EuGH-Generalanwältin
Schlussanträge vom 26.10.2023 C-670/22
Staatsanwaltschaft Berlin - EncroChat
Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die Anforderung von EncroChat-Daten aus Frankreich durch eine deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.
Die Pressemitteilung des EuGH: Generalanwältin Ćapeta: Eine Staatsanwaltschaft kann eine Europäische Ermittlungsanordnung (EEA) zur Übermittlung von Beweismitteln, die bereits in einem anderen Mitgliedstaat erhoben wurden, erlassen
Dies ist der Fall, wenn nach dem für diese Staatsanwaltschaft geltenden nationalen Recht in einem
vergleichbaren innerstaatlichen Fall eine Übermittlung angeordnet werden kann. In einem solchen Fall darf die Behörde, die eine EEA erlässt, die Rechtmäßigkeit der Erhebung dieser Beweismittel im Vollstreckungsmitgliedstaat nicht prüfen.
EncroChat war ein verschlüsseltes Telekommunikationsnetz, das seinen Nutzern nahezu vollständige Anonymität bot. Das Gerät verfügte über keine Kamera, kein Mikrofon, kein GPS und keinen USB-Anschluss; Nachrichten konnten automatisch gelöscht werden und Nutzer konnten nach der Verwendung eines speziellen PIN-Codes oder nach der wiederholten Eingabe eines falschen Passworts sofort alle Daten auf dem Gerät löschen. Durch eine gemeinsame französisch-niederländische Ermittlungsoperation wurde eine Trojaner-Software entwickelt, die über ein simuliertes Update auf den Endgeräten installiert wurde. EncroChat-Nutzer in 122 Ländern waren von dieser Überwachung betroffen, darunter ca. 4 600 Nutzer in Deutschland. Eine deutsche Staatsanwaltschaft erließ mehrere EEAs mit dem Ersuchen, abgefangene Daten für Strafverfahren im Zusammenhang mit dem Verdacht des unerlaubten Handels mit Betäubungsmitteln durch nicht identifizierte Personen, die verdächtigt wurden, einer organisierten kriminellen Vereinigung anzugehören, verwenden zu dürfen. Ein französisches Strafgericht genehmigte die Europäischen Ermittlungsanordnungen und übermittelte die angeforderten Daten. Daraufhin führte
die deutsche Staatsanwaltschaft Ermittlungen gegen individualisierte EncroChat-Nutzer durch. Der Angeklagte in der vorliegenden Rechtssache wurde auf der Grundlage der aus Frankreich erhaltenen Beweismittel angeklagt.
Beanstandungen strafrechtlicher Verurteilungen, die als Folge abgefangener EncroChat-Daten ergangen sind, schlagen hohe Wellen quer durch europäische Höchstgerichte, wobei der Gerichtshof keine Ausnahme darstellt.
Das deutsche Landgericht, bei dem das hier in Rede stehende Strafverfahren anhängig ist, fragt den Gerichtshof, ob die fraglichen Europäischen Ermittlungsanordnungen unter Verstoß gegen die EEA-Richtlinie erlassen worden seien.
In ihren heutigen Schlussanträgen weist Generalanwältin Tamara Ćapeta darauf hin, dass eine Europäische Ermittlungsanordnung nur erlassen werden könne, wenn die darin enthaltene Ermittlungsmaßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. In der vorliegenden Rechtssache handele es sich bei einem vergleichbaren innerstaatlichen Fall um einen solchen, in dem Beweismittel innerhalb Deutschlands von einem Strafverfahren in ein anderes übermittelt würden. Da die EEA-Richtlinie es einer in einem bestimmten Fall zuständigen Staatsanwaltschaft erlaube, eine Europäische Ermittlungsanordnung zu erlassen, und das deutsche Recht offenbar nicht verlange, dass ein Gericht eine vergleichbare nationale Übermittlung genehmige, ist die Generalanwältin der Auffassung, dass die deutsche Staatsanwaltschaft befugt gewesen sei, die in Rede stehenden Europäische Ermittlungsanordnung zu erlassen. Mit anderen Worten verlange das Unionsrecht nicht, dass solche Anordnungen von einem Gericht erlassen würden.
Die Generalanwältin stellt ferner fest, dass die Überwachung des Telekommunikationsverkehrs von französischen Gerichten genehmigt worden sei und die deutschen Behörden diesem Verfahrensschritt deshalb denselben Stellenwert beimessen sollten, den sie ihm innerstaatlich beimessen würden. Dies wäre auch dann der Fall, wenn ein deutsches Gericht in einem konkreten Verfahren anders entscheiden würde.
Schließlich richte sich die Zulässigkeit von möglicherweise unter Verstoß gegen Unionsrecht erlangten Beweismitteln nicht nach dem Unionsrecht, sondern nach nationalem Recht, sofern die durch die Unionsrechtsordnung garantierten Grundrechte gewahrt würden.
Die Pressemitteilung des Gerichts: Gegenvorstellungsverfahren nach dem Netzwerkdurchsetzungsgesetz teilweise nicht anwendbar
Die in § 3b des Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz - NetzDG) vorgesehene Pflicht, ein Gegenvorstellungsverfahren vorzuhalten, ist auf in anderen EU-Mitgliedstaaten ansässige Anbieter sozialer Netzwerke teilweise nicht anwendbar. Das hat das Oberverwaltungsgericht heute vorläufig festgestellt und damit einen Eilbeschluss des Verwaltungsgerichts Köln teilweise geändert.
Die in Irland ansässige Antragstellerin ist ein Unternehmen des Meta-Konzerns und bietet die sozialen Netzwerke Facebook und Instagram für Nutzer in Deutschland an. Sie hatte im Wege des Eilrechtsschutzes gegenüber der Bundesrepublik Deutschland die vorläufige Feststellung begehrt, dass sie den Pflichten nach § 3a und § 3b NetzDG nicht unterliegt. § 3a NetzDG verpflichtet Anbieter sozialer Netzwerke, ihnen gemeldete rechtswidrige Inhalte auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu prüfen und die fraglichen Inhalte zusammen mit bestimmten Nutzerangaben gegebenenfalls an das Bundeskriminalamt zu melden. § 3b NetzDG verlangt von Anbietern sozialer Netzwerke, ein wirksames und transparentes Gegenvorstellungsverfahren vorzuhalten. Das soll Nutzern ermöglichen, eine Entscheidung des Anbieters des sozialen Netzwerks darüber, ob er einen bestimmten Inhalt entfernt bzw. den Zugang zu ihm sperrt, durch den Anbieter überprüfen zu lassen. Das Verwaltungsgericht Köln hat dem Eilantrag am 1. März 2022 hinsichtlich der Verpflichtungen nach § 3a NetzDG stattgegeben; insoweit ist der Beschluss nicht angegriffen worden. Im Übrigen, also in Bezug auf das Gegenvorstellungsverfahren nach § 3b NetzDG, hat das Verwaltungsgericht den Eilantrag abgelehnt. Hiergegen wandte sich die Antragstellerin mit ihrer Beschwerde.
Die Beschwerde war teilweise erfolgreich. Die Antragstellerin ist vorläufig nicht verpflichtet, Gegenvorstellungsverfahren zu Entscheidungen über die Löschung oder Sperrung strafrechtlich relevanter Inhalte bei sogenannten NetzDG-Beschwerden vorzuhalten (§ 3b Abs. 1 und 2 NetzDG). Der 13. Senat hat dazu ausgeführt, dass die Anwendung dieser Vorschrift auf Anbieter sozialer Netzwerke, die wie die Antragstellerin in einem anderen Mitgliedstaat der Europäischen Union ansässig sind, gegen das in der Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) verankerte Herkunftslandprinzip verstoßen dürfte. Das unionsrechtliche Herkunftslandprinzip dient dem freien Dienstleistungsverkehr und bestimmt, dass Dienste der Informationsgesellschaft, zu denen auch soziale Netzwerke gehören, grundsätzlich nur dem Recht des Mitgliedstaats unterliegen, in dem der Anbieter niedergelassen ist (hier also Irland). Soweit die E-Commerce-Richtlinie den Mitgliedstaaten die Befugnis einräumt, Verfahren für die Löschung einer Information oder die Sperrung des Zugangs zu ihr festzulegen, dürfte sie nur Regelungen für in dem jeweiligen Mitgliedstaat ansässige Anbieter erlauben. Eine Abweichung vom Herkunftslandprinzip wäre daher nur unter den dafür ausdrücklich vorgesehenen Voraussetzungen zulässig. Diese dürften hier aber schon deshalb nicht erfüllt sein, weil die Bundesrepublik Deutschland die maßgeblichen verfahrensrechtlichen Anforderungen nicht eingehalten hat. Vor der Einführung von § 3b NetzDG hat sie die EU-Kommission sowie die betroffenen Sitzmitgliedstaaten der Anbieter sozialer Netzwerke nicht informiert bzw. letztere nicht erfolglos dazu aufgefordert, selbst Maßnahmen zu ergreifen. Davon durfte sie auch nicht im Rahmen eines sogenannten Dringlichkeitsverfahrens abweichen.
Hinsichtlich der Pflicht zur Vorhaltung eines Gegenvorstellungsverfahrens zu Entscheidungen über die Löschung oder Sperrung sonstiger Inhalte (§ 3b Abs. 3 NetzDG) - dies betrifft etwa gegen die Gemeinschaftsstandards bzw. -richtlinien von Facebook oder Instagram verstoßende Inhalte - hatte die Beschwerde hingegen keinen Erfolg. Das Verwaltungsgericht hat den auf vorbeugenden Rechtsschutz gerichteten Eilantrag insoweit zu Recht als unzulässig abgelehnt. Anders als die Pflicht nach § 3b Abs. 1 und 2 NetzDG ist die Pflicht zu einem Gegenvorstellungsverfahren nach § 3b Abs. 3 NetzDG nicht bußgeldbewehrt. Der Antragstellerin ist es daher insoweit zuzumuten, sich gegen etwaige Maßnahmen der zuständigen Aufsichtsbehörde (Bundesamt für Justiz) im Wege des nachträglichen Rechtsschutzes zur Wehr zu setzen.
(1) 1Der Anbieter eines sozialen Netzwerks muss ein wirksames und transparentes Verfahren nach Absatz 2 vorhalten, mit dem sowohl der Beschwerdeführer als auch der Nutzer, für den der beanstandete Inhalt gespeichert wurde, eine Überprüfung einer zu einer Beschwerde über rechtswidrige Inhalte getroffenen Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt (ursprüngliche Entscheidung) herbeiführen kann; ausgenommen sind die Fälle des § 3 Absatz 2 Satz 1 Nummer 3 Buchstabe b. 2Der Überprüfung bedarf es nur, wenn der Beschwerdeführer oder der Nutzer, für den der beanstandete Inhalt gespeichert wurde, unter Angabe von Gründen einen Antrag auf Überprüfung innerhalb von zwei Wochen nach der Information über die ursprüngliche Entscheidung stellt (Gegenvorstellung). 3Der Anbieter des sozialen Netzwerks muss zu diesem Zweck ein leicht erkennbares Verfahren zur Verfügung stellen, das eine einfache elektronische Kontaktaufnahme und eine unmittelbare Kommunikation mit ihm ermöglicht. 4Die Möglichkeit der Kontaktaufnahme muss auch im Rahmen der Unterrichtung nach § 3 Absatz 2 Satz 1 Nummer 5 Buchstabe b eröffnet werden.
(2) Das Verfahren nach Absatz 1 Satz 1 muss gewährleisten, dass der Anbieter des sozialen Netzwerks
1. für den Fall, dass er der Gegenvorstellung abhelfen möchte, im Fall einer Gegenvorstellung des Beschwerdeführers den Nutzer und im Fall einer Gegenvorstellung des Nutzers den Beschwerdeführer über den Inhalt der Gegenvorstellung unverzüglich informiert sowie im ersten Fall dem Nutzer und im zweiten Fall dem Beschwerdeführer Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist gibt,
2. darauf hinweist, dass der Inhalt einer Stellungnahme des Nutzers an den Beschwerdeführer sowie der Inhalt einer Stellungnahme des Beschwerdeführers an den Nutzer weitergegeben werden kann,
3. seine ursprüngliche Entscheidung unverzüglich einer Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person unterzieht,
4. seine Überprüfungsentscheidung dem Beschwerdeführer und dem Nutzer unverzüglich übermittelt und einzelfallbezogen begründet, in den Fällen der Nichtabhilfe dem Beschwerdeführer und dem Nutzer jedoch nur insoweit, wie diese am Gegenvorstellungsverfahren bereits beteiligt waren, und
5. sicherstellt, dass eine Offenlegung der Identität des Beschwerdeführers und des Nutzers in dem Verfahren nicht erfolgt.
(3) 1Sofern einer Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt keine Beschwerde über rechtswidrige Inhalte zugrunde liegt, gelten die Absätze 1 und 2 entsprechend. 2Liegt der Entscheidung eine Beanstandung des Inhalts durch Dritte zugrunde, tritt an die Stelle des Beschwerdeführers diejenige Person, welche die Beanstandung dem Anbieter des sozialen Netzwerks übermittelt hat. 3Abweichend von Absatz 2 Nummer 3 ist es nicht erforderlich, dass die Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person erfolgt. 4Abweichend von Absatz 1 Satz 2 bedarf es der Überprüfung nach Satz 1 dann nicht, wenn es sich bei dem Inhalt um erkennbar unerwünschte oder gegen die Allgemeinen Geschäftsbedingungen des Anbieters verstoßende kommerzielle Kommunikation handelt, die vom Nutzer in einer Vielzahl von Fällen mit anderen Nutzern geteilt oder der Öffentlichkeit zugänglich gemacht wurde und die Gegenvorstellung offensichtlich keine Aussicht auf Erfolg hat.
EuGH
Urteil vom 12.01.2023 C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)
Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.
Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Die Pressemitteilung des EuGH: Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden
Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist
Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.
Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.
Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.
Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.
Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.
Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.
Die Pressemitteilung des Bundesverfassungsgerichts: Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten
Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.
Sachverhalt:
Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.
Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.
B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.
I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.
II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.
III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.
1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.
Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.
b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.
2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.
a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.
b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.
aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.
(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.
(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.
bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.
Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.
Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.
3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.
In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.
EuGH-Generalanwalt
Schlussanträge vom 20.09.2022
Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH ./. Bundeskartellamt C-252/21
Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das Bundeskartellamt DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden darf (hier: Facebook / Meta). Dabei müssen allerdings Entscheidungen der datenschutzrechtlichen Aufsichtsbehörden beachtet werden.
Die Pressemitteilung des EuGH:
Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann
Sie muss jedoch jede Entscheidung oder Untersuchung der nach dieser Verordnung zuständigen Aufsichtsbehörde berücksichtigen.
Meta Platforms ist der Eigentümer des sozialen Online-Netzwerks „Facebook“. Die Nutzer dieses sozialen Netzwerks müssen die Nutzungsbedingungen von Facebook akzeptieren, die auf die Praxis der Nutzung dieser Daten und von Cookies durch Meta Platforms verweisen. Mit den Cookies erfasst Meta Platforms Daten, die aus anderen Diensten des Konzerns Meta Platforms wie Instagram oder WhatsApp stammen sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies. Diese Daten verknüpft Meta Platforms mit dem Facebook-Konto des betreffenden Nutzers und verwertet sie u. a. zu Werbezwecken.
Das deutsche Bundeskartellamt untersagte Meta Platforms die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen und erlegte dem Unternehmen Maßnahmen zur Abstellung dieses Verhaltens auf. Das Bundeskartellamt war der Auffassung, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland darstelle. Meta Platforms legte gegen den Beschluss des Bundeskartellamts Beschwerde beim Oberlandesgericht Düsseldorf ein. Dieses fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden befugt sind, die Vereinbarkeit einer Datenverarbeitung mit der DSGVO zu prüfen. Außerdem stellt das Oberlandesgericht dem Gerichtshof Fragen zur Auslegung und Anwendung bestimmter Vorschriften der DSGVO.
In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Athanasios Rantos erstens die Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen, sie jedoch in Ausübung ihrer eigenen Zuständigkeiten berücksichtigen kann, ob eine Geschäftspraxis mit der DSGVO vereinbar ist. Insoweit unterstreicht der Generalanwalt, dass die Vereinbarkeit oder Unvereinbarkeit einer Praxis mit der DSGVO unter Berücksichtigung aller Umstände des Einzelfalls ein wichtiges Indiz für die Feststellung sein kann, ob diese Praxis einen Verstoß gegen die Wettbewerbsvorschriften darstellt.
Der Generalanwalt stellt jedoch klar, dass eine Wettbewerbsbehörde die Einhaltung der DSGVO nur inzident prüfen kann und dies die Anwendung dieser Verordnung durch die nach der Verordnung zuständige Aufsichtsbehörde nicht präjudiziert. Folglich muss die Wettbewerbsbehörde alle Entscheidungen oder Untersuchungen der zuständigen Aufsichtsbehörde berücksichtigen, diese über jedes sachdienliche Detail informieren und sich gegebenenfalls mit ihr abstimmen.
Zweitens ist der Generalanwalt der Ansicht, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung, die der für die Verarbeitung Verantwortliche nachzuweisen hat.
Drittens ist der Generalanwalt der Ansicht, dass die streitige Praxis von Meta Platforms oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter in der DSGVO vorgesehene Ausnahmen fallen können, sofern die betreffenden Tätigkeiten dieser Praxis für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich sind. Auch wenn die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der Dienste des Konzerns Meta Platforms, die Netzwerksicherheit und die Produktverbesserung im Interesse des Nutzers oder des für die Datenverarbeitung Verantwortlichen erfolgen können, erscheinen diese Tätigkeiten allerdings nach Auffassung des Generalanwalts nicht für die Erbringung der genannten Dienstleistungen erforderlich.
Viertens stellt der Generalanwalt fest, dass das Verbot der Verarbeitung sensibler personenbezogener Daten, die beispielsweise die rassische oder ethnische Herkunft, die Gesundheit oder die sexuelle Orientierung der betroffenen Person betreffen, auch die Verarbeitung der streitigen Daten umfassen kann. Dies ist dann der Fall, wenn die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die in der DSGVO genannten sensiblen Merkmale ermöglichen.
In diesem Zusammenhang weist der Generalanwalt darauf hin, dass der Nutzer sich voll bewusst sein muss, dass er durch eine ausdrückliche Handlung personenbezogene Daten öffentlich macht, damit die Ausnahme von diesem Verbot, die beinhaltet, dass die betroffene Person die Daten offensichtlich öffentlich gemacht hat, greifen kann. Nach Ansicht des Generalanwalts kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers offensichtlich öffentlich macht.
VG Köln
Beschlüsse vom 01.03.2022 6 L 1277/21 (Google Ireland Ltd.) 6 L 1354/21 (Meta Platforms Ireland Limited)
Das VG Köln hat entschieden, dass die Neuregelungen im Netzwerkdurchsetzungsgesetzes (NetzDG) teilweise unionsrechtswidrig sind. Das Gericht hat den Eilanträgen von Google und Meta / Facebook teilweise stattgegeben.
Die Pressemitteilung des Gerichts: Gericht entscheidet über Eilanträge von Google und Meta: Netzwerkdurchsetzungsgesetz verstößt teilweise gegen Unionsrecht
Zentrale Vorschriften des novellierten Netzwerkdurchsetzungsgesetzes (NetzDG) sind wegen Verstoßes gegen unionsrechtliche Vorschriften unanwendbar. Dies hat das Verwaltungsgericht Köln heute entschieden und damit Eilanträgen der Google Ireland Ltd. und der Meta Platforms Ireland Limited gegen die Bundesrepublik Deutschland teilweise stattgegeben.
Das novellierte NetzDG verpflichtet mit dem neu eingefügten § 3a Anbieter sozialer Netzwerke dazu, Inhalte, die ihnen im Rahmen einer Beschwerde über rechtswidrige Inhalte (sog. NetzDG-Beschwerde) gemeldet worden sind und welche sie entfernt oder zu denen sie den Zugang gesperrt haben, auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu überprüfen. Liegen solche Anhaltspunkte vor, müssen die Inhalte zusammen mit bestimmten Nutzerangaben an das Bundeskriminalamt übermittelt werden. § 3b NetzDG verpflichtet die Anbieter sozialer Netzwerke dazu, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen. In § 4a NetzDG wird das Bundesamt für Justiz als für die Überwachung der Einhaltung der Vorschriften des NetzDG zuständige Behörde bestimmt.
Die in Irland niedergelassenen Anbieter der sozialen Netzwerke Youtube (Google), Facebook und Instagram (beide Meta) haben mit ihren Eilanträgen jeweils die Feststellung beantragt, dass sie nicht den neu geschaffenen Pflichten des NetzDG unterliegen. Zur Begründung machten sie Verstöße gegen Unionsrecht sowie nationales Verfassungsrecht geltend.
Dem ist das Gericht teilweise gefolgt. Beide Eilverfahren seien nur zum Teil zulässig. Soweit sie sich auch auf die Pflicht bezögen, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen, denen keine NetzDG-Beschwerde zugrunde liege, fehle es am Rechtsschutzbedürfnis. Insoweit müssten sich die Antragstellerinnen auf den Rechtsschutz gegen etwaige aufsichtsbehördliche Verfügungen verweisen lassen.
In der Sache hat das Gericht entschieden, der Gesetzgeber habe bei der Einführung des § 3a NetzDG gegen das Herkunftslandprinzip der Richtlinie über den elektronischen Geschäftsverkehr (ECRL) verstoßen. Nach diesem Prinzip richten sich die rechtlichen Anforderungen an einen in einem Mitgliedsstaat der EU niedergelassenen Anbieter elektronischer Dienste nach dem Recht seines Sitzstaates. Die Antragsgegnerin könne sich nicht auf Ausnahmen von diesem Prinzip berufen, da der Gesetzgeber weder das für Ausnahmen vorgesehene Konsultations- und Informationsverfahren durchgeführt habe noch die Voraussetzungen eines Dringlichkeitsverfahrens vorgelegen hätten.
§ 4a NetzDG, der nur im Verfahren von Google Streitgegenstand war, verstoße gegen die Richtlinie über audiovisuelle Mediendienste, die auf Videosharingplattform-Dienste Anwendung finde. Diese statuiere den Grundsatz der rechtlichen und funktionellen Unabhängigkeit der zur Überwachung der Pflichtenerfüllung der Diensteanbieter zuständigen Medienbehörden. Da das als Bundesoberbehörde eingerichtete Bundesamt für Justiz mit Sitz in Bonn dem Bundesministerium für Justiz und Verbraucherschutz unterstehe und von diesem Weisungen entgegennehme, könne von der von der Richtlinie geforderten Staatsferne beim Bundesamt für Justiz keine Rede sein.
Im Verfahren der Meta Platforms Ireland Limited hat das Gericht den Antrag in Bezug auf das mit § 3b Abs. 1 NetzDG eingeführte Gegenvorstellungsverfahren nach Entscheidungen über NetzDG-Beschwerden abgelehnt. Zur Begründung führte das Gericht aus, die Vorschrift sei von der Befugnis der EU-Mitgliedstaaten zur Festlegung von Verfahren für die Entfernung einer Information oder die Sperrung des Zugangs zu ihr (Art. 14 Abs. 3 ECRL) gedeckt. Auch ein Verstoß gegen die in der Charta der Grundrechte der Europäischen Union gewährleistete unternehmerische Freiheit oder nationales Verfassungsrecht sei nicht gegeben.
Die gerichtlichen Beschlüsse wirken nur zwischen den jeweiligen Verfahrensbeteiligten.
Gegen die Beschlüsse können die Beteiligten jeweils Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde.
EuGH-Generalanwalt
Schlussanträge von 27.01.2022
Rechtssache C-817/19
Ligue des droits humains
Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die allgemeine Übermittlung und automatisierte Verarbeitung von Fluggastdatensätzen mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vereinbar ist.
Die Pressemitteilung des EuGH:
Generalanwalt Pitruzzella: Übermittlung sowie allgemeine und unterschiedslose automatisierte Verarbeitung von Fluggastdatensätzen sind mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vereinbar Eine allgemeine und unterschiedslose Speicherung von Fluggastdatensätzen in nicht unkenntlich gemachter Form könne hingegen nur zur Abwendung einer realen, aktuellen oder vorhersehbaren ernsten Bedrohung für die Sicherheit der Mitgliedstaaten gerechtfertigt werden und sofern die Dauer dieser Speicherung auf das unbedingt Notwendige beschränkt ist.
Die in der Fluggastdaten-Richtlinie vorgesehene Übermittlung von Daten der Rubrik „Allgemeine Hinweise“ genüge zudem nicht den Anforderungen der Grundrechtecharte in Bezug auf Klarheit und Bestimmtheit Die Nutzung von Fluggastdaten ist ein wesentliches Element der Bekämpfung von Terrorismus und schwerer Kriminalität. Zu diesem Zweck schreibt die Fluggastdaten-Richtlinie (PNRRichtlinie) die systematische Verarbeitung einer großen Zahl von Fluggastdaten bei der Einreise in die bzw. bei der Ausreise aus der Europäischen Union vor. Darüber hinaus sieht Art. 2 dieser Richtlinie für die Mitgliedstaaten die Möglichkeit vor, diese Richtlinie auch auf Flüge innerhalb der Europäischen Union anzuwenden.
Die Ligue des droits humains (Liga für Menschenrechte) ist ein gemeinnütziger Verein, der im Juli 2017 bei der belgischen Cour constitutionnelle (Verfassungsgerichtshof) eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 zur Umsetzung der PNR-Richtlinie und der Richtlinie über die Übermittlung von Angaben über beförderte Personen (API-Richtlinie) in das belgische Recht erhob. Nach Auffassung der Liga für Menschenrechte verletzt dieses Gesetz das im belgischen und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Der Verein beanstandet die sehr weite Definition der Fluggastdaten und den allgemeinen Charakter der Erhebung, Übermittlung und Verarbeitung dieser Daten. Die Liga für Menschenrechte ist der Ansicht, dass das Gesetz darüber hinaus die Personenfreizügigkeit einschränke, da es indirekt wieder Grenzkontrollen einführe, indem es das „PNR-System“ auf Flüge innerhalb der EU ausweite.
Im Oktober 2019 legte der belgische Verfassungsgerichtshof dem Europäischen Gerichtshof zehn Vorabentscheidungsfragen zur Gültigkeit und Auslegung der PNR-Richtlinie und der API-Richtlinie sowie zur Auslegung der Datenschutz-Grundverordnung (DSGVO) vor.
In seinen heutigen Schlussanträgen führt Generalanwalt Giovanni Pitruzzella zunächst aus, wenn Maßnahmen, die in die Grundrechte gemäß der Charta der Grundrechte der Europäischen Union (Charta) eingriffen, auf einem Unionsrechtsakt beruhten, sei es Aufgabe des Unionsgesetzgebers, die wesentlichen Elemente, die die Tragweite dieser Grundrechtseingriffe ausmachen, festzulegen. Nach der Rechtsprechung des Gerichtshofs seien Bestimmungen, die die Übermittlung personenbezogener Daten natürlicher Personen an Dritte, etwa eine Behörde, vorschreiben oder gestatten, bei fehlender Einwilligung dieser natürlichen Personen unabhängig von der späteren Verwendung der in Rede stehenden Daten als Eingriff in ihr Privatleben sowie als Eingriff in das Grundrecht auf Schutz personenbezogener Daten einzustufen. Diese Eingriffe könnten nur gerechtfertigt werden, wenn sie gesetzlich vorgesehen seien, den Wesensgehalt dieser Rechte achteten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich seien und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprächen.
Was erstens die personenbezogenen Daten anbelangt, die gemäß der PNR-Richtlinie von den Fluggesellschaften an die PNR-Zentralstellen zu übermitteln sind, führt der Generalanwalt aus, dass die Intensität und Schwere des Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, der mit einer die Ausübung dieser Rechte einschränkenden Maßnahme verbunden ist, vor allem von Umfang und Art der verarbeiteten Daten abhängt. Die Ermittlung dieser Daten sei daher ein wesentlicher Vorgang, der für jede Rechtsgrundlage, die eine solche Maßnahme einführt, zwingend – so klar und bestimmt wie möglich – vorzunehmen sei.
Nach der Feststellung, dass es den Anforderungen der Charta in Bezug auf Klarheit und Bestimmtheit nicht genüge, auf allgemeine Kategorien von Angaben zurückzugreifen, die die Art und den Umfang der zu übermittelnden Daten unzureichend festlegten, folgert der Generalanwalt, dass Anhang I Nr. 12 der PNR-Richtlinie ungültig sei, da diese Bestimmung in den Kategorien der zur übermittelnden Daten die Rubrik „Allgemeine Hinweise“ enthalte, die sämtliche Angaben erfassen solle, die von den Fluggesellschaften – zusätzlich zu den ausdrücklich in den anderen Ziffern dieses Anhangs I angeführten – bei ihrer Dienstleistungserbringung erhoben werden. Im Übrigen ist der Generalanwalt der Ansicht, dass die Daten, die gemäß der PNR-Richtlinie von den Fluggesellschaften den PNR-Zentralstellen zu übermitteln seien, für die mit dieser Richtlinie verfolgten Ziele erheblich seien, ihnen entsprächen und nicht über sie hinausgingen, und dass ihr Umfang nicht über das hinausgehe, was zur Erreichung dieser Ziele unbedingt erforderlich sei. Darüber hinaus sei diese Übermittlung mit hinreichenden Garantien versehen, die darauf abzielten, dass nur die ausdrücklich genannten Daten übermittelt sowie Sicherheit und Vertraulichkeit der übermittelten Daten gewährleistet würden. Ferner lege die PNR-Richtlinie ein generelles Verbot der Verarbeitung sensibler Daten fest, welches auch ihre Erhebung umfasse, so dass das „PNR-System“ ausreichende Garantien vorsehe, die es in jeder Phase der Verarbeitung erhobener Daten ermöglichten auszuschließen, dass diese Verarbeitung geschützte Merkmale direkt oder indirekt berücksichtige.
Zweitens ist der Generalanwalt der Auffassung, der allgemeine und unterschiedslose Charakter der Übermittlung der PNR-Daten und der Vorabüberprüfung der Fluggäste durch den automatisierten Abgleich dieser Daten sei mit Art. 7 und 8 der Charta vereinbar, in denen die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verankert seien. Insbesondere sei die Rechtsprechung des Gerichtshofs zu Speicherung von Daten und Zugang zu Daten im Bereich der elektronischen Kommunikation5 nicht auf das in der PNR-Richtlinie vorgesehene System übertragbar. Mit der Einführung eines auf Unionsebene harmonisierten Systems der PNR-Datenverarbeitung sowohl für Drittstaatsflüge als auch – bei den Staaten, die von Art. 2 der PNR-Richtlinie Gebrauch gemacht haben – für Flüge innerhalb EU könne gewährleistet werden, dass die Verarbeitung dieser Daten unter Einhaltung des durch diese Richtlinie festgelegten hohen Schutzniveaus für die Grundrechte der Art. 7 und 8 der Charta erfolge.
Allgemein unterstreicht der Generalanwalt die grundlegende Bedeutung der Kontrolle durch eine unabhängige Kontrollstelle im Rahmen des von der PNR-Richtlinie geschaffenen Garantiesystems, die befugt ist, die Rechtmäßigkeit der Datenverarbeitung zu prüfen, Ermittlungen, Inspektionen und Audits durchzuführen sowie Beschwerden betroffener Personen zu bearbeiten. Insofern sei es von größter Wichtigkeit, dass die Mitgliedstaaten bei der Umsetzung dieser Richtlinie in nationales Recht ihrer nationalen Kontrollstelle diese Befugnisse in vollem Umfang zuerkennen und sie mit den zur Erfüllung ihrer Aufgabe erforderlichen materiellen und personellen Mitteln ausstatten.
Was insbesondere die Vorabüberprüfung der Fluggäste anbelangt, weist der Generalanwalt in Bezug auf den ersten Teil dieser Überprüfung, den Abgleich der PNR-Daten mit Datenbanken, die zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität maßgeblich sind, darauf hin, dass der Begriff der „maßgeblichen Datenbanken“ im Einklang mit den Anforderungen der Charta in Bezug auf Klarheit und Bestimmtheit und unter Berücksichtigung der Ziele der PNR-Richtlinie auszulegen sei. In einer solchen Auslegung erfasse dieser Begriff nur die von den zuständigen Behörden betriebenen nationalen Datenbanken sowie die Unions- und internationalen Datenbanken, die von diesen Behörden unmittelbar im Rahmen ihrer Aufgabe benutzt würden und die zudem in direktem und engem Zusammenhang mit den mit der PNR-Richtlinie verfolgten Zielen der Bekämpfung von Terrorismus und schwerer Kriminalität stehen müssten was bedeute, dass sie für diese Ziele entwickelt worden seien. Was den zweiten Teil dieser Vorabüberprüfung, den automatisierten Abgleich von PNR-Daten anhand im Voraus festgelegter Kriterien, anbelangt, ist der Generalanwalt der Ansicht, dass dieser Abgleich nicht mittels auf maschinellem Lernen basierenden Systemen künstlicher Intelligenz erfolgen darf, die keine Rückschlüsse darauf ermöglichten, aus welchen Gründen der Algorithmus eine positive Übereinstimmung feststellt.
Drittens und im Hinblick auf die Frage, ob das Unionsrecht einer nationalen Regelung entgegensteht, die für PNR-Daten eine allgemeine Speicherfrist von fünf Jahren vorsieht, ohne danach zu unterscheiden, ob sich im Rahmen der Vorabüberprüfung herausstellt, dass die betroffenen Fluggäste ein Risiko für die öffentliche Sicherheit darstellen können oder nicht, schlägt der Generalanwalt vor, die PNR-Richtlinie im Einklang mit der Charta dahin auszulegen, dass die Speicherung der von den Fluggesellschaften an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren nach Durchführung der Vorabüberprüfung nur dann zulässig sei, wenn auf der Grundlage objektiver Kriterien ein Zusammenhang zwischen diesen Daten und der Bekämpfung von Terrorismus und schwerer Kriminalität festgestellt werde. Eine allgemeine und unterschiedslose Speicherung von PNR-Daten in nicht unkenntlich gemachter Form könne nur zur Abwendung einer als real, aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die Sicherheit der Mitgliedstaaten gerechtfertigt werden, beispielsweise im Zusammenhang mit terroristischen Aktivitäten, und sofern die Dauer dieser Speicherung auf das unbedingt Notwendige beschränkt ist.
Das LG Mainz hat auf eine Klage des vzbv hin zu Recht entschieden, dass die LBS Nachbarn nicht zur Ermittlung von Daten von Immobilieninteressenten missbrauchen darf. Es liegt ein Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen vor, wenn deren Nachbarn personenbezogene Daten an die LBS weiterleiten, ohne die Zustimmung einzuholen. Die LBS versprach den neugierigen Nachbarn für die Übermittlung der Daten eine Prämie von 250 EURO.
Die Pressemitteilung des vzbv:
"Die LBS Immobilien GmbH darf Verbraucherinnen und Verbraucher nicht ohne deren vorheriges Einverständnis anrufen, um die Daten möglicher Immobilieninteressenten zu erfragen. Auch Anschreiben mit der Aufforderung, eine mit persönlichen Daten Dritter ausgefüllte Antwortkarte zu übersenden, dürfen nicht verschickt werden. Der Verbraucherzentrale Bundesverband (vzbv) hatte dieses Vorgehen der Wohnimmobilienvermittlung beanstandet und bekam nun vor Gericht Recht.
„Kennen Sie jemanden, der ein Haus, Grundstück oder eine Eigentumswohnung verkaufen oder kaufen möchte? Ihr Tipp ist uns 250 Euro wert!“
Mit dieser Aufforderung versuchte die LBS Immobilien GmbH, Daten möglicher Immobilieninteressenten zu gewinnen. Verbraucherinnen und Verbraucher wurden ermuntert, am Telefon oder auf vorgedruckten Antwortkarten die Namen, Adressen und Telefonnummern von Personen aus ihrem Umfeld anzugeben, die am Kauf oder Verkauf einer Immobilie interessiert sein könnten. Für einen entsprechenden Hinweis versprach das Unternehmen bei Vertragsabschluss eine Prämie in Höhe von 250 Euro.
Eingriff in das Recht auf informationelle Selbstbestimmung
Die Informationen würden natürlich diskret behandelt, versicherte das Unternehmen. Eine Einwilligung des angeblichen Interessenten wurde dagegen nicht eingeholt. „Dieses Vorgehen ist ein massiver Eingriff in das Recht auf informationelle Selbstbestimmung. Durch die heimliche Datenweitergabe könnte es zu Konflikten in der Nachbarschaft kommen“, sagt Rosemarie Rodden, Rechtsreferentin beim vzbv.
Der vzbv hatte vor dem Landgericht Mainz gegen das unzulässige Geschäftsgebaren des Unternehmens geklagt. Die LBS Immobilien GmbH erkannte den Unterlassungsanspruch nun an.
Der BGH hat mit Urteil vom 16. Juli 2008 – VIII ZR 348/06entschieden, dass die in den Teilnahmebedingungen des Rabattsystems Payback enthaltenen Regelungen zur Zusendung von Werbung per Email und SMS unwirksam sind. So sah das Anmeldeformular vor, dass sich der Nutzer damit einverstanden erklärt, Werbung per SMS und EMails zu erhalzen. Die Teilnehmer hatten lediglich die Möglichkeit durch ankreuzen eines Kästchen zu erklären, dass sie diese Einwilligung nicht erteilen ("Opt-Out-Lösung"). Der BGH fordert hingegen in Einklang mit § 7 Abs. 2 Nr. 3 UWG eine gesonderte Erklärung, mit welcher der Kunde ausdrücklich einwilligt, dass er Werbung per Email oder SMS erhalten will ("Opt-In-Lösung"). Unbedenklich ist es hingegen, wenn der Anbieter eines Rabattsystems bei der Anmeldung die Angabe des Geburtsdatums verlangt sowie in den AGB geregelt ist, dass die Rabattpartner dem Anbieter die Rabattdaten übermitteln. Dies folgt schon aus der Zweckbestimmung des Vertrages.
