Skip to content

EuGH: Datenschutzrechtliche Aufsichtsbehörde darf auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen

EuGH
Urteil vom 14.03.2024
C‑46/23


Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.


Den Volltext der Entscheidung finden Sie hier:

BFH: Juristische Personen haben keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO

BFH
Beschluss vom 08.02.Februar 2024
IX B 113/22

Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.

Aus den Entscheidungsgründen:
2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.

a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).

b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).

Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.

c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.

d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.

3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.

a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.

b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.

c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: Cookie-Banner muss so gestaltet sein dass das Ablehnen genauso bequem wie das Akzeptieren ist - Schließen des Cookie-Banners mit "X" ist keine wirksame Einwilligung

OLG Köln
Urteil vom 19.01.2024
6 U 80/23


Das OLG Köln hat entschieden, dass ein Cookie-Banner so gestaltet sein muss, dass das Ablehnen genauso bequem wie das Akzeptieren ist. Zudem hat das Gericht entschieden, dass das Schließen des Cookie-Banners mit "X" keine wirksame Einwilligung darstellt.

Aus den Entscheidungsgründen:
Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine gleichwertige, mithin auf klaren und umfassenden Informationen beruhende, Ablehnungsoption angeboten, weshalb er – wie vom Landgericht zutreffend ausgeführt – zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies abgehalten wird, so dass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO angesehen werden kann. Die erste Ebene enthält überhaupt keine Ablehnungsoption für den Verbraucher. Vielmehr kann dieser durch den Button „Einstellungen“ lediglich auf die zweite Ebene gelangen. Hier hat der Verbraucher dann die Auswahl zwischen dem Button „Alles Akzeptieren“ und dem Button „Speichern“. Wie vom Landgericht zutreffend ausgeführt, erschließt sich dem Durchschnittsnutzer aber bereits nicht, welche Funktion sich konkret hinter dem jeweiligen Button verbirgt bzw. mit welchem Button er nunmehr tatsächlich die Ablehnung der Cookies erreichen kann. Die Beklagte hat in erster Instanz selbst wiederholt ausgeführt, dass für den Verbraucher eine echte Wahlmöglichkeit gegeben sein müsse. Dies ist indes bei der hier aufgezeigten Gestaltung der Cookie-Banner gerade nicht der Fall.

Die Zurückweisung des Antrages zu b) – den der Kläger in der Berufungsinstanz in unveränderter Form gestellt hat – ist durch das Landgericht zu Unrecht erfolgt. Auch wenn der Kläger sich in der mündlichen Verhandlung zunächst dahingehend positioniert hat, dass es ihm gerade auf den Einschub zu a) ankomme und daher allenfalls dieser von dem beantragten Verbot isoliert erfasst sein solle, hat er letztlich den Antrag wie angekündigt gestellt und demgemäß hieran gerade nicht festgehalten. Durch die Verknüpfung und/oder bestand zwischen den Anträgen zu a) und b) ein echtes Alternativverhältnis, weshalb das Landgericht auch isoliert über den Antrag zu b) hätte entscheiden müssen. Eine andere Auslegung lässt entgegen der Auffassung der Beklagten auch das den Antrag zu b) einleitende Wort „dabei“ nicht zu, da dies ohne weiteres auch Sinn ergibt, wenn dieser Antrag nur isoliert geltend gemacht wird.

Dieser hinreichend bestimmte Antrag hat in der Sache ebenfalls Erfolg. Die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung und führt zu deren Unwirksamkeit. Insoweit kann wiederum auf die zutreffenden Ausführungen des Landgerichts verwiesen werden. Das „X“-Symbol ist Nutzern bekannt als Möglichkeit, um ein Fenster zu schließen, nicht aber, um in die Verwendung von Cookies und anderen Technologien durch den Websitebetreiber einzuwilligen. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer nicht bewusst sein. Zwar steht unmittelbar neben dem „X“- Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und denselben Button handelt. Vor diesem Hintergrund kann die Einwilligung mithilfe des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend, noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DSGVO bewertet werden


Den Volltext der Entscheidung finden Sie hier:

KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung verstößt gegen DSGVO

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Parlamentarischer Untersuchungsausschuss muss Vorgaben der DSGVO einhalten es sei denn die nationale Sicherheit ist betroffen

EuGH
Urteil vom 16.01.2024
C-33/22
Österreichische Datenschutzbehörde


Der EuGH hat entschieden, dass ein parlamentarischer Untersuchungsausschuss die Vorgaben der DSGVO einhalten muss, es sei denn, die Tätigkeit betrifft die nationale Sicherheit.

Die Pressemitteilung des EuGH:
Ein parlamentarischer Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung einhalten

Dies gilt nicht, wenn er eine die nationale Sicherheit betreffende Tätigkeit ausübt.

Ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung (DSGVO) einhalten. Gibt es in diesem Mitgliedstaat nur eine Aufsichtsbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch den Untersuchungsausschuss zuständig. Übt der Untersuchungsausschuss jedoch eine Tätigkeit aus, die als solche der Wahrung der nationalen Sicherheit dient, unterliegt er nicht der DSGVO und folglich auch nicht der Kontrolle durch die Aufsichtsbehörde.

Der Nationalrat, die Abgeordnetenkammer des österreichischen Parlaments, setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufzuklären.

Dieser Untersuchungsausschuss befragte medienöffentlich eine Auskunftsperson. Das Protokoll dieser Befragung wurde auf der Webseite des österreichischen Parlaments veröffentlicht. Es enthielt den vollständigen Namen der Auskunftsperson, obwohl diese die Anonymisierung beantragt hatte.

Da die Nennung ihres Namens aus der Sicht der Auskunftsperson gegen die DSGVO verstieß, brachte sie bei der österreichischen Datenschutzbehörde eine Beschwerde ein. Sie legte dar, als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig zu sein. Die Datenschutzbehörde wies die Beschwerde mit der Begründung zurück, dass sie aufgrund des Gewaltenteilungsgrundsatzes als Teil der Exekutive nicht kontrollieren könne, ob der Untersuchungsausschuss, der der Legislative zuzurechnen sei, die DSGVO einhalte. Die Auskunftsperson bekämpfte diese Entscheidung sodann vor den österreichischen Gerichten.

Der österreichische Verwaltungsgerichtshof möchte vom Gerichtshof wissen, ob der Untersuchungsausschuss, der der Legislative zuzurechnen ist und Tätigkeiten betreffend die nationale Sicherheit untersucht, der DSGVO und damit der Kontrolle der Datenschutzbehörde unterliegt.

Der Gerichtshof stellt fest, dass auch ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss grundsätzlich die DSGVO einzuhalten hat.

Zwar ist die DSGVO nicht auf Verarbeitungen personenbezogener Daten anwendbar, die von Behörden im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient. Vorbehaltlich einer Überprüfung durch den österreichischen Verwaltungsgerichtshof scheint die in Rede stehende Untersuchung jedoch nicht als solche der Wahrung der nationalen Sicherheit zu dienen. Der Untersuchungsausschuss sollte nämlich eine mögliche politische Einflussnahme auf eine der Exekutive zuzurechnende Behörde prüfen, die für Verfassungsschutz und Terrorismusbekämpfung zuständig war.

Allerdings können Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen aufgrund der nationalen Sicherheit gerechtfertigt sein. Aus der Akte ergibt sich jedoch nicht, dass der in Rede stehende Untersuchungsausschuss dargetan hätte, dass die Offenlegung des Namens der Auskunftsperson für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des österreichischen Verwaltungsgerichtshofs, die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.

Da Österreich entschieden hat, nur eine Aufsichtsbehörde im Sinne der DSGVO einzurichten, nämlich die Datenschutzbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch einen Untersuchungsausschuss wie den in Rede stehenden zuständig, und zwar ungeachtet des Gewaltenteilungsgrundsatzes. Dies ergibt sich aus der unmittelbaren Wirkung der DSGVO und dem Anwendungsvorrang des Unionsrechts, einschließlich gegenüber nationalem Verfassungsrecht.


Tenor der Entscheidung:

1. Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.

2. Art. 2 Abs. 2 Buchst. a der Verordnung 2016/679 im Licht des 16. Erwägungsgrundes dieser Verordnung ist dahin auszulegen, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.

