Skip to content

BVerfG: Verfassungbeschwerde gegen eine strafrechtliche Verurteilung nach Verwertung von EncroChat-Daten nicht zur Entscheidung angenommen

BVerfG
Beschluss vom 01.11.2024
2 BvR 684/22


Das Bundesverfassungsgericht hat eine Verfassungbeschwerde gegen eine strafrechtliche Verurteilung nach Verwertung von EncroChat-Daten nicht zur Entscheidung angenommen.

Die Pressmeitteilung des Bundesverfassungsgerichts:
Unzulässige Verfassungsbeschwerde gegen strafrechtliche Verurteilung nach Verwertung von in Frankreich erhobenen und nach Deutschland übermittelten EncroChat-Daten

Mit heute veröffentlichtem Beschluss hat die 1. Kammer des Zweiten Senats des Bundesverfassungsgerichts eine Verfassungsbeschwerde gegen eine strafrechtliche Verurteilung nicht zur Entscheidung angenommen, mit der sich der Beschwerdeführer gegen die Verwertung der von französischen Behörden erhobenen und aufgrund einer Europäischen Ermittlungsanordnung (nachfolgend EEA) nach Deutschland übermittelten sogenannten EncroChat-Daten wendet.

Der überwiegend geständige Beschwerdeführer wurde durch Urteil des Landgerichts wegen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in zehn Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt. Er hatte zum Erwerb und zur Veräußerung der Betäubungsmittel ein verschlüsseltes Mobiltelefon des Anbieters EncroChat genutzt. Soweit der Beschwerdeführer sich nicht geständig eingelassen hatte, stützte das Landgericht die Beweisführung maßgeblich auf die Auswertung von EncroChat-Daten. Die Daten gehen zurück auf Ermittlungen französischer Behörden im Zeitraum vom 1. April 2020 bis 30. Juni 2020 und wurden von Europol über die Generalstaatsanwaltschaft an die in Deutschland regional zuständigen Staatsanwaltschaften übermittelt. Die Revision des Beschwerdeführers war erfolglos.

Die Verfassungsbeschwerde ist unzulässig. Sie genügt den Darlegungs- und Substantiierungsvoraussetzungen nicht, soweit eine entscheidungserhebliche Gehörsverletzung, die Verletzung der Garantie des gesetzlichen Richters oder von Grundrechten gerügt wird. Unabhängig davon weist die Kammer darauf hin, dass auf der Grundlage der vom Bundesgerichtshof festgestellten Verfahrenstatsachen eine Verletzung von Grundrechten des Beschwerdeführers nicht ersichtlich ist.

Sachverhalt:

Französische Behörden stellten in den Jahren 2017 und 2018 in mehreren Ermittlungsverfahren, bei denen es insbesondere um den verbotenen Handel mit Betäubungsmitteln ging, fest, dass die Tatverdächtigen über sogenannte Kryptohandys verfügten, die über eine sogenannte EncroChat-Architektur verschlüsselt waren. Eine Auswertung dieser Mobiltelefone war aufgrund der Verschlüsselung nicht möglich. Französische Gerichte genehmigten daraufhin verschiedene staatsanwaltlich beantragte Ermittlungsmaßnahmen, darunter den Zugriff auf den EncroChat-Server. Per „Ferninjektion“ wurde ein Abfangtool eingebracht. Dem Bundeskriminalamt wurden über Europol Erkenntnisse zugeleitet, aus denen sich ergab, dass in Deutschland eine Vielzahl schwerster Straftaten (insbesondere Einfuhr von und Handeltreiben mit Betäubungsmitteln in nicht geringen Mengen) unter Nutzung von Mobiltelefonen mit der Verschlüsselungssoftware EncroChat begangen wurde. Die zwischen dem 1. April 2020 und dem 30. Juni 2020 erfassten EncroChat-Daten wurden von Europol über eine Generalstaatsanwaltschaft an die regional zuständigen Staatsanwaltschaften übermittelt.

Der überwiegend geständige Beschwerdeführer wurde durch Urteil des Landgerichts wegen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in zehn Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt. Der Beschwerdeführer hatte zum Erwerb und zur Veräußerung der Betäubungsmittel ein verschlüsseltes Mobiltelefon des Anbieters EncroChat genutzt. Soweit sich der Beschwerdeführer nicht geständig eingelassen hatte, stützte das Landgericht die Beweisführung maßgeblich auf die Auswertung von EncroChat-Daten. Der Verteidiger des Beschwerdeführers hatte der Erhebung und Verwertung von Beweisen zum Inhalt des EncroChat-Verkehrs am ersten Hauptverhandlungstag widersprochen. Ohne den Widerspruch zu bescheiden, verkündete das Landgericht sein Urteil. In den schriftlichen Urteilsgründen ging es auf die Frage der Verwertbarkeit der EncroChat-Daten nicht gesondert ein. Der Bundesgerichtshof verwarf die Revision des Beschwerdeführers (Beschluss vom 2. März 2022 - 5 StR 457/21 -). Er hält auf diese Weise erlangte Daten von EncroChat-Nutzern für verwertbar.

Wesentliche Erwägungen der Kammer:

Die Verfassungsbeschwerde ist unzulässig. Sie genügt den Darlegungs- und Substantiierungsvoraussetzungen nicht.

1. Eine entscheidungserhebliche Gehörsverletzung wird nicht schlüssig aufgezeigt. Der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 des Grundgesetzes (GG) umfasst auch die Pflicht des Gerichts, den Vortrag des Betroffenen sowohl zur Kenntnis zu nehmen als auch in Erwägung zu ziehen. Das Fehlen einer ausdrücklichen Bescheidung konkreten Vorbringens lässt aber nur unter besonderen Umständen einen Rückschluss darauf zu, das Gericht habe das Vorbringen nicht berücksichtigt. Ausführungen zur Verwertbarkeit der EncroChat-Daten in den schriftlichen Urteilsgründen waren vom Landgericht im Streitfall bereits deshalb nicht zu erwarten, weil nach der Rechtsprechung des Bundesgerichtshofs einfachrechtlich grundsätzlich keine Pflicht zur Begründung der Verwertbarkeit von Beweisen in den schriftlichen Urteilsgründen besteht. Ein – unterstellter – Gehörsverstoß durch das Landgericht wäre im Übrigen in der Revisionsinstanz durch den Bundesgerichtshof geheilt worden. Der Bundesgerichtshof setzt sich im angegriffenen Beschluss umfassend mit dem Vorbringen und den Einwänden des Beschwerdeführers zur Frage der Verwertbarkeit der EncroChat-Daten auseinander und begründet ausführlich, warum ein Beweisverwertungsverbot unter keinem rechtlichen Gesichtspunkt besteht.

2. Auch eine entscheidungserhebliche Verletzung der Garantie des gesetzlichen Richters legt der Beschwerdeführer nicht schlüssig dar. Ein Rechtssuchender kann seinem gesetzlichen Richter dadurch entzogen werden, dass ein Gericht die Verpflichtung zur Vorlage an ein anderes Gericht außer Acht lässt. Dies kann auch bei einer unterbliebenen Einleitung eines Vorlageverfahrens nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) gelten.

a) Das Landgericht war als nicht letztinstanzliches nationales Gericht jedoch nur vorlageberechtigt (Art. 267 Abs. 2 AEUV), aber nicht vorlageverpflichtet (Art. 267 Abs. 3 AEUV). Auch der Bundesgerichtshof hat den Anspruch des Beschwerdeführers auf den gesetzlichen Richter durch Nichtvorlage von Rechtsfragen an den Gerichtshof der Europäischen Union (EuGH) auf der Grundlage des Vorbringens der Verfassungsbeschwerde nicht in entscheidungserheblicher Weise verletzt. Zutreffend geht der Beschwerdeführer allerdings davon aus, dass die Erwägung des Bundesgerichtshofs, klärungsbedürftige Fragen der Anwendung europäischen Rechts ergäben sich nicht, weil sich die Frage der Beweisverwertung nach nationalem Recht richte, (jedenfalls) in Bezug auf Art. 267 Abs. 3 AEUV zu kurz greift. Denn eine Frage des Unionsrechts kann auch als Vorfrage klärungsbedürftig – weil entscheidungserheblich – sein. Soweit der Bundesgerichtshof bei der Beurteilung der Verwertbarkeit der EncroChat-Daten entscheidungserheblich auch darauf abgestellt hat, dass die Erhebung und Übermittlung der Erkenntnisse nicht gegen den Beschwerdeführer schützende Vorgaben des Unionsrechts verstießen, wäre ungeachtet des Umstandes, dass es letztlich um die nach nationalem Recht zu beurteilende Verwertbarkeit der Erkenntnisse im deutschen Strafprozess ging, eine Vorlage in Betracht gekommen und gegebenenfalls auch geboten gewesen.

b) Der Beschwerdeführer ist aber seiner Obliegenheit nicht nachgekommen, die Verfassungsbeschwