Datenweitergabe eines Diensteanbieters für TK-Leistungen zwecks Forderungseinzug grds zulässig (EuGH)

Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) ist in dem Sinne auszulegen, dass danach ein Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste (Diensteanbieter) im Hinblick auf die Einziehung seiner Telekommunikationsleistungen betreffenden Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen übermitteln und dieser Zessionar diese Daten verarbeiten darf, sofern er erstens in Bezug auf die Verarbeitung dieser Daten auf Weisung des Diensteanbieters handelt und sich zweitens auf die Verarbeitung derjenigen Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Forderungen erforderlich sind.

Unabhängig von der Einstufung des Abtretungsvertrags ist davon auszugehen, dass der Zessionar im Sinne von Art. 6 Abs. 5 der Richtlinie 2002/58 auf Weisung des Diensteanbieters handelt, wenn er für die Verarbeitung von Verkehrsdaten nur auf Anweisung dieses Diensteanbieters und unter dessen Kontrolle handelt. Der zwischen Zessionar und Diensteanbieter geschlossene Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen durch den Zessionar zu überzeugen.

URTEIL DES GERICHTSHOFS (Dritte Kammer)

22. November 2012(*)

„Elektronische Kommunikation – Richtlinie 2002/58/EG – Art. 6 Abs. 2 und 5 – Verarbeitung personenbezogener Daten – Für die Gebührenabrechnung und die Forderungseinziehung erforderliche Verkehrsdaten – Forderungseinziehung durch eine dritte Gesellschaft – Personen, die auf Weisung der Betreiber öffentlicher Kommunikationsnetze und Kommunikationsdienste handeln“

In der Rechtssache C‑119/12

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Entscheidung vom 16. Februar 2012, beim Gerichtshof eingegangen am 6. März 2012, in dem Verfahren

Josef Probst

gegen

mr.nexnet GmbH

erlässt

DER GERICHTSHOF (Dritte Kammer)

unter Mitwirkung des Richters K. Lenaerts (Berichterstatter) in Wahrnehmung der Aufgaben des Präsidenten der Dritten Kammer sowie der Richter E. Juhász, G. Arestis, T. von Danwitz und D. Šváby,

Generalanwalt: P. Cruz Villalón,

Kanzler: A. Calot Escobar,

aufgrund des schriftlichen Verfahrens,

unter Berücksichtigung der Erklärungen

–        der mr.nexnet GmbH, vertreten durch Rechtsanwalt P. Wassermann,

–        der Europäischen Kommission, vertreten durch F. Wilman und F. Bulst als Bevollmächtigte,

aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,

folgendes

Urteil

1        Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201, S. 37).

2        Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der mr.nexnet GmbH (im Folgenden: nexnet), Zessionarin von Forderungen betreffend Internetzugangsdienstleistungen, die die Verizon Deutschland GmbH (im Folgenden: Verizon) gegenüber Herrn Probst, dem Empfänger dieser Leistungen, erbracht hat.

Rechtlicher Rahmen

Richtlinie 95/46/EG

3        Art. 16 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) bestimmt:

„Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen gesetzliche Verpflichtungen.“

4        Art. 17 der Richtlinie 95/46 sieht vor:

„(1)      Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

(2)      Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet; der für die Verarbeitung Verantwortliche überzeugt sich von der Einhaltung dieser Maßnahmen.

(3)      Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere Folgendes vorgesehen ist:

–        Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;

–        die in Absatz 1 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter, und zwar nach Maßgabe der Rechtsvorschriften des Mitgliedstaats, in dem er seinen Sitz hat.

(4)      Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in Bezug auf Maßnahmen nach Absatz 1 schriftlich oder in einer anderen Form zu dokumentieren.“

Richtlinie 2002/58/EG

5        Art. 1 Abs. 1 und 2 der Richtlinie 2002/58 sieht vor:

„(1)      Diese Richtlinie dient der Harmonisierung der Vorschriften der Mitgliedstaaten, die erforderlich sind, um einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und ‑diensten in der [Europäischen Union] zu gewährleisten.

(2)      Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Ergänzung der [Richtlinie 95/46] im Hinblick auf die in Absatz 1 genannten Zwecke dar. …“

6        In Art. 2 Abs. 2 Buchst. b dieser Richtlinie sind „Verkehrsdaten“ definiert als „Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“.

7        In Art. 5 Abs. 1 der Richtlinie 2002/58 heißt es:

„Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. …“

8        Art. 6 dieser Richtlinie bestimmt:

„(1)      Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels … zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.

(2)      Verkehrsdaten, die zum Zwecke der Gebührenabrechnung und der Bezahlung von Zusammenschaltungen erforderlich sind, dürfen verarbeitet werden. Diese Verarbeitung ist nur bis zum Ablauf der Frist zulässig, innerhalb deren die Rechnung rechtlich angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann.

(5)      Die Verarbeitung von Verkehrsdaten gemäß den Absätzen 1, 2, 3 und 4 darf nur durch Personen erfolgen, die auf Weisung der Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste handeln und die für Gebührenabrechnungen oder Verkehrsabwicklung, Kundenanfragen, Betrugsermittlung, die Vermarktung der elektronischen Kommunikationsdienste oder für die Bereitstellung eines Dienstes mit Zusatznutzen zuständig sind; ferner ist sie auf das für diese Tätigkeiten erforderliche Maß zu beschränken.

…“

Deutsches Recht

9        § 97 Abs. 1 Sätze 3 und 4 des Telekommunikationsgesetzes vom 22. Juni 2004 (BGBl. I S. 1190, im Folgenden: TKG) lautet wie folgt:

„Entgeltermittlung und Entgeltabrechnung

… Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er dem Dritten die [Verkehrsdaten] übermitteln, soweit es zum Einzug des Entgelts und der Erstellung einer detaillierten Rechnung erforderlich ist. Der Dritte ist vertraglich zur Wahrung des Fernmeldegeheimnisses nach § 88 und des Datenschutzes nach den §§ 93 und 95 bis 97, 99 und 100 zu verpflichten. …“

10      Nach den Ausführungen des vorlegenden Gerichts erstreckt sich die in § 97 Abs. 1 Satz 3 TKG vorgesehene Befugnis zur Datenübermittlung nicht nur auf Verträge über den Einzug von Forderungen, die diese im Vermögen ihres ursprünglichen Inhabers belassen, sondern auch auf sonstige Abtretungsverträge, insbesondere auf solche, die einen Forderungskauf beinhalten und nach denen der abgetretene Anspruch rechtlich und wirtschaftlich endgültig dem Zessionar zustehen soll.

Ausgangsverfahren und Vorlagefrage

11      Herr Probst ist Inhaber eines Telefonanschlusses der Deutschen Telekom AG, über den er auch seinen Computer mit dem Internet verbindet. Im Zeitraum vom 28. Juni 2009 bis zum 6. September 2009 nutzte er für einzelne Einwahlen in das Internet die Nummer von Verizon. Die hierfür verlangten Entgelte wurden Herrn Probst zunächst über die Deutsche Telekom AG als „Beträge anderer Anbieter“ in Rechnung gestellt. Als Herr Probst hierauf keine Zahlungen leistete, verlangte nexnet – Zessionarin dieser Forderung nach einem zwischen den Rechtsvorgängerinnen von Verizon und nexnet geschlossenen Factoringvertrag – von ihm die Zahlung der in Rechnung gestellten Beträge zuzüglich Nebenkosten. Nach dem Factoringvertrag trägt nexnet das Delkredererisiko.

12      Die Rechtsvorgängerinnen von nexnet und Verizon haben ferner eine „Datenschutz‑ und Vertraulichkeitsvereinbarung“ getroffen, die Folgendes vorsieht:

„I.      Datenschutz

(5)      Die Vertragsparteien verpflichten sich, die geschützten Daten nur im Rahmen der o. g. Zusammenarbeit und ausschließlich zu dem diesem Vertragsschluss zugrunde liegenden Zweck und in der jeweils angegebenen Weise zu verarbeiten und zu nutzen.

(6)      Sobald die Kenntnis der geschützten Daten für die Erfüllung dieses Zweckes nicht mehr erforderlich ist, sind unverzüglich alle in diesem Zusammenhang vorhandenen geschützten Daten unwiederbringlich zu löschen bzw. zurückzugeben. …

(7)      [D]ie Vertragsparteien sind berechtigt, die Einhaltung des Datenschutzes und der Datensicherheit bei der jeweils anderen Vertragspartei im Sinne dieser Vereinbarung zu kontrollieren. …

II.      Vertraulichkeit

(2)      Die Vertragsparteien werden die überlassenen vertraulichen Unterlagen und Informationen ausschließlich zur Erfüllung des zwischen den Vertragsparteien geschlossenen Vertrages verarbeiten und nutzen. Sie werden sie auch nur solchen Mitarbeitern zugänglich machen, die diese zur Erfüllung des Vertrages benötigen. Die Vertragsparteien werden diese Mitarbeiter entsprechend dieser Vereinbarung zur Vertraulichkeit verpflichten.

(3)      Auf Verlangen, spätestens jedoch bei Beendigung der Zusammenarbeit der Vertragsparteien sind alle in diesem Zusammenhang vorhandenen vertraulichen Informationen unwiederbringlich zu löschen oder an die jeweils andere Vertragspartei zurückzugeben. …

…“

13      Herr Probst ist der Ansicht, dass der Factoringvertrag nichtig sei, da er u. a. gegen § 97 Abs. 1 TKG verstoße. Das Amtsgericht wies die Zahlungsklage von nexnet ab, während das Berufungsgericht ihr im Wesentlichen stattgab. Es wurde Revision beim Bundesgerichtshof eingelegt.

14      Das vorlegende Gericht ist der Ansicht, dass Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 für die Auslegung von Art. 97 Abs. 1 TKG relevant sei. Zum einen erfasse die „Gebührenabrechnung“, die einen der Zwecke darstelle, zu dem nach Art. 6 Abs. 2 und 5 dieser Richtlinie Verkehrsdaten verarbeitet werden dürften, nicht notwendigerweise den Einzug der berechneten Entgelte. Es bestehe jedoch kein sachlicher Grund für eine unterschiedliche datenschutzmäßige Behandlung der Berechnung der Gebührenforderung und ihres Einzugs. Zum anderen dürfe gemäß Art. 6 Abs. 5 der genannten Richtlinie die Verarbeitung der Verkehrsdaten nur durch Personen erfolgen, die „auf Weisung“ des Betreibers öffentlicher Kommunikationsnetze oder öffentlich zugänglicher Kommunikationsdienste (im Folgenden: Diensteanbieter) handelten. Dieser Begriff lasse offen, ob dem Diensteanbieter während des gesamten Datenverarbeitungsvorgangs die konkrete Möglichkeit der Bestimmung über die Verwendung der Daten auch im Einzelfall vorbehalten bleiben müsse oder ob allgemein gehaltene Regelungen über die Beachtung des Fernmeldegeheimnisses und des Datenschutzes, wie sie in den im vorliegenden Fall in Rede stehenden Vereinbarungen bestimmt seien, sowie die Möglichkeit, die Daten auf Verlangen löschen zu lassen oder zurückzuerhalten, ausreichten.

15      Unter diesen Umständen hat der Bundesgerichtshof das Verfahren ausgesetzt und dem Gerichtshof folgende Frage zur Vorabentscheidung vorgelegt:

Erlaubt Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 die Übermittlung von Verkehrsdaten vom Diensteanbieter an den Zessionar einer Entgeltforderung für Telekommunikationsleistungen, wenn der zum Zweck des Einzugs rückbelasteter Forderungen erfolgten Abtretung außer der allgemeinen Verpflichtung auf das Fernmeldegeheimnis und den Datenschutz zu den jeweils geltenden gesetzlichen Regelungen folgende vertragliche Bedingungen zugrunde liegen:

–        Der Diensteanbieter und der Zessionar verpflichten sich, die geschützten Daten nur im Rahmen ihrer Zusammenarbeit und ausschließlich zu dem dem Vertragsschluss zugrunde liegenden Zweck und in der jeweils angegebenen Weise zu verarbeiten und zu nutzen;

–        sobald die Kenntnis der geschützten Daten für die Erfüllung dieses Zwecks nicht mehr erforderlich ist, sind alle in diesem Zusammenhang vorhandenen geschützten Daten unwiederbringlich zu löschen oder zurückzugeben;

–        die Vertragsparteien sind berechtigt, die Einhaltung des Datenschutzes und der Datensicherheit bei der jeweils anderen Vertragspartei im Sinne dieser Vereinbarung zu kontrollieren;

–        die überlassenen vertraulichen Unterlagen und Informationen dürfen nur solchen Mitarbeitern zugänglich gemacht werden, die diese zur Erfüllung des Vertrags benötigen;

–        die Vertragsparteien werden diese Mitarbeiter entsprechend dieser Vereinbarung zur Vertraulichkeit verpflichten;

–        auf Verlangen, spätestens jedoch bei Beendigung der Zusammenarbeit der Vertragsparteien sind alle in diesem Zusammenhang vorhandenen vertraulichen Informationen unwiederbringlich zu löschen oder an die jeweils andere Vertragspartei zurückzugeben?

Zur Vorlagefrage

16      Mit seiner Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob und unter welchen Bedingungen Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 dem Diensteanbieter die Übermittlung von Verkehrsdaten an einen Zessionar seiner Forderungen und diesem die Verarbeitung dieser Daten erlaubt.

17      Zum einen dürfen gemäß Art. 6 Abs. 2 der Richtlinie 2002/58 Verkehrsdaten, die zum Zwecke der Gebührenabrechnung erforderlich sind, verarbeitet werden. Wie nexnet und die Europäische Kommission ausführen, erlaubt diese Bestimmung der genannten Richtlinie die Verarbeitung von Verkehrsdaten nicht nur für die Zwecke der Gebührenabrechnung, sondern auch für die Zwecke der Einziehung der entsprechenden Forderungen. Indem diese Bestimmung die Verarbeitung von Verkehrsdaten „bis zum Ablauf der Frist [zulässt], innerhalb deren die Rechnung rechtlich angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann“, bezieht sie sich nämlich nicht nur auf die Verarbeitung der Daten im Zeitpunkt der Gebührenabrechnung, sondern auch auf die Verarbeitung, die erforderlich ist, um die Zahlung der Gebühren zu erreichen.

18      Zum anderen sieht Art. 6 Abs. 5 der Richtlinie 2002/58 vor, dass die nach Art. 6 Abs. 2 dieser Richtlinie erlaubte Verarbeitung von Verkehrsdaten „nur durch Personen erfolgen [darf], die auf Weisung der [Diensteanbieter] handeln und die für Gebührenabrechnungen … zuständig sind“, und „auf das [für diese Tätigkeit] erforderliche Maß zu beschränken“ ist.

19      Aus der Zusammenschau dieser Bestimmungen der Richtlinie 2002/58 ergibt sich, dass ein Diensteanbieter im Hinblick auf die Einziehung seiner Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen übermitteln darf und dass Letzterer diese Daten verarbeiten darf, sofern er erstens hinsichtlich der Verarbeitung dieser Daten „auf Weisung“ des Diensteanbieters handelt und sich zweitens auf die Verarbeitung derjenigen Verkehrsdaten beschränkt, die für die Einziehung dieser Forderungen erforderlich sind.

20      Weder die Richtlinie 2002/58 noch die für ihre Auslegung einschlägigen Unterlagen wie die Gesetzgebungsmaterialien geben Aufschluss über die genaue Bedeutung des Ausdrucks „auf Weisung“. Nach der Rechtsprechung des Gerichtshofs ist daher zur Bestimmung der Bedeutung dieses Ausdrucks auf seinen Sinn nach dem gewöhnlichen Sprachgebrauch abzustellen, wobei zu berücksichtigen ist, in welchem Zusammenhang er verwendet wird und welche Ziele mit der Regelung verfolgt werden, zu der er gehört (vgl. in diesem Sinne Urteile vom 10. März 2005, easyCar, C‑336/03, Slg. 2005, I‑1947, Randnrn. 20 und 21, und vom 5. Juli 2012, Content Services, C‑49/11, noch nicht in der amtlichen Sammlung veröffentlicht, Randnr. 32).

21      In Bezug auf den Sinn dieses Ausdrucks nach dem gewöhnlichen Sprachgebrauch ist davon auszugehen, dass eine Person auf Weisung einer anderen Person handelt, wenn Erstere auf Anweisung und unter der Kontrolle Letzterer handelt.

22      Zum Zusammenhang, in dem Art. 6 der Richtlinie 2002/58 steht, ist darauf hinzuweisen, dass Art. 5 Abs. 1 dieser Richtlinie vorsieht, dass die Mitgliedstaaten die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten sicherstellen müssen.

23      Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 sieht eine Ausnahme von der in Art. 5 Abs. 1 dieser Richtlinie vorgesehenen Vertraulichkeit der übertragenen Nachrichten vor, indem er die Verarbeitung von Verkehrsdaten im Hinblick auf die Erfordernisse im Zusammenhang mit der Gebührenabrechnung erlaubt (vgl. in diesem Sinne Urteil vom 29. Januar 2008, Promusicae, C‑275/06, Slg. 2008, I‑271, Randnr. 48). Als Ausnahme ist diese Bestimmung der genannten Richtlinie und damit auch der Ausdruck „auf Weisung“ eng auszulegen (vgl. Urteil vom 17. Februar 2011, The Number [UK] und Conduit Enterprises, C‑16/10, Slg. 2011, I‑691, Randnr. 31). Eine solche Auslegung impliziert, dass der Diensteanbieter eine tatsächliche Kontrollbefugnis besitzt, die es ihm ermöglicht, zu überprüfen, ob der Zessionar der Forderungen die ihm für die Bearbeitung von Verkehrsdaten vorgeschriebenen Bedingungen beachtet.

24      Diese Auslegung wird durch das Ziel der Richtlinie 2002/58 im Allgemeinen und ihres Art. 6 Abs. 5 im Besonderen gestützt. Wie sich aus Art. 1 Abs. 1 und 2 der Richtlinie 2002/58 ergibt, nimmt diese im Bereich der elektronischen Kommunikation eine Detaillierung und Ergänzung der Richtlinie 95/46 vor, um u. a. in den Mitgliedstaaten einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation zu gewährleisten.

25      Art. 6 Abs. 5 der Richtlinie 2002/58 ist daher im Licht der ähnlichen Bestimmungen der Richtlinie 95/46 auszulegen. Aus den Art. 16 und 17 der Richtlinie 95/46, die das Maß der Kontrolle festlegen, das ein für die Verarbeitung Verantwortlicher über den von ihm bestimmten Auftragsverarbeiter ausüben muss, ergibt sich, dass Letzterer nur auf Weisung des für die Verarbeitung Verantwortlichen handelt und dass dieser Verantwortliche sich von der Einhaltung der Maßnahmen überzeugt, die zum Schutz personenbezogener Daten gegen jede Form der unrechtmäßigen Verarbeitung vereinbart wurden.

26      Zum mit Art. 6 Abs. 5 der Richtlinie 2002/58 im Besonderen verfolgten Zweck ist festzustellen, dass diese Bestimmung zwar die Verarbeitung von Verkehrsdaten durch bestimmte andere Personen als den Diensteanbieter, insbesondere für die Zwecke der Einziehung der Forderungen des Diensteanbieters, erlaubt und es diesem dadurch ermöglicht, sich auf die Erbringung von Kommunikationsdienstleistungen zu konzentrieren, jedoch dadurch, dass sie vorsieht, dass die Verarbeitung von Verkehrsdaten nur durch Personen erfolgen darf, die „auf Weisung“ des Diensteanbieters handeln, gewährleisten soll, dass eine solche Auslagerung nicht das für persönliche Daten der Nutzer bestehende Schutzniveau beeinträchtigt.

27      Aus dem Vorstehenden ergibt sich, dass der Zessionar einer Entgeltforderung für Telekommunikationsleistungen unabhängig von der Einstufung des Vertrags über die Abtretung der Forderungen zum Zwecke ihrer Einziehung im Sinne von Art. 6 Abs. 5 der Richtlinie 2002/58 „auf Weisung“ des betreffenden Diensteanbieters handelt, wenn er für die mit dieser Tätigkeit verbundene Verarbeitung von Verkehrsdaten nur auf Anweisung dieses Diensteanbieters und unter dessen Kontrolle handelt. Der zwischen dem seine Forderungen abtretenden Diensteanbieter und dem Zessionar dieser Forderungen geschlossene Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten, und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen durch den Zessionar zu überzeugen.

28      Es ist Sache des nationalen Gerichts, unter Berücksichtigung aller sich aus den Akten ergebenden Umstände zu prüfen, ob diese Voraussetzungen im Ausgangsverfahren vorliegen. Dass ein Factoringvertrag die in der vorgelegten Frage beschriebenen Merkmale aufweist, spricht dafür, dass dieser Vertrag diese Voraussetzungen erfüllt. Ein solcher Vertrag erlaubt die Verarbeitung von Verkehrsdaten durch den Zessionar der Forderungen nämlich nur insoweit, als diese Verarbeitung für die Zwecke der Einziehung dieser Forderungen erforderlich ist, und verpflichtet den Zessionar, diese Daten unverzüglich und unwiederbringlich zu löschen bzw. zurückzugeben, sobald deren Kenntnis für die Einziehung der betroffenen Forderungen nicht mehr erforderlich ist. Er ermöglicht außerdem dem Diensteanbieter die Kontrolle der Einhaltung der Datensicherheits‑ und Datenschutzbestimmungen durch den Zessionar, der auf Verlangen zur Löschung oder Rückgabe der Verkehrsdaten verpflichtet ist.

29      Angesichts der vorstehenden Erwägungen ist auf die vorgelegte Frage zu antworten, dass Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 in dem Sinne auszulegen ist, dass danach ein Diensteanbieter im Hinblick auf die Einziehung seiner Telekommunikationsleistungen betreffenden Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen übermitteln und dieser Zessionar diese Daten verarbeiten darf, sofern er erstens hinsichtlich der Verarbeitung dieser Daten auf Weisung des Diensteanbieters handelt und sich zweitens auf die Verarbeitung derjenigen Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Forderungen erforderlich sind.

30      Unabhängig von der Einstufung des Abtretungsvertrags ist davon auszugehen, dass der Zessionar im Sinne von Art. 6 Abs. 5 der Richtlinie 2002/58 auf Weisung des Diensteanbieters handelt, wenn er für die Verarbeitung von Verkehrsdaten nur auf Anweisung dieses Diensteanbieters und unter dessen Kontrolle handelt. Der zwischen Zessionar und Diensteanbieter geschlossene Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen durch den Zessionar zu überzeugen.

Kosten

31      Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:

Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) ist in dem Sinne auszulegen, dass danach ein Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste (Diensteanbieter) im Hinblick auf die Einziehung seiner Telekommunikationsleistungen betreffenden Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen übermitteln und dieser Zessionar diese Daten verarbeiten darf, sofern er erstens in Bezug auf die Verarbeitung dieser Daten auf Weisung des Diensteanbieters handelt und sich zweitens auf die Verarbeitung derjenigen Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Forderungen erforderlich sind.

Unabhängig von der Einstufung des Abtretungsvertrags ist davon auszugehen, dass der Zessionar im Sinne von Art. 6 Abs. 5 der Richtlinie 2002/58 auf Weisung des Diensteanbieters handelt, wenn er für die Verarbeitung von Verkehrsdaten nur auf Anweisung dieses Diensteanbieters und unter dessen Kontrolle handelt. Der zwischen Zessionar und Diensteanbieter geschlossene Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen durch den Zessionar zu überzeugen.

Unterschriften