3. Art. 77 Abs. 1 und Art. 55 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.

Den Volltext der Entscheidung finden Sie hier:


EuGH: Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen sind nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig

EuGH
Urteil vom 11.01.2024
C‑231/22


Der EuGH hat entschieden, dass die Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind.

2. Art. 5 Abs. 2 in Verbindung mit Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen.

Den Volltext der Entscheidung finden Sie hier:

LAG Thüringen: Kein Anspruch auf Löschung einer Abmahnung aus der Personalakte nach Art. 17 DSGVO wenn die Abmahnung Gegenstand einer Schadensersatzklage ist

LAG Thüringen
Urteil vom 24.10.2023
5 Sa 424/22, 1 Ca 212/22


Das LAG Thüringen hat entschieden, dass kein Anspruch auf Löschung einer Abmahnung aus der Personalakte nach Art. 17 DSGVO besteht, wenn die Abmahnung Gegenstand einer Schadensersatzklage ist.

Aus den Entscheidungsgründen:
Nach Beendigung des Arbeitsverhältnisses hat ein Arbeitnehmer regelmäßig keinen Anspruch mehr auf Entfernung aus der Personalakte, selbst einer zu Unrecht erteilten Abmahnung. Ein solcher Anspruch kann nur ausnahmsweise gegeben sein, wenn objektive Anhaltspunkte dafür bestehen, eine Abmahnung könne dem Arbeitnehmer auch noch nach Beendigung des Arbeitsverhältnisses schaden (BAG 19. April 2012 - 2 AZR 233/11 - Rn. 51). Der Kläger hat vorliegend keine entsprechenden Gründe dargelegt.

Vielmehr verfolgt der Kläger mit demselben Verfahren Schadensersatzansprüche gegenüber der Beklagten wegen der Verletzung von Persönlichkeitsrechten. Dabei spielt die streitgegenständliche Abmahnung die zentrale Rolle. Hieraus ergibt sich ein Dokumentationserfordernis der Beklagten, hier die Aufbewahrung der Abmahnung, zumindest bis zur endgültigen Klärung der Schadensersatzklage (vgl. auch Sächsisches LAG 31.03.2023 - 4 Sa 117/21 - Rn. 45).

Auch der Hinweis des Klägers auf die Vorschrift des § 17 DSGVO führt zu keinem anderen Ergebnis. Nach Art. 17 Abs. 1 a DSGVO besteht ein Anspruch auf Löschung der betreffenden personenbezogenen Daten, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Da die vorliegende streitige Abmahnung Gegenstand der Schadensersatzklage ist, besteht zumindest bis zur rechtskräftigen Beendigung des Verfahrens nach Art. 17 Abs. 3 a DSGVO kein Löschungsanspruch, da dieser zur Ausübung und Verteidigung von Rechtsansprüchen erforderlich ist.

2. Mit dem Berufungsvorbringen vermochte der Kläger auch das Bestehen eines Anspruchs auf Widerruf mittels öffentlichen Aushangs nicht begründen. Ein Widerrufsanspruch als quasinegatorischer Beseitigungsanspruch mittels öffentlichen Aushangs setzt voraus, dass der zu widerrufende Vorwurf auf gleiche Weise bekannt gegeben wurde. Nur in einem solchen Fall kann der Arbeitnehmer den Widerruf etwa durch öffentlichen Aushang verlangen (vgl. BAG 21. Februar 1979 - 5 AZR 568/77 - Leitsatz 1 und Rn. 16 – 20). Eine Bekanntgabe oder Veröffentlichung der gegenüber dem Kläger erhobenen Vorwürfe ist nicht vorgetragen worden. Vielmehr ist unstreitig, dass die Beklagte dem Kläger die Abmahnung im verschlossenen Umschlag übergeben hat. Die erste Instanz hat insoweit zu Recht sogar darauf hingewiesen, dass die Abmahnung weder betriebsintern bekannt geworden noch der Arbeitgeber ein etwaiges betriebsinternes Bekanntwerden zu verantworten habe.

3. Auch das Bestehen eines Schmerzensgeldanspruchs konnte der Kläger mit seinem Berufungsvorbringen nicht dartun. Zwar verweist er auf die maßgebliche höchstrichterliche Rechtsprechung, wonach bei schweren Eingriffen in das Persönlichkeitsrecht des Arbeitnehmers ein Schmerzensgeldanspruch in Betracht kommt. Der Vorwurf des Verbreitens von Unwahrheiten stellt jedoch ohne Hinzutreten weiterer Umstände keine Straftat dar. Wie bereits unter Ziffer 1 erläutert, ist der eigentliche Vorwurf in der Abmahnung, der Kläger habe nicht vor Dienstbeginn am 18.10.2021 seine Arbeitsverhinderung unverzüglich mitgeteilt, unbestritten. Mit dem Erstgericht ist die Kammer auch der Auffassung, dass eine fortwirkende Herabsetzung des Rufs des Klägers ohne die Beeinträchtigung in seinem beruflichen Fortkommen nicht erkennbar ist.


Den Volltext der Entscheidung finden Sie hier:


OLG Nürnberg: Keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO wenn dies aus datenschutzfremden Motiven erfolgt

OLG Nürnberg
Urteil vom 29.11.2023
4 U 347/21


Das OLG Nürnberg hat entschieden, dass keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO vorliegt, wenn dies aus datenschutzfremden Motive erfolgt.

Aus den Entscheidunsggründen:
2. Die Berufung ist begründet.
a) Wie das Landgericht zutreffend ausführt, ist der Auskunftsantrag hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). In den Fällen der Geltendmachung eines Auskunftsanspruchs gern. Art. 15 Abs. 1 DSGVO genügt es grundsätzlich, wenn der Klageantrag dem Wortlaut der Vorschrift entsprechend auf Erteilung einer vollständigen Auskunft über die von der Beklagten verarbeiteten personenbezogenen Daten des Klägers gerichtet ist; eine Spezifizierung dieser Daten ist grundsätzlich nicht erforderlich (so zuletzt OLG Köln, NZA-RR 2023, 515 Rn. 16, beck-online).

b) Soweit der Kläger seinen Antrag wegen vorgerichtlich übermittelter Personalstamm- und BAV-Daten bereits beschränkt und wegen zweier Schriftsätze, die ihm im Rahmen des beim Landgericht Oldenburg anhängig gewesenen Verfahrens zugänglich gemacht wurden, Teilerledigungserklärungen unter Verweis auf diese Schriftsätze abgegeben hat, ändert dies nichts daran, dass „offen“ tenoriert werden kann. Denn es kann – wie auch sonst bei noch teilweise „unerledigten“ im Sinne von noch nicht vollständig erfüllten – Auskunftsansprüchen einfach offen zur geschuldeten Auskunft (als geschuldetem „Enderfolg“) verurteilt werden (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Die Beschränkung im ursprünglichen Antrag bzw. der Verweis auf Teilerledigungen berücksichtigt lediglich die Tatsache, dass die Beklagte bereits gewisse Auskünfte erteilt hat; mit der Beschränkung ist nur klargestellt, dass die Beklagte die bereits erteilten Auskünfte nach Auffassung des Klägers nicht mehr wiederholen muss, dieser die Auskunft ansonsten aber (zu Recht) als unvollständig ansieht und deswegen eine „vollständige“ Auskunft im Übrigen auch weiterhin einklagt (so auch OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online).

Wie das OLG Köln weiter ausgeführt hat, ,,ist eine Beschränkung durch Verweis auf bereits erteilte Teilauskünfte vor bzw. während des Verfahrens und/oder sonstige Klarstellungen prozessual nicht zwingend in Antrag und Tenor aufzunehmen, weil man mit dem oben Gesagten einfach einen weit gefassten Antrag in Anlehnung an den Gesetzeswortlaut stellen kann und alles andere dann nur – wie auch sonst – eine Frage des Erfüllungseinwands (§ 362 Abs. 1 BGB) im gerichtlichen Verfahren bzw. bei entsprechender Titulierung später im Zwangsvollstreckungsverfahren nach § 888 ZPO ist“ (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Dem schließt sich der Senat an. Es ist einem Kläger auch nach Auffassung dieses Senats bei Auskunftsbegehren jedenfalls nicht zuzumuten, die bereits erteilten Auskünfte im Einzelnen in den Klageantrag aufzunehmen. Erforderlich ist nur im Rahmen der Begründetheit der Klage, dass im maßgeblichen Zeitpunkt der letzten mündlichen Verhandlung tatsächlich noch keine vollständige Erfüllung des Auskunftsanspruchs i.S.d. § 362 Abs. 1 BGB feststellbar ist. Eine vollständige Erfüllung ist nicht eingetreten. Die Beklagte macht gerade geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO ist. Diese Aussage impliziert, dass es bei der Beklagten – wie auch aufgrund der langjährigen Tätigkeit des Klägers im dortigen Unternehmen nicht anders zu erwarten – umfangreiche weitere zu beauskunftende Daten gibt.

c) Art. 15 DSGVO gibt einen umfassenden Auskunftsanspruch über personenbezogene Daten.

aa) Art. 4 Nr. 1 DSGVO definiert den Begriff „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Dem Begriff der personenbezogenen Daten ist nach der Rechtsprechung des EuGH eine weite Bedeutung beizumessen: „Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“ (EuGH BeckRS 2017, 136145).

bb) Soweit Einschränkungen des umfassenden Auskunftsrechts auf Ewägungsgrund 63 der Verordnung gestützt werden sollen, haben diese Erwägungen in der Verordnung keinen Niederschlag gefunden. Der Anspruch auf Datenauskunft ist vielmehr voraussetzungslos. Der EuGH (Urteil vom 26.10.2023 – C-307/22, BeckRS 2023, 29132, beck-online) hat hierzu im ersten Leitsatz ausgeführt, dass Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

cc) Entgegen der Auffassung der Beklagten ist der klägerische Anspruch auch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden. Nach Art. 12 Abs. 5 S. 3 DS-GVO hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liegt kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Dies gilt auch, wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen (BeckOK DatenschuteR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 15 Rn. 48).

Da die Motivation des Klägers für die Begründetheit des Auskunftsverlangens keine Rolle spielt, kommt es auch nicht darauf an, ob er – jedenfalls ursprünglich – hoffte, durch die Datenauskunft Erkenntnisse für seine beim Landgericht Oldenburg anhängig gewesene Klage zu erlangen. Gleichfalls kommt es nicht darauf an, ob die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist, denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt.

dd) Die Geltendmachung des Anspruchs ist auch nicht rechtsmissbräuchlich. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der entsprechende Auskunftsanspruch wurde geregelt, um diesem Grundrecht Geltung zu verschaffen. Seine Geltendmachung kann daher über die gesetzlich geregelten (hier nicht einschlägigen) Tatbestände hinaus nicht rechtsmissbräuchlich sein. Dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, steht der Geltendmachung seiner Rechte nicht entgegen.

ee) Da die Datenauskunft voraussetzungslos zu erteilen ist, steht der Beklagten auch kein Zurückbehaltungsrecht wegen der zu erwartenden Kosten zu, denn diese kann die Beklagte nicht verlangen. Die Auskunft ist kostenlos zu erteilen.

ff) Der streitgegenständliche Antrag erfasst ausdrücklich auch das Recht auf „Kopien“. Nach der Entscheidung des EuGH vom 04.05.2023 (C-487/21, NJW 2023, 2253 Rn. 45) ist Art. 15 Abs. 3 DSGVO dahin auszulegen, „dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“ Damit ist die strittige Frage geklärt, was unter „Kopie“ zu verstehen ist.

In der genannten Entscheidung hat der EuGH auch ausgeführt, dass Art. 15 Abs. 3 DSGVO „nur die praktischen Modalitäten für die Erfüllung der aus Art. 15 Abs. 1 DSGVO folgenden Auskunftspflichtfestlegt. Art. 15 DSGVO kann deshalb gerade nicht so ausgelegt werden, dass er in seinem Abs. 3 S. 1 ein anderes Recht als das in Abs. 1 vorgesehene gewährt“ (vgl. EuGH, Urteil vom 04.05.2023 – C-487/21, NJW 2023, 2253 Rn. 31 f.). Nach dieser Entscheidung ist auch die Frage geklärt, ob ein auf Überlassung einer Datenkopie gem. Art. 15 Abs. 3 DSGVO gerichteter Antrag erkennen lassen muss, von welchen personenbezogenen Daten eine Kopie verlangt wird. Ein Anspruchsteller, der zu einer genaueren Bezeichnung außerstande ist, ist deswegen auch nicht gehalten, im Wege der Stufenklage zunächst eine Auskunft darüber zu verlangen, welche personenbezogenen Daten der Anspruchsgegner verarbeitet, um auf dieser Grundlage sodann einen Antrag auf Überlassung einer Kopie der sich aus der Auskunft ergebenden Daten stellen zu können (so noch vor der Entscheidung des EuGH das Bundesarbeitsgericht, vgl. BAG, Urteil vom 16.12.2021 – 2 AZR 235/21, NZA 2022, 362 Rn. 33; Urteil vom 27.04.2021 – 2 AZR 342/20, BAGE 174, 351 Rn. 20 f. = NZA 2021, 1053; kritisch dazu bereits Lembke/Fischels, NZA 2022, 513 (519 f.)). Art. 15 DSGVO enthält vielmehr nach der jüngsten Rechtsprechung des EuGH einen einheitlichen Auskunftsanspruch (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Der Kläger hatte sich zudem auch bereits erstinstanzlich auf sein Recht auf Überlassung einer Kopie berufen. Dieser einheitliche Anspruch muss grundsätzlich ohne eine Spezifizierung der personenbezogenen Daten – wie hier – einheitlich geltend gemacht werden können (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Da der Anspruch auf eine unvertretbare Handlung gerichtet ist, ist er nach § 888 ZPO zu vollstrecken (vgl. Lembke/Fischels, NZA 2022, 513 (520)). Erteilt ein zur Auskunftserteilung verurteilter Schuldner (weitere) Auskünfte und stellt dem Gläubiger Datenkopien zur Verfügung, muss gegebenenfalls im Vollstreckungsverfahren geprüft werden, ob der titulierte Auskunftsanspruch dadurch dann endgültig erfüllt worden ist. Daraus möglicherweise resultierende Schwierigkeiten sind keine datenschutzrechtliche Besonderheit, sondern können in ähnlicher Form auch bei anderen Auskunftsansprüchen auftreten (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online).


Den Volltext der Entscheidung finden Sie hier:

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: SCHUFA-Scoring ist eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO soweit Score maßgeblich für Kreditgewährung oder Vertragsschluss ist

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)


Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]


Den Volltext der Entscheidung finden Sie hier:

EuGH: DSGVO-Geldbuße gegen Unternehmen durch Datenschutzbehörde setzt schuldhaften Verstoß voraus - Höhe richtet sich nach dem Jahresumsatz des Konzerns

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.


Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


EuGH: Hersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern zur Verfügung stellen - personenbezogene Daten im Sinne der DSGVO in Kombination mit Halterdaten

EuGH
Urteil vom 09.11.2023
C-319/22
Gesamtverband Autoteile-Handel (Zugang zu Fahrzeuginformationen)


Der EuGH hat entschieden, dass Fahrzeughersteller unabhängigen Wirtschaftsakteuren die Fahrzeug-Identifizierungsnummern zur Verfügung stellen müssen. Der EuGH führt weiter aus, dass es sich in Kombination mit Halterdaten dabei um personenbezogene Daten im Sinne der DSGVO handelt, die Verpflichtung aber DSGVO-konform ist.

Die Pressemitteilung des EuGH:
Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern bereitstellen.

Ermöglicht diese Nummer, den Halter eines Fahrzeugs zu identifizieren, und stellt sie daher ein personenbezogenes Datum dar, ist diese Verpflichtung mit der Datenschutz-Grundverordnung vereinbar.

Fahrzeughersteller sind nach dem Unionsrecht verpflichtet, unabhängigen Wirtschaftsakteuren, zu denen Reparaturbetriebe, Ersatzteilhändler und Herausgeber technischer Informationen gehören, die Informationen zugänglich zu machen, die für die Reparatur und Wartung der von ihnen hergestellten Fahrzeuge erforderlich sind.

Ein deutscher Branchenverband des freien Kfz -Teilehandels ist der Ansicht, dass weder die Form noch der Inhalt der Informationen, die seinen Mitgliedern vom Lkw-Hersteller Scania zur Verfügung gestellt werden, dieser Verpflichtung genügen. Um dieser Situation abzuhelfen, rief der Verband ein deutsches Gericht an. Dieses hat sich seinerseits an den Gerichtshof gewandt, da es sich über den Umfang der Verpflichtungen von Scania nicht im Klaren war. Es möchte u. a. wissen, ob Fahrzeug-Identifizierungsnummern personenbezogene Daten darstellen, zu deren Übermittlung die Hersteller verpflichtet sind.

Der Gerichtshof entscheidet diese Frage dahingehend, dass Fahrzeughersteller verpflichtet sind, Zugang zu allen Fahrzeugreparatur- und -wartungsinformationen zu gewähren.

Diese Informationen müssen nicht unbedingt über eine Datenbankschnittstelle zugänglich gemacht werden, die eine maschinengesteuerte Abfrage und den Download der Ergebnisse ermöglicht. Ihr Format muss jedoch für die unmittelbare elektronische Weiterverarbeitung geeignet sein. So muss es das Format ermöglichen, die maßgeblichen Daten zu extrahieren und unmittelbar nach ihrer Erhebung zu speichern. Der Gerichtshof entscheidet außerdem, dass die Fahrzeughersteller verpflichtet sind, eine Datenbank zu erstellen, die die Informationen über die Teile umfasst, die durch Ersatzteile ausgetauscht werden können. Die Suche nach Informationen in dieser Datenbank muss anhand der Fahrzeug-Identifizierungsnummern und weiterer Merkmale wie der Motorleistung oder der Ausstattungsvariante des Fahrzeugs möglich sein.

Der Gerichtshof betont, dass die Fahrzeug-Identifizierungsnummern in der Datenbank enthalten sein müssen.

Diese Nummer ist als solche nicht personenbezogen. Sie wird jedoch zu einem personenbezogenen Datum, wenn derjenige, der Zugang zu ihr hat, über Mittel verfügt, die ihm die Identifizierung des Halters des Fahrzeugs ermöglichen, sofern der Halter eine natürliche Person ist. Der Gerichtshof stellt hierzu fest, dass der Halter wie auch die Fahrzeug-Identifizierungsnummer in der Zulassungsbescheinigung angegeben sind. Selbst in den Fällen, in denen die Fahrzeug-Identifizierungsnummern als personenbezogene Daten einzustufen sind, steht die Datenschutz-Grundverordnung dem nicht entgegen, dass Fahrzeughersteller verpflichtet sind, sie unabhängigen Wirtschaftsakteuren bereitzustellen.


Den Volltext der Entscheidung finden Sie hier:


EDSA untersagt Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung

Der Europäische Datenschutzausschuss (EDSA) hat Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung untersagt.

Die Pressemitteilung der EDSA:
EDPB Urgent Binding Decision on processing of personal data for behavioural advertising by Meta

Launch of coordinated enforcement

On 27 October, the EDPB adopted an urgent binding decision instructing the Irish (IE) DPA as lead supervisory authority (LSA) to take, within two weeks, final measures regarding Meta Ireland Limited (Meta IE) and to impose a ban on the processing of personal data for behavioural advertising on the legal bases of contract and legitimate interest across the entire European Economic Area (EEA).

The urgent binding decision followed a request from the Norwegian Data Protection Authority (NO DPA) to take final measures in this matter that would have effect in the entire European Economic Area (EEA).

The ban on processing will become effective one week after the notification of the final measures by the IE SA to the controller.
The Irish DPC has notified Meta on 31/10 about the EDPB Urgent Binding Decision.
The EDPB takes note of Meta's proposal to rely on a consent based approach as legal basis, as it was reported on 30/10. The Irish DPC is currently evaluating this together with the Concerned Supervisory Authorities (CSAs).

EDPB Chair Anu Talus said: “After careful consideration, the EDPB considered it necessary to instruct the IE SA to impose an EEA-wide processing ban, addressed to Meta IE. Already in December 2022, the EDPB Binding Decisions clarified that contract is not a suitable legal basis for the processing of personal data carried out by Meta for behavioural advertising. In addition, Meta has been found by the IE SA to not have demonstrated compliance with the orders imposed at the end of last year. It is high time for Meta to bring its processing into compliance and to stop unlawful processing.”


EuGH: Patient hat gemäß Art.15, Art. 12 DSGVO einen Anspruch auf kostenlose Überlassung einer Kopie seiner Patientenakte

EuGH
Urteil vom 26.10.2023
C-307/22
FT (Kopie der Patientenakte)


Der EuGH hat entschieden, dass ein Patient gemäß Art.15 Abs. 1,3, Art. 12 Abs. 5 DSGVO einen Anspruch auf kostenlose Überlassung einer Kopie seiner Patientenakte hat.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Ein Patient hat das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten

Ein Patient verlangt von seiner Zahnärztin eine Kopie seiner Patientenakte, um gegen sie Haftungsansprüche wegen Fehlern geltend zu machen, die ihr bei seiner zahnärztlichen Behandlung unterlaufen sein sollen. Die Zahnärztin fordert jedoch, dass er, wie nach deutschem Recht vorgesehen, die Kosten für die Zurverfügungstellung der Kopie der Patientenakte übernimmt.

Da der Patient der Ansicht ist, Anspruch auf eine unentgeltliche Kopie zu haben, ruft er die deutschen Gerichte an. Unter diesen Umständen hat der deutsche Bundesgerichtshof beschlossen, dem Gerichtshof Fragen zur Vorabentscheidung vorzulegen. Denn nach Auffassung des Bundesgerichtshofs hängt die Entscheidung des Rechtsstreits von der Auslegung der Bestimmungen des Unionsrechts, nämlich der Datenschutz-Grundverordnung (im Folgenden: DSGVO), ab.

In seinem Urteil stellt der Gerichtshof fest, dass in der DSGVO das Recht des Patienten verankert ist, eine erste Kopie seiner Patientenakte zu erhalten, und zwar grundsätzlich ohne dass ihm hierdurch Kosten entstehen. Der Verantwortliche kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt.

Die betreffende Zahnärztin ist als Verantwortliche für die Verarbeitung der personenbezogenen Daten ihres Patienten anzusehen. Als solche ist sie verpflichtet, ihm eine erste Kopie seiner Daten unentgeltlich zur Verfügung zu stellen. Der Patient ist nicht verpflichtet, seinen Antrag zu begründen.

Selbst mit Blick auf den Schutz der wirtschaftlichen Interessen der Behandelnden dürfen die nationalen Regelungen dem Patienten nicht die Kosten einer ersten Kopie seiner Patientenakte auferlegen.

Des Weiteren hat der Patient das Recht, eine vollständige Kopie der Dokumente zu erhalten, die sich in seiner Patientenakte befinden, wenn dies zum Verständnis der in diesen Dokumenten enthaltenen personenbezogenen Daten erforderlich ist. Dies schließt Daten aus der Patientenakte ein, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.


Tenor der Entscheidung:
1. Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

2. Art. 23 Abs. 1 Buchst. i der Verordnung 2016/679 ist dahin auszulegen, dass eine nationale Regelung, die vor dem Inkrafttreten dieser Verordnung erlassen wurde, in den Anwendungsbereich dieser Bestimmung fallen kann. Eine solche Möglichkeit erlaubt es jedoch nicht, eine nationale Regelung zu erlassen, die der betroffenen Person zum Schutz der wirtschaftlichen Interessen des Verantwortlichen die Kosten für eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung durch den Verantwortlichen sind, auferlegt.

3. Art. 15 Abs. 3 Satz 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Rahmen eines Arzt-Patienten-Verhältnisses das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, umfasst, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt voraus, eine vollständige Kopie der Dokumente zu erhalten, die sich in der Patientenakte befinden und unter anderem diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um der betroffenen Person die Überprüfung der Richtigkeit und Vollständigkeit der Daten zu ermöglichen und die Verständlichkeit der Daten zu gewährleisten. In Bezug auf die Gesundheitsdaten der betroffenen Person schließt dieses Recht jedenfalls das Recht ein, eine Kopie der Daten aus ihrer Patientenakte zu erhalten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu an ihr vorgenommenen Behandlungen oder Eingriffen umfasst.

Den Volltext der Entscheidung finden Sie hier: