiche, sie zu ihrem vollständigen Namen, ihrem Geburtsdatum und ihrer persönlichen Identifikationsnummer zu befragen.
22. Das vorlegende Gericht hat somit Zweifel daran, ob es durch die Befragung der vor ihm in öffentlicher Verhandlung erschienenen Person zu den anderen in Art. 272 Abs. 1 NPK genannten Merkmalen – nämlich Geburtsort, ethnische Zugehörigkeit, Staatsangehörigkeit, Wohnort, Ausbildung, Familienstand und Vorstrafen – und durch die Erfassung der mündlichen Antworten im Protokoll gegen die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Daten gemäß der Richtlinie 2016/680 verstößt. Da diese weiteren Angaben für die sichere und vollständige Identifizierung des Angeklagten nicht notwendig seien, gehe ihre Erhebung über das hinaus, was zur Erreichung des mit Art. 272 Abs. 1 NPK verfolgten Zwecks, nämlich der Feststellung der Identität des Angeklagten, erforderlich sei.
23. Das vorlegende Gericht weist darauf hin, dass ein Teil der in Art. 272 Abs. 1 NPK genannten personenbezogenen Daten anderen Zwecken dienen könne. So könne der Wohnort dazu dienen, die ladungsfähige Anschrift zu ermitteln, und das Strafregister könne im Hinblick auf die Strafzumessung von Bedeutung sein.
24. Das vorlegende Gericht betont jedoch im Wesentlichen, dass diese Daten, die bereits vor Einleitung der gerichtlichen Ermittlungen erhoben worden seien, nicht der Identifizierung des Angeklagten dienten. Außerdem seien die Befragung des Angeklagten und die Erfassung seiner Antworten für eine zuverlässige Feststellung dieser Umstände nicht ausreichend. Schließlich dürften die Informationen, die bei der Feststellung der Identität der erschienenen Person bekannt würden, nach nationalem Recht bei der Entscheidung in der Sache nicht verwertet werden. Das Gericht stelle zunächst die Identität der vor ihm erschienenen Person fest und belehre sie erst dann über ihre Rechte. Folglich hätten diese Informationen (ethnische Zugehörigkeit, Vorstrafen, Personenstand, Ausbildungsstand) keinen Beweiswert.
25. Das vorlegende Gericht bezweifelt daher, dass Art. 272 Abs. 1 NPK den Anforderungen von Art. 4 Abs. 1 Buchst. c und Art. 8 Abs. 1 der Richtlinie 2016/680 genügt. Seiner Auffassung nach sind die Erhebung, die Erfassung im Gerichtsprotokoll und die anschließende Speicherung der personenbezogenen Daten zum Geburtsort, zur ethnischen Zugehörigkeit, zur Staatsangehörigkeit, zum Wohnort, zur Ausbildung, zum Familienstand und zu Vorstrafen in der Akte des Verfahrens im Hinblick auf die Ziele des Strafverfahrens unverhältnismäßig. Es bezweifelt auch, dass Art. 272 Abs. 1 NPK mit Art. 10 der Richtlinie 2016/680 vereinbar ist, soweit er Informationen über die ethnische Zugehörigkeit des Angeklagten betrifft, da diese Informationen Aufschluss über die ethnische Herkunft dieser Person gäben.
26. Unter diesen Umständen hat der Sofiyski gradski sad (Stadtgericht Sofia) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:
Ist mit Art. 4 Abs. 1 Buchst. c, Art. 8 Abs. 1 und Art. 10 der Richtlinie 2016/680 eine nationale rechtliche Regelung – Art. 272 Abs. 1 NPK – vereinbar, wonach zur Feststellung der Identität des Angeklagten seine personenbezogenen Daten zu Geburtsort, ethnischer Zugehörigkeit („narodnost“), Staatsangehörigkeit, Wohnsitz, Ausbildung, Familienstand und Vorstrafen verarbeitet (erhoben, erfasst und gespeichert) werden, wenn die auf diese Weise erhobenen personenbezogenen Daten für die Zwecke des Strafverfahrens in keiner Weise erforderlich sind?
27. Die Europäische Kommission hat schriftliche Erklärungen eingereicht und in der Sitzung vom 3. Dezember 2025 auch mündliche Ausführungen gemacht.
Würdigung
28. Auch wenn aus dem Vorabentscheidungsersuchen hervorgeht, dass das vorlegende Gericht davon ausgeht, dass die streitige nationale Regelung in den Anwendungsbereich der Richtlinie 2016/680 fällt, ist vor einer Prüfung der vom vorlegenden Gericht aufgeworfenen Frage in der Sache die Frage der Anwendbarkeit der Richtlinie 2016/680 zu untersuchen, wobei übrigens ein Großteil der mündlichen Verhandlung dieser Frage gewidmet worden ist.
Zur Anwendbarkeit der Richtlinie 2016/680
29. Zunächst einmal stellt sich die Frage, ob eine „Verarbeitung personenbezogener Daten“ vorliegt, im Ausgangsverfahren nicht. Aus dem Vorabentscheidungsersuchen geht nämlich hervor, dass die in Rede stehenden personenbezogenen Identifikationsdaten erhoben, im Gerichtsprotokoll erfasst und in der Akte gespeichert werden. Selbst wenn man überdies berücksichtigen würde, dass die Daten zuvor von der nach nationalem Recht zuständigen Behörde erhoben worden sind(9), ist der Begriff der „Verarbeitung“ weit gefasst und umfasst auch die Abfrage und Speicherung durch das vorlegende Gericht. Die Voraussetzung einer „Verarbeitung personenbezogener Daten“ ist folglich erfüllt.
30. Sodann ergibt sich aus dem Wortlaut von Art. 2 Abs. 1 der Richtlinie 2016/680 in Verbindung mit Art. 1 Abs. 1 dieser Richtlinie, dass zwei Voraussetzungen erfüllt sein müssen, damit eine Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Richtlinie fällt. Erstens muss diese Verarbeitung durch eine zuständige Behörde im Sinne von Art. 3 Nr. 7 dieser Richtlinie erfolgen, und zweitens muss diese Verarbeitung zu einem der in Art. 1 Abs. 1 der Richtlinie 2016/680 aufgeführten Zwecke erfolgen, nämlich zur „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. Umgekehrt schließt die DSGVO, die die lex generalis im Bereich der Verarbeitung personenbezogener Daten darstellt, Verarbeitungen durch „zuständige Behörden“ zu solchen Zwecken von ihrem Anwendungsbereich aus(10), da die Richtlinie 2016/680 die in diesem Bereich anwendbare lex specialis ist(11).
31. Zum einen ist die Frage, ob ein Gericht in den persönlichen Anwendungsbereich der Richtlinie 2016/680 fällt, meiner Ansicht nach zu bejahen. Denn Art. 3 Nr. 7 Buchst. a dieser Richtlinie kann mit dem Begriff „zuständige Behörde“ nicht nur die Polizeibehörden, sondern auch die nationalen Strafgerichte erfassen(12). Eine solche Feststellung ergibt sich zwar nicht ausdrücklich aus der Definition des Begriffs „zuständige Behörde“, lässt sich jedoch logisch aus dem Kontext dieser Bestimmung und insbesondere aus mehreren Bestimmungen der Richtlinie 2016/680 ableiten.
32. Denn gemäß Art. 32 Abs. 1 dieser Richtlinie sehen die Mitgliedstaaten vor, dass der Verantwortliche einen Datenschutzbeauftragten benennt, und können sie Gerichte und andere unabhängige Justizbehörden „im Rahmen ihrer justiziellen Tätigkeit“ von dieser Pflicht befreien. Ebenso erfasst Art. 45 Abs. 2 dieser Richtlinie im Licht ihres 80. Erwägungsgrundes(13) ausdrücklich die nationalen Gerichte, indem er jegliche Zuständigkeit der Aufsichtsbehörde für „die von Gerichten im Rahmen ihrer justiziellen Tätigkeit“ vorgenommenen Verarbeitungen ausschließt(14), um nicht in die spezifischen Vorschriften des Strafverfahrens und die richterliche Unabhängigkeit einzugreifen.
33. Diese Bestimmungen bestätigen, dass die Gerichte bei der Ausübung ihrer justiziellen Tätigkeit den Anforderungen der Richtlinie 2016/680 unterliegen, wobei ihre Unabhängigkeit und Unparteilichkeit in diesem Rahmen gewahrt bleibt(15).
34. Ferner werden die Justizbehörden im elften Erwägungsgrund der Richtlinie 2016/680 ausdrücklich erwähnt, wonach „[d]iese zuständigen Behörden … staatliche Stellen wie die Justizbehörden … einschließen [können]“. Die Erwägungsgründe 20, 49 und 107 sowie Art. 18 dieser Richtlinie(16) beziehen sich ebenfalls auf die Verarbeitung personenbezogener Daten durch „Gerichte und andere Justizbehörden …, insbesondere in Bezug auf personenbezogene Daten in einer gerichtlichen Entscheidung oder in Dokumenten betreffend Strafverfahren“(17).
35. Mithin ist davon auszugehen, dass die nationalen Gerichte „zuständige Behörden“ im Sinne der Richtlinie 2016/680 darstellen und den Bestimmungen dieser Richtlinie unterliegen, wenn sie personenbezogene Daten in einer gerichtlichen Entscheidung oder in Dokumenten betreffend Strafverfahren verarbeiten(18).
36. Zum anderen stellt sich die delikatere Frage, ob angenommen werden kann, dass eine Verarbeitung durch einen Richter im Rahmen eines Strafverfahrens in den sachlichen Anwendungsbereich der Richtlinie 2016/680 fällt. Diese Frage, die meines Wissens bisher noch nicht aufgeworfen wurde(19), läuft darauf hinaus, ob diese Verarbeitung auf einen der in Art. 1 Abs. 1 und Art. 3 Nr. 7 Buchst. a dieser Richtlinie genannten Zwecke und insbesondere den Zweck der „Verfolgung“ von Straftaten gerichtet ist.
37. Es sei daran erinnert, dass der Gerichtshof bereits in seinem Urteil Inspektor v Inspektorata kam Visshia sadeben savet (Zwecke der Verarbeitung personenbezogener Daten – Strafrechtliche Ermittlungen)(20) entschieden hat, dass es sich bei den in Art. 1 der Richtlinie 2016/680 genannten Zwecken um jeweils verschiedene Zwecke der „Verhütung“, der „Ermittlung“, der „Aufdeckung“ und der „Verfolgung“ von Straftaten oder der „Strafvollstreckung“ handelt. Mit diesem Urteil ist somit klargestellt worden, dass der Unionsgesetzgeber Vorschriften erlassen wollte, die den Besonderheiten entsprechen, die die Tätigkeiten der zuständigen Behörden in dem von dieser Richtlinie geregelten Bereich kennzeichnen, und dabei berücksichtigt hat, dass es sich um unterschiedliche Tätigkeiten handelt, mit denen jeweils eigene Ziele verfolgt werden(21).
38. Der Begriff „Verfolgung“ bezieht sich – wie Generalanwalt Campos Sánchez-Bordona in seinen Schlussanträgen ausgeführt hat – allerdings auf eine Tätigkeit, die, außer in der spanischen Sprachfassung dieser Richtlinie, dem gerichtlichen Verfahren vorausgeht(22). Im Übrigen bezeichnet dieser Begriff unbeschadet der Unterschiede zwischen den Rechtssystemen der Mitgliedstaaten im Allgemeinen alle Handlungen und Verfahren, die von der Staatsanwaltschaft gegen eine Person eingeleitet werden, die einer Straftat verdächtigt wird, um sie vor Gericht zu stellen und über ihre Schuld oder Unschuld zu entscheiden(23).
39. Zur Bestimmung des sachlichen Anwendungsbereichs der Richtlinie 2016/680 erscheint es mir jedoch sinnvoller, anstatt zu versuchen, zwischen der Rolle der „Strafverfolgungsbehörde“ und der des Richters im Rahmen des gerichtlichen Strafverfahrens zu unterscheiden, den Begriff „Verfolgung“ unter dem Gesichtspunkt des Zwecks der Strafverfolgung aufzufassen. Die Vorschriften dieser Richtlinie gelten nämlich für die Verarbeitung personenbezogener Daten „zum Zwecke“ der Verfolgung von Straftaten.
40. Eine solche teleologische Lesart impliziert meiner Ansicht nach eine weite Auslegung des Begriffs „Verfolgungstätigkeit“, die bestimmte Tätigkeiten der Strafgerichte im Rahmen eines gerichtlichen Verfahrens umfassen kann. Die Verarbeitung personenbezogener Daten durch einen Richter im Rahmen eines Strafverfahrens kann unter bestimmten Umständen, die insbesondere von den nationalen Verfahrenssystemen abhängen(24), als geeignet angesehen werden, es zu ermöglichen, die der verfolgten Person zur Last gelegten Taten hinreichend zu beweisen und die zutreffende strafrechtliche Würdigung dieser Taten festzustellen, so dass letztendlich zu einem Urteil gelangt wird(25). In diesem Sinne kann diese Datenverarbeitung durch das für die Verarbeitung verantwortliche Gericht als „zum Zwecke der Verfolgung von Straftaten“ im Sinne der einschlägigen Bestimmungen der Richtlinie 2016/680 angesehen werden.
41. Vor diesem Hintergrund kann die Tätigkeit der „Verfolgung“ nicht nur die polizeilichen Ermittlungen und die Entscheidung der Staatsanwaltschaft über die Einleitung eines Strafverfahrens umfassen, sondern auch die Untersuchung, die Anklageerhebung und gegebenenfalls ein Strafverfahren wie das im Ausgangsverfahren in Rede stehende.
42. Ich stelle im Übrigen fest, dass, wie aus dem Vorabentscheidungsersuchen hervorgeht, das mit der Anklageschrift der Staatsanwaltschaft befasste vorlegende Gericht nach der polizeilichen Ermittlung das Verfahren fortführt und selbst gerichtliche Ermittlungen durchführt(26), die mit der Überprüfung der Identität des Angeklagten gemäß Art. 272 NPK beginnen und bis zur Entscheidung in der Sache durch denselben Richter reichen. Letzterer hat somit die Aufgabe, „das gerichtliche Verfahren im Rahmen der Strafverfolgung im Anschluss an die von der Staatsanwaltschaft erhobene Anklage durchzuführen“. Nach Ansicht des vorlegenden Gerichts handelt es sich dabei um die gerichtliche Phase des Strafverfahrens, das zum Zweck der Strafverfolgung eingeleitet worden ist. In diesem Zusammenhang erhält der Begriff „Verfolgungstätigkeit“ im Rahmen des gerichtlichen Strafverfahrens seine volle Bedeutung.
43. Ich möchte hinzufügen, dass diese weit gefasste Auslegung des Begriffs „Verfolgungstätigkeit“ nicht nur den Vorteil hat, dass sie die verschiedenen nationalen Strafrechtssysteme nicht präjudiziert, sondern auch nicht im Widerspruch zu dem Grundsatz steht, dass Ausnahmen von der Anwendung der DSGVO als lex generalis eng ausgelegt werden müssen(27). Dieser Ansatz führt nämlich nicht dazu, dass das gerichtliche Strafverfahren den Vorschriften zum Schutz personenbezogener Daten entzogen wird, sondern dass es der lex specialis in diesem Bereich unterliegt, wie es speziell in Art. 2 Abs. 2 Buchst. d DSGVO vorgesehen ist.
44. Schließlich scheint mir, dass sich die teleologische Lesart des Begriffs „Verfolgungstätigkeit“ aus der Entstehungsgeschichte der Richtlinie 2016/680 ableitet und deren Zielen entspricht.
45. Erstens stelle ich nämlich in Bezug auf die Entstehung der Richtlinie 2016/680 fest, dass mit Inkrafttreten des Vertrags von Lissabon Art. 16 AEUV als einschlägige Rechtsgrundlage für die Überarbeitung des Rahmenbeschlusses 2008/977/JI(28) geschaffen wurde. Wie im zehnten Erwägungsgrund der Richtlinie 2016/680 erwähnt, erkannte die Regierungskonferenz in der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm(29), an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Art. 16 AEUV gestützte spezifische Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen. Die Kommission hat daher zwei Textvorschläge vorgelegt, einen allgemeinen in Form einer Verordnung, aus der die DSGVO hervorgegangen ist, und einen anderen spezifischen zum Datenschutz im Bereich des Strafrechts(30), der als sensibler eingestuft wurde und daher Gegenstand einer von den Mitgliedstaaten umzusetzenden Richtlinie sein sollte; aus letzterem ist die Richtlinie 2016/680 hervorgegangen, die für sämtliche Handlungen gilt, die von Akteuren der Strafjustiz vorgenommen werden können, unabhängig davon, ob diese Handlungen eine grenzüberschreitende Dimension haben oder nicht(31).
46. Der Ansatz der Union bestand somit darin, die Verarbeitung von Daten im polizeilichen und strafrechtlichen Kontext von anderen Verarbeitungen personenbezogener Daten zu unterscheiden, um der besonderen Natur des von der Richtlinie 2016/680 abgedeckten Bereichs Rechnung zu tragen, nämlich dem Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit, wie aus den Erwägungsgründen 10 und 11 dieser Richtlinie hervorgeht.
47. Was zweitens die Ziele der Richtlinie 2016/680 betrifft, so soll diese, wie aus den Erwägungsgründen 4, 7 und 15 hervorgeht, für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit insbesondere ein hohes und einheitliches Schutzniveau für personenbezogene Daten natürlicher Personen gewährleisten und den Austausch solcher Daten zwischen den zuständigen Behörden der Mitgliedstaaten erleichtern.
48. Es sei darauf hingewiesen, dass, wie im Schrifttum hervorgehoben wird, das duale Datenschutzsystem zu erheblichen Schwierigkeiten bei der Bestimmung führen kann, ob die DSGVO oder die Richtlinie 2016/680 das einschlägige Instrument ist(32).
49. Umso wichtiger ist es daher, dass die Verarbeitung personenbezogener Daten im Rahmen ein und desselben Strafverfahrens nicht allein deshalb zwei unterschiedlichen Regelungen unterworfen wird, weil diese Verarbeitungen von verschiedenen Strafverfolgungsbehörden in unterschiedlichen Phasen desselben Verfahrens vorgenommen werden. Würden die im Rahmen des Strafverfahrens entscheidenden Strafgerichte vom Anwendungsbereich der Richtlinie 2016/680 ausgenommen, würde dies, wie die Kommission in der mündlichen Verhandlung hervorgehoben hat, nämlich zu einer fragmentierten Regelung führen, bei der je nach betreffendem Verfahrensstadium zwei Regelungen auf ein und dasselbe Strafverfahren Anwendung finden könnten.
50. Ein solcher Ansatz würde meiner Meinung nach nicht nur dem Grundsatz der Rechtssicherheit zuwiderlaufen(33), sondern auch dem einheitlichen und kohärenten Schutz personenbezogener Daten.
51. Darüber hinaus verfügen die Strafverfolgungsbehörden in bestimmten Fällen bei der Erfüllung ihrer Aufgaben im Rahmen der Richtlinie 2016/680 über mehr Flexibilität als im Rahmen der DSGVO(34). Insbesondere ist die Verarbeitung „besonderer Kategorien personenbezogener Daten“, zu denen auch sogenannte „sensible“ Daten gehören, gemäß Art. 10 der genannten Richtlinie nur zulässig, wenn dies unbedingt erforderlich ist, während sie gemäß Art. 9 Abs. 1 DSGVO verboten ist, sofern nicht in Art. 9 Abs. 2 vorgesehene Ausnahmen vorliegen. Ebenso sieht Art. 4 Abs. 1 Buchst. c der Richtlinie 2016/680 zum Grundsatz der Datenminimierung vor, dass personenbezogene Daten dem Verarbeitungszweck entsprechen, maßgeblich sein müssen und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sein dürfen, während Art. 5 Abs. 1 Buchst. c DSGVO vorsieht, dass sie dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
52. Die Anwendung der Richtlinie 2016/680 über das gesamte Strafverfahren hinweg ist daher umso mehr gerechtfertigt, als sich die Vorschriften zum Schutz personenbezogener Daten in einigen Punkten von denen der DSGVO unterscheiden können.
53. Schließlich lässt sich ein fragmentierter Ansatz im Strafverfahren nur schwer mit dem im siebten Erwägungsgrund der Richtlinie 2016/680 genannten Ziel vereinbaren, für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern.
54. Aus alledem folgt, dass die Verarbeitung personenbezogener Daten durch ein nationales Gericht im Rahmen der Prüfung einer Strafsache als Verarbeitung durch eine zuständige Behörde zum Zweck der Verfolgung von Straftaten in den Anwendungsbereich der Richtlinie 2016/680 fällt.
Zur Beantwortung der Vorlagefrage
55. Das vorlegende Gericht fragt im Wesentlichen, ob Art. 4 Abs. 1 Buchst. c, Art. 8 Abs. 1 und Art. 10 der Richtlinie 2016/680 einer nationalen Regelung entgegenstehen, die eine systematische Überprüfung aller in Art. 272 Abs. 1 NPK genannten Informationen durch den Strafrichter vorsieht, und zwar allein zum Zweck der Identifizierung des Angeklagten in einem Strafverfahren(35).
56. Ich erinnere daran, dass die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, die in den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) garantiert sind, keine uneingeschränkte Geltung beanspruchen. Einschränkungen sind daher zulässig, sofern sie gemäß Art. 52 Abs. 1 der Charta gesetzlich vorgesehen sind, den Wesensgehalt der Grundrechte achten sowie den Grundsatz der Verhältnismäßigkeit wahren(36).
57. Der in Art. 4 Abs. 1 Buchst. c der Richtlinie 2016/680 vorgesehene Grundsatz der Datenminimierung und der in Art. 8 Abs. 1 dieser Richtlinie vorgesehene Grundsatz der Rechtmäßigkeit der Verarbeitung verpflichten die Mitgliedstaaten somit, vorzusehen, dass die betreffenden personenbezogenen Daten dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sind und dass die Verarbeitung im Hinblick auf die verfolgten Zwecke gemäß dem Grundsatz der Verhältnismäßigkeit erforderlich ist.
58. Im Übrigen zielt Art. 10 der Richtlinie 2016/680, der eine spezifische Bestimmung darstellt, die die Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere von Daten, aus denen sich die rassische oder ethnische Herkunft ableiten lässt, regelt, darauf ab, einen erhöhten Schutz der betroffenen Person zu gewährleisten, da die betreffenden Daten aufgrund ihrer besonderen Sensibilität und des Kontexts, in dem sie verarbeitet werden, erhebliche Risiken für die durch die Art. 7 und 8 der Charta garantierten Grundrechte und Grundfreiheiten, wie das Recht auf Achtung des Privatlebens und das Recht auf Schutz personenbezogener Daten, mit sich bringen können, wie sich aus dem 37. Erwägungsgrund der genannten Richtlinie ergibt(37).
59. Im vorliegenden Fall hat das vorlegende Gericht die Aufgabe, das gerichtliche Verfahren im Rahmen der Strafverfolgung aufgrund einer Anklage der Staatsanwaltschaft durchzuführen. Um diese Aufgabe erfüllen zu können, muss es die Identität der erschienenen Person formal feststellen und insbesondere überprüfen, ob es sich tatsächlich um die angeklagte Person handelt(38). Zur Überprüfung der Identität des Angeklagten verpflichtet Art. 272 Abs. 1 NPK das vorlegende Gericht, von der erschienenen Person in jedem einzelnen Fall systematisch eine Reihe personenbezogener Daten abzufragen, nämlich ihren vollständigen Namen, ihr Geburtsdatum und ihren Geburtsort, ihre ethnische Zugehörigkeit, ihre Staatsangehörigkeit, ihren Wohnort, ihre Ausbildung, ihren Familienstand, ihre persönliche Identifikationsnummer sowie ihre Vorstrafen.
60. Das Ziel der Überprüfung der Identität des Angeklagten ist als solches legitim und kann einem von der Union anerkannten Ziel des Gemeinwohls im Sinne von Art. 52 Abs. 1 der Charta entsprechen, insbesondere der Vermeidung von Irrtümern in Bezug auf die vor Gericht erschienene Person.
61. Das vorlegende Gericht hat daher zu prüfen, ob das Erfordernis der Erhebung der in Rede stehenden Daten erstens zur Erreichung des angestrebten Ziels der Identitätsfeststellung geeignet ist, ob es zweitens erforderlich ist, was voraussetzt, dass keine anderen Maßnahmen zur Verfügung stehen, die weniger stark in das Recht auf Schutz personenbezogener Daten eingreifen und dennoch geeignet sind, das angestrebte Ziel zu erreichen(39), und ob es drittens in einem angemessenen Verhältnis zu diesem Ziel steht, was eine ausgewogene Gewichtung zwischen der dem Gemeinwohl dienenden Zielsetzung und den Rechten der Person, deren personenbezogene Daten erhoben werden, erfordert(40), wobei der Gerichtshof dafür zuständig ist, ihm zweckdienliche Auslegungshinweise zu geben.
62. Ich weise darauf hin, dass die gestellte Frage nicht die Erhebung bestimmter Personenstands- und Identifikationsdaten wie Namen, Geburtsdatum und persönliche Identifikationsnummer betrifft. Diese Daten stellen übrigens klassische Identifikationsmerkmale dar, auch im Sinne der bulgarischen Rechtsvorschriften über den Personenstand und die Identitätsdokumente(41).
63. Das vorlegende Gericht wirft hingegen die Frage nach der Verhältnismäßigkeit der systematischen Erhebung bestimmter Informationen auf, wie erstens Geburtsort und Staatsangehörigkeit, zweitens Wohnort, Ausbildung, Familienstand und Vorstrafen sowie drittens ethnische Zugehörigkeit, die nacheinander zu erörtern sind.
64. Als Erstes handelt es sich bei einigen dieser Daten, wie Geburtsort und Staatsangehörigkeit, um „Hauptdaten zum Personenstand“(42). Sie ermöglichen somit die Überprüfung der Identität der Person, gegen die die Anklage erhoben wurde, und verhindern Verwechslungen. Im Übrigen ist der Eingriff in das Recht auf Privatsphäre und den Schutz personenbezogener Daten, den die Erhebung solcher Informationen mit sich bringt, nach Abwägung der beteiligten Interessen nicht so groß, dass er im Hinblick auf das angestrebte Ziel der Identitätsüberprüfung unverhältnismäßig erscheint.
65. Als Zweites kann die Erhebung zusätzlicher Daten über die Ausbildung, den Familienstand, den Wohnort und die Vorstrafen, wie das vorlegende Gericht und die Kommission in ihren schriftlichen Erklärungen dargelegt haben, für andere Zwecke als die Identifizierung relevant sein. Die Ausbildung und der Familienstand können nämlich für die Strafzumessung von Bedeutung sein. Der Wohnort kann bei der Überstellung zur Strafvollstreckung in einen anderen Staat eine Rolle spielen. Ebenso können die Vorstrafen Aufschluss darüber geben, ob der Betroffene rückfällig geworden ist. Wie aus den bulgarischen Verfahrensvorschriften hervorgeht, können diese Informationen, die vom Kammerpräsidenten in dieser Phase der Überprüfung der Identität der vor ihm erschienenen Person erhoben werden, jedoch zum einen nicht für die Entscheidung in der Sache herangezogen werden und haben keinen Beweiswert. Zum anderen würde es in jedem Fall nicht ausreichen, den Angeklagten zu befragen und seine Antworten zu protokollieren, um die Zuverlässigkeit dieser Daten zu gewährleisten. Vielmehr müssten nämlich amtliche Dokumente wie das Strafregister, ein Auszug des Personenstandsregisters oder ein Abschlusszeugnis eingesehen oder vorgelegt werden.
66. Unter diesen Umständen bin ich der Ansicht, dass eine Regelung, die unterschiedslos und pauschal vorschreibt, jeden Angeklagten systematisch zu diesen zusätzlichen Daten zu befragen und diese Antworten anschließend im Protokoll festzuhalten, über das hinausgehen könnte, was für den bloßen Zweck seiner Identifizierung erforderlich ist. Das Erfordernis der Identifizierung verlangt meiner Ansicht nach nicht die systematische Verarbeitung aller aufgeführten Kategorien von Daten, sondern nur derjenigen, die unter Berücksichtigung der konkreten Umstände notwendig sind, um einen begründeten Zweifel an der Identität der vor Gericht erschienenen Person auszuräumen, was zu beurteilen Sache des nationalen Gerichts ist.
67. Selbst wenn man im Übrigen davon ausgeht, dass bestimmte Angaben zur Ausbildung, zum Familienstand, zum Wohnort und zum Strafregister in bestimmten Fällen für die Identifizierung des Angeklagten erforderlich sein können, erfordert der Grundsatz der Verhältnismäßigkeit auch, dass alle relevanten Aspekte gewichtet und die Bedeutung der dem Gemeinwohl dienenden Zielsetzung gegen die Schwere des Eingriffs in die Grundrechte und den Schutz der personenbezogenen Daten der betroffenen Person abgewogen werden(43). Die Tatsache, dass diese Daten systematisch abgefragt werden, dass diese Erhebung im Rahmen einer öffentlichen Verhandlung erfolgt, dass diese Daten im Protokoll erfasst und anschließend in den für die Parteien zugänglichen Akten gespeichert werden, kann jedoch einen Eingriff darstellen, der über das hinausgeht, was für die Identifizierung in dieser frühen Phase des Strafverfahrens erforderlich ist.
68. Als Drittes ist in Bezug auf die Angabe zur ethnischen Zugehörigkeit („narodnost“) darauf hinzuweisen, dass Art. 10 der Richtlinie 2016/680 vorsieht, dass die Verarbeitung sensibler Daten „nur dann erlaubt [ist], wenn sie unbedingt erforderlich ist“; hierin liegt eine verschärfte Voraussetzung für die Rechtmäßigkeit der Verarbeitung solcher Daten, was insbesondere bedeutet, dass die Einhaltung des Grundsatzes der „Datenminimierung“, wie er sich aus Art. 4 Abs. 1 Buchst. c dieser Richtlinie ergibt, der in diesem Erfordernis eine spezifische Anwendung auf die genannten sensiblen Daten erfährt, besonders streng kontrolliert werden muss(44). Die Verwendung des Adverbs „nur“ vor der Wendung „wenn sie unbedingt erforderlich ist“ unterstreicht, dass die Verarbeitung dieser besonderen Kategorien nur in einer begrenzten Zahl von Fällen als zulässig angesehen werden kann, während der Umstand, dass die Erforderlichkeit der Verarbeitung solcher Daten „unbedingt“ sein muss, eine besonders strenge Beurteilung erfordert(45).
69. Eine systematische Frage, die jedem Angeklagten in einer öffentlichen Verhandlung zu seiner ethnischen Zugehörigkeit („narodnost“) und somit zur ethnischen Herkunft dieser Person gestellt wird, entspricht in keiner Weise den Anforderungen von Art. 10 der Richtlinie 2016/680(46). Die Identifizierung der verfolgten Person kann nämlich in der Regel anhand der bereits verfügbaren Personenstandsdaten und Identifizierungsmerkmale, insbesondere anhand von Ausweisdokumenten, sichergestellt werden, ohne einen Hinweis auf ihre ethnische Herkunft heranzuziehen. Darüber hinaus setzt die Anforderung der unbedingten Erforderlichkeit voraus, dass anhand konkreter Anhaltspunkte nachgewiesen wird, dass das verfolgte Ziel ohne dieses besondere Datum nicht in gleicher Weise erreicht werden kann. Eine allgemeine und undifferenzierte Verpflichtung zur Erhebung eines solchen personenbezogenen Datums, die in dieser Phase des Verfahrens zur Identifizierung des Angeklagten auferlegt wird und nicht von besonderen Schwierigkeiten bei dieser Identifizierung abhängig gemacht wird, erscheint mir jedoch grundsätzlich als unvereinbar mit dem in Art. 10 der genannten Richtlinie formulierten Erfordernis, dass die Verarbeitung nur erlaubt ist, „wenn sie unbedingt erforderlich ist“(47).
70. Aus alledem folgt, dass ich die Auffassung vertrete, dem vorlegenden Gericht zu antworten, dass Art. 4 Abs. 1 Buchst. c, Art. 8 Abs. 1 und Art. 10 der Richtlinie 2016/680 dahin auszulegen sind, dass sie einer nationalen Regelung wie Art. 272 Abs. 1 NPK entgegenstehen, soweit diese verlangt, dass personenbezogene Daten des Angeklagten über Wohnort, Ausbildungsstand, Familienstand, Vorstrafen und ethnische Herkunft bei der Überprüfung der Identität dieser Person im Rahmen eines Strafverfahrens systematisch verarbeitet (erhoben, erfasst und gespeichert) werden, wenn diese Daten für diesen Zweck nicht erforderlich sind, was vom vorlegenden Gericht zu prüfen ist.
Ergebnis
71. In Anbetracht aller vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die vom Sofiyski gradski sad (Stadtgericht Sofia, Bulgarien) gestellte Vorlagefrage wie folgt zu beantworten:
Art. 4 Abs. 1 Buchst. c, Art. 8 Abs. 1 und Art. 10 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates
sind dahin auszulegen, dass
sie einer nationalen Regelung wie Art. 272 Abs. 1 des Nakazatelno-protsesualen kodeks (bulgarische Strafprozessordnung) entgegenstehen, soweit diese verlangt, dass personenbezogene Daten des Angeklagten über Wohnort, Ausbildungsstand, Familienstand, Vorstrafen und ethnische Zugehörigkeit („narodnost“) bei der Überprüfung der Identität dieser Person im Rahmen eines Strafverfahrens systematisch verarbeitet (erhoben, erfasst und gespeichert) werden, wenn diese Daten für diesen Zweck nicht erforderlich sind, was vom vorlegenden Gericht zu prüfen ist.
1 Originalsprache: Französisch.
i Die vorliegende Rechtssache ist mit einem fiktiven Namen bezeichnet, der nicht dem echten Namen eines Verfahrensbeteiligten entspricht.
2 Richtlinie des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89).
3 Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
4 DV Nr. 86 vom 28. Oktober 2005 in der durch DV Nr. 39 vom 1. Mai 2024 geänderten und ergänzten Fassung.
5 DV Nr. 67 vom 27 Juli 1999 in der durch DV Nr. 85 vom 8. Oktober 2024 geänderten und ergänzten Fassung.
6 DV Nr. 93 vom 11. August 1998 in der durch DV Nr. 67 vom 4. August 2023 geänderten und ergänzten Fassung.
7 DV Nr. 64 vom 7. August 2007 in der durch DV Nr. 67 vom 9. August 2024 geänderten und ergänzten Fassung.
8 DV Nr. 56 vom 13. Juli 1991.
9 Es lässt sich daher darüber diskutieren, ob das vorlegende Gericht die Daten selbst erhebt oder ob sie bereits zuvor von der zuständigen Behörde erhoben worden sind (vgl. hierzu Art. 138 Abs. 2 NPK).
10 Vgl. Art. 2 Abs. 2 Buchst. d DSGVO.
11 Die DSGVO gilt jedoch für die Verarbeitung personenbezogener Daten durch eine „zuständige Behörde“ im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680, wenn diese zu anderen Zwecken tätig wird, beispielsweise in den Bereichen Beschäftigung, Mitarbeiterschulung, Archivierung, Forschung oder Statistik. Vgl. in diesem Sinne Urteil vom 21. Juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, Rn. 72 und die dort angeführte Rechtsprechung). Vgl. auch Leiser, M. und Custers, B., „The Law Enforcement Directive: Conceptual Challenges of EU Directive 2016/680“, European Data Protection Law Review, Bd. 5, Nr. 3, 2019, S. 367 bis 378, insbesondere S. 371.
12 Ich bin hingegen der Ansicht, dass sich Art. 3 Nr. 7 Buchst. b der Richtlinie 2016/680 nicht auf Gerichte bezieht, sondern mit dem Ausdruck „eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung … übertragen wurde“, auf private Einrichtungen abzielt. Man denke hier beispielsweise an privatisierte Polizeikräfte oder von privaten Einrichtungen betriebene Gefängnisse. Vgl. hierzu Purtova, N., „Between the GDPR and the Police Directive: navigating through the maze of information sharing in public–private partnerships“, International Data Privacy Law, Bd. 8, Nr. 1, Februar 2018, S. 52 bis 68. Vgl. auch De Hert, P. und Sajfert, J., „Chapter 10: Variety, velocity and volume of personal data in criminal investigations and proceedings: the limits drawn by the purpose limitation and data minimization principles in Directive (EU) 2016/680“, in: Research Handbook on EU Criminal Law, Mitsilegas, V., Bergström, M. und Quintel, T. (Hrsg.), Edward Elgar Publishing, 2024, 2. Aufl., S. 212 bis 228.
13 In diesem Erwägungsgrund heißt es: „Obgleich diese Richtlinie auch für die Tätigkeit der nationalen Gerichte und anderer Justizbehörden gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt.“
14 Vgl. entsprechend zur analogen Bestimmung der DSGVO Urteil vom 24. März 2022, Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, Rn. 26). Dieses Urteil betraf einen Verwaltungsrechtsstreit über eine von einem Gericht vorgenommene Verarbeitung im Zusammenhang mit der vorübergehenden Bereitstellung von personenbezogene Daten enthaltenden Unterlagen aus einem Gerichtsverfahren an Journalisten, wobei diese Verarbeitung als Ausübung der justiziellen Tätigkeit des Gerichts im Sinne der DSGVO angesehen wurde.
15 Vgl. hierzu Tosconi, L. und Bygrave, L. A., „Article 3 – Definitions“, in: The EU Law Enforcement Directive (LED): A Commentary, Kosta, E. und Boehm, F. (Hrsg.), Oxford University Press, 2024, S. 79 bis 132, insbesondere S. 104, Nr. 7.2.4, unter Anführung des Protokolls der 12. Sitzung der Expertengruppe der Kommission zur DSGVO und zur Richtlinie 2016/680 vom 2. Oktober 2017, in dem die Zustimmung der Mitgliedstaaten zur Anwendung dieser Richtlinie auf Strafgerichte erwähnt wird (Dokument abrufbar unter folgender Adresse: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=fr&groupID=3461).
16 Insbesondere Art. 18 („Rechte der betroffenen Person in strafrechtlichen Ermittlungen und in Strafverfahren“) dieser Richtlinie betrifft die Ausübung der Rechte auf Information, Zugang, Berichtigung und Löschung und sieht vor, dass die Ausübung dieser Rechte im Einklang mit dem Recht der Mitgliedstaaten erfolgt, wenn es um personenbezogene Daten „in einer gerichtlichen Entscheidung oder einem Dokument oder einer Verfahrensakte geht, die in strafrechtlichen Ermittlungen und in Strafverfahren verarbeitet werden“.
17 Vgl. den 20. Erwägungsgrund der Richtlinie 2016/680.
18 Hinzuzufügen ist, dass dies, wie im 20. Erwägungsgrund dieser Richtlinie erwähnt, den Mitgliedstaaten nicht die Möglichkeit nimmt, diese Verarbeitungsvorgänge und Verarbeitungsverfahren in ihren nationalen Vorschriften für Strafverfahren festzulegen.
19 Der Anwendungsbereich der Richtlinie 2016/680 war zwar Gegenstand von Urteilen des Gerichtshofs, diese befassen sich jedoch nicht mit dieser Frage. So können beispielsweise Luftfahrtunternehmen, auch wenn sie einer gesetzlichen Verpflichtung zur Übermittlung von Fluggastdaten (PNR) unterliegen, nicht als zuständige Behörden im Sinne von Art. 3 Nr. 7 der Richtlinie 2016/680 angesehen werden (vgl. Urteil vom 21. Juni 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, Rn. 81). Vgl. auch Schlussanträge des Generalanwalts Pikamäe in der Rechtssache Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991, Nr. 28) zur Vyriausioji tarnybinės etikos komisija (Oberste Kommission für Dienstethik, Litauen), auf die die DSGVO angewendet worden ist (vgl. Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, im Folgenden: Urteil Vyriausioji tarnybinės etikos komisija, EU:C:2022:601). Ebenso ist die Ceļu satiksmes drošības direkcija (Direktion für Straßenverkehrssicherheit, Lettland) keine „zuständige Behörde“ im Sinne der Richtlinie 2016/680 bei der Ausübung der im Ausgangsverfahren in Rede stehenden Tätigkeiten, die darin bestehen, zum Zweck der Straßenverkehrssicherheit personenbezogene Daten über Strafpunkte zu veröffentlichen – vgl. Urteil vom 22. Juni 2021, Latvijas Republikas Saeima (Strafpunkte) (C‑439/19, EU:C:2021:504, Rn. 71).
20 Urteil vom 8. Dezember 2022 (C‑180/21, im Folgenden: Urteil Inspektor der IVSS, EU:C:2022:967). In diesem Urteil stellte sich die Frage, ob personenbezogene Daten, die erlangt wurden, als die betroffene Person als Opfer der Straftat, die Gegenstand der Ermittlungen war, erschien, anschließend gegen sie als Beschuldigte oder Angeklagte verarbeitet werden dürfen, obwohl sie ursprünglich zu anderen Zwecken, nämlich zur Aufdeckung und Ermittlung von Straftaten, erhoben und verarbeitet wurden. In diesem Zusammenhang hat der Gerichtshof entschieden, dass, wenn personenbezogene Daten zum Zweck der „Aufdeckung“ einer Straftat und zu deren „Ermittlung“ erhoben und anschließend für Zwecke der „Verfolgung“ weiterverarbeitet wurden, diese Erhebung und diese Verarbeitung unterschiedlichen Zwecken dienen (Rn. 44) und bei der Beurteilung der Frage, ob eine Verarbeitung personenbezogener Daten durch den Verantwortlichen die Verhältnismäßigkeit wahrt, jeder dieser Zwecke als spezifisch und gesondert betrachtet wird (Rn. 56).
21 Urteil Inspektor der IVSS (Rn. 59).
22 Vgl. Schlussanträge des Generalanwalts Campos Sánchez-Bordona in der Rechtssache Inspektor v Inspektorata kam Visshia sadeben savet (Zwecke der Verarbeitung personenbezogener Daten – Strafrechtliche Ermittlungen) (C‑180/21, EU:C:2022:406, Fn. 15). Dies gilt insbesondere für die deutsche, die französische, die englische, die italienische und die niederländische Sprachfassung der Richtlinie 2016/680, mit Ausnahme der spanischen Sprachfassung, in der auf das eigentliche „enjuiciamiento“ (das gerichtliche Verfahren) Bezug genommen wird, das ausschließlich den Gerichten vorbehalten ist.
23 Vgl. zur Vielfalt der nationalen Systeme und zur Komplementarität der jeweiligen Funktionen von Richtern und Staatsanwälten die gemeinsame Stellungnahme des Beirats der Europäischen Richter (CCJE) und des Beirats der Europäischen Staatsanwälte (CCPE) zu den Beziehungen zwischen Richtern und Staatsanwälten (1075. Sitzung) (CM[2009]192). Vgl. für einen vergleichenden Ansatz auch Pradel, J., Droit pénal comparé, Dalloz, Paris, 2016, 4. Aufl., insbesondere Nrn. 145 ff. Vgl. zur Umsetzung der Richtlinie 2016/680 in verschiedenen Mitgliedstaaten auch Franssen, V. und Corhay, M., „Article 18 – Rights of the data subject in criminal investigations and proceedings“, in: The EU Law Enforcement Directive (LED): A Commentary, a. a. O., S. 321 bis 330, insbesondere Untertitel B.3. („National legislation“), S. 325 bis 328.
24 In seiner Stellungnahme Nr. 6/2015, Ein weiterer Schritt in Richtung eines umfassenden Datenschutzes in der EU, vom 28. Oktober 2015 hat der Europäische Datenschutzausschuss (EDSA) in Punkt VI zu den Befugnissen der Aufsichtsbehörden selbst die Bedeutung der Unterschiede zwischen den nationalen Systemen der Mitgliedstaaten hervorgehoben und darauf hingewiesen, dass nicht immer klar ist, ob und wann Staatsanwälte „unabhängige Justizbehörden“ sind und in welchem Umfang ihre Tätigkeiten justizielle Tätigkeiten darstellen. Vgl. auch das Protokoll der 15. Sitzung der Expertengruppe der Kommission zur DSGVO und zur Richtlinie 2016/680 vom 20. Februar 2018, in dem unter Punkt 5 auf die Schwierigkeiten bei der Umsetzung der Richtlinie in diesem Bereich hingewiesen wird, wobei einige Mitgliedstaaten betonen, dass ihre Staatsanwälte das gleiche Maß an Unabhängigkeit wie ihre Richter genießen (abrufbar unter folgender Adresse: https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=3656&fromExpertGroups=true).
25 Vgl. Urteil Inspektor der IVSS (Rn. 53), in dem der Gerichtshof betont hat, dass „[es] [b]ei der Verarbeitung personenbezogener Daten zum Zweck der ‚Verfolgung‘ … hingegen darum [geht], mit diesen Daten die den verfolgten Personen zur Last gelegten Taten hinreichend zu beweisen und die zutreffende strafrechtliche Würdigung dieser Taten festzustellen, um dem zuständigen Gericht eine Entscheidung zu ermöglichen“.
26 Wie in der mündlichen Verhandlung erläutert, gibt es im bulgarischen Strafrecht keinen Ermittlungsrichter, sondern eine „gerichtliche Ermittlung“ oder „gerichtliche Untersuchung“, die auf die polizeilichen Ermittlungen folgt.
27 Vgl. zur engen Auslegung der Ausnahmen von der Anwendung der DSGVO Urteil Inspektor der IVSS (Rn. 78), aus dem hervorgeht, dass die Staatsanwaltschaft, wenn sie im Rahmen einer Amtshaftungsklage zur Verteidigung des Staates handelt, nicht zum Ziel hat, die Wahrnehmung der Aufgaben, die dieser Staatsanwaltschaft im Hinblick auf die in Art. 1 Abs. 1 der Richtlinie 2016/680 genannten Zwecke obliegen, sicherzustellen, so dass die DSGVO Anwendung findet. Ebenso fällt die Erhebung personenbezogener Daten über auf der Website eines Wirtschaftsteilnehmers veröffentlichte Verkaufsinserate für Fahrzeuge durch die Steuerverwaltung eines Mitgliedstaats in den sachlichen Anwendungsbereich der DSGVO, sofern diese Daten nicht spezifisch zu dem Zweck, Strafverfolgungsmaßnahmen durchzuführen, oder im Rahmen von Tätigkeiten des Staates im strafrechtlichen Bereich erhoben werden – vgl. Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests (Verarbeitung personenbezogener Daten für steuerliche Zwecke) (C‑175/20, EU:C:2022:124, Rn. 44 bis 46).
28 Rahmenbeschluss des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (ABl. 2008, L 350, S. 60). Sein Anwendungsbereich war auf die grenzüberschreitende Verarbeitung personenbezogener Daten beschränkt.
29 Konferenz der Vertreter der Regierungen der Mitgliedstaaten, Schlussakte, angenommen in Brüssel am 3. Dezember 2007 (CIG 15/07), abrufbar unter der folgenden Adresse: https://data.consilium.europa.eu/doc/document/CG-15-2007‑INIT/fr/pdf.
30 Vorschlag für Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr vom 25. Januar 2012 (KOM[2012] 0010).
31 Vgl. De Hert, P. und Papakonstantinou, V., „The New Police and Criminal Justice Data Protection Directive. A First Analysis“, New Journal of European Criminal Law, Bd. 7, Nr. 1, 2016, S. 7 bis 19; und Brière, C., „Défaut de transposition de la directive sur la protection des données dans le domaine pénal: vers une application ordinaire de l’article 260, paragraphe 3, TFUE. CJUE (8e ch.), 25 février 2021, Commission européenne/Royaume d’Espagne (Directive données à caractère personnel – Domaine pénal), aff. C‑658/19, EU:C:2021:138“, Revue des affaires européennes, Bd. 1, 2021, S. 223 bis 233.
32 Vgl. hierzu Sajfert, J. und Quintel, T., „Data Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities“, SSRN Electronic Journal, 2017, insbesondere Untertitel I.1 („Meandering between the Directive and the GDPR“), wonach die Unterscheidung zwischen den jeweiligen Anwendungsbereichen der DSGVO und der Richtlinie 2016/680 nicht eindeutig ist. Sie führen das Beispiel eines Polizeibeamten an, der personenbezogene Daten zu Archivierungszwecken verarbeitet und in diesem Fall der DSGVO unterliegt, weisen jedoch darauf hin, dass das anwendbare Instrument weniger klar ist, wenn dieser Beamte zu Identifizierungszwecken im Bereich Migration und Grenzkontrolle tätig wird: Das illegale Überschreiten einer Schengen-Grenze kann manchmal als Straftat gelten, aber wenn der Migrant ohne Aufenthaltsgenehmigung Asyl beantragt, kann die Verarbeitung ungeachtet des eingeleiteten Strafverfahrens unter die DSGVO oder einen anderen einschlägigen sektoralen Rahmen fallen. Dies zeigt, wie komplex es für die zuständigen Behörden ist, je nach Zweck der Verarbeitung zwei unterschiedliche Regelwerke anzuwenden. Vgl. auch Vogiatzogloum, P., „Article 2 – Scope“, in: The EU Law Enforcement Directive (LED): A Commentary, a. a. O., S. 67 bis 78, insbesondere Untertitel C.2. („Between the LED and the GDPR“), S. 74 bis 75. Vgl. auch Purtova, N., „Between the GDPR and the Police Directive: navigating through the maze of information sharing in public-private partnerships“, a. a. O.
33 Der Grundsatz der Rechtssicherheit gebietet, dass die Anwendung von Rechtsvorschriften für den Einzelnen vorhersehbar ist – vgl. Urteil vom 4. Oktober 2024, Bezirkshauptmannschaft Landeck (Versuchter Zugang zu auf einem Mobiltelefon gespeicherten personenbezogenen Daten) (C‑548/21, EU:C:2024:830, Rn. 76).
34 Vgl. hierzu Sajfert, J. und Quintel, T., „Data Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities“, a. a. O., insbesondere Untertitel I.4 („Croquis of the Directive“), S. 7, wonach beispielsweise der für die Verarbeitung Verantwortliche nach Art. 13 Abs. 3, Art. 15 Abs. 3 und Art. 16 Abs. 4 der Richtlinie 2016/680 mehr Möglichkeiten hat, das Auskunftsrecht und das Recht auf Informationen über die etwaige Verweigerung der Berichtigung, Löschung oder Einschränkung der Verarbeitung einzuschränken als im Rahmen von Art. 23 DSGVO. Es geht nämlich um die „Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden“, und die Gewährleistung, dass insbesondere die Verfolgung von Straftaten nicht beeinträchtigt werden (vgl. Art. 13 Abs. 3 Buchst. a und b der Richtlinie 2016/680). Vgl. auch Purtova, N., „Between the GDPR and the Police Directive: navigating through the maze of information sharing in public-private partnerships“, a. a. O., insbesondere S. 60; sowie De Hert, P. und Sajfert, J., „Chapter 10: Variety, velocity and volume of personal data in criminal investigations and proceedings: the limits drawn by the purpose limitation and data minimization principles in Directive (EU) 2016/680“, a. a. O., S. 222.
35 Informationshalber weise ich darauf hin, dass das vorlegende Gericht angibt, den Konstitutsionen sad (Verfassungsgericht) angerufen zu haben, damit dieser die Unvereinbarkeit der im Ausgangsverfahren streitigen nationalen Bestimmung mit der Konstitutsia na Republika Bulgaria (Verfassung der Republik Bulgarien) feststelle. Dieser Antrag sei jedoch mit der Begründung als unzulässig zurückgewiesen worden, dass das vorlegende Gericht das achte Kapitel des Zakon za zashtita na lichnite danni (Gesetz über den Schutz personenbezogener Daten) vom 1. Januar 2002 (DV Nr. 1 vom 4. Januar 2002, geändert und ergänzt durch DV Nr. 70 vom 20. August 2024) (im Folgenden: ZZLD), nicht berücksichtigt habe, mit dem die Richtlinie 2016/680 umgesetzt werde. Das vorlegende Gericht ist hingegen der Ansicht, dass die Regelung des ZZLD allgemeiner Natur sei und dass Art. 272 Abs. 1 NPK als lex specialis weiterhin anwendbar sei. Ich weise darauf hin, dass das vorlegende Gericht für die Auslegung seines nationalen Rechts zuständig ist – vgl. Urteil vom 30. April 2024, M. N. (EncroChat) (C‑670/22, EU:C:2024:372, Rn. 76) –, und bin daher der Ansicht, dass die Frage, wie sie gestellt ist, aufgrund der Vermutung der Entscheidungserheblichkeit zu beantworten ist – vgl. Urteil vom 26. Januar 2023, Ministerstvo na vatreshnite raboti (Registrierung biometrischer und genetischer Daten durch die Polizei) (C‑205/21, im Folgenden: Urteil Ministerstvo na vatreshnite raboti, EU:C:2023:49, Rn. 54).
36 Vgl. Urteil vom 30. Januar 2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia (C‑118/22, im Folgenden: Urteil Direktor na Glavna direktsia, EU:C:2024:97, Rn. 39).
37 Vgl. Urteil Ministerstvo na vatreshnite raboti (Rn. 116 und die dort angeführte Rechtsprechung). Vgl. zum Begriff „ethnische Herkunft“ in einem anderen Kontext Urteil vom 18. Dezember 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge (C‑417/23, EU:C:2025:1017, Rn. 71 ff.), zur Richtlinie 2000/43/EG des Rates vom 29. Juni 2000 zur Anwendung des Gleichbehandlungsgrundsatzes ohne Unterschied der Rasse oder der ethnischen Herkunft (ABl. 2000, L 180, S. 22).
38 Es handelt sich hier nicht um eine Datenerhebung durch die Polizei im Rahmen der Ermittlungen zum Zweck der Identifizierung oder des späteren Abgleichs der beschuldigten oder verdächtigten Person, wie dies beispielsweise in der Rechtssache der Fall war, die dem Urteil vom 20. November 2025, Policejní prezidium (Speicherung biometrischer und genetischer Daten) (C‑57/23, EU:C:2025:905, Rn. 84), zugrunde liegt.
39 Vgl. entsprechend Urteil vom 22. Juni 2021, Latvijas Republikas Saeima (Strafpunkte) (C‑439/19, EU:C:2021:504, Rn. 109 und 110).
40 Vgl. entsprechend Urteil Vyriausioji tarnybinės etikos komisija (Rn. 98 und die dort angeführte Rechtsprechung). Vgl. auch Urteil Direktor na Glavna direktsia (Rn. 62).
41 Siehe Nrn. 12 bis 15 der vorliegenden Schlussanträge.
42 Vgl. Art. 8 Abs. 1 ZGR, dessen Inhalt unter Nr. 12 der vorliegenden Schlussanträge wiedergegeben wird.
43 Vgl. entsprechend Urteil Vyriausioji tarnybinės etikos komisija (Rn. 98 und die dort angeführte Rechtsprechung). Vgl. auch Urteil Direktor na Glavna direktsia (Rn. 62).
44 Vgl. Urteil Direktor na Glavna direktsia (Rn. 48 und die dort angeführte Rechtsprechung).
45 Vgl. Urteile Ministerstvo na vatreshnite raboti (Rn. 118 ff.), und vom 20. November 2025, Policejní prezidium (Speicherung biometrischer und genetischer Daten) (C‑57/23, EU:C:2025:905, Rn. 78). Vgl. auch Schlussanträge des Generalanwalts Szpunar in der Rechtssache Comdribus (C‑371/24, EU:C:2025:631, Nrn. 43 ff.).
46 Ich frage mich übrigens, warum diese Frage nach der ethnischen Zugehörigkeit („narodnost“) gestellt wird, die im Hinblick auf die Werte der Union im Sinne von Art. 2 EUV problematisch ist.
47 Vgl. in diesem Sinne Urteil Ministerstvo na vatreshnite raboti (Rn. 128 und 129); Simon, D., „Données personnelles – Traitement des données sensibles dans les procédures pénales“, Revue Europe, LexisNexis, Nr. 3, 2023, Kommentar Nr. 112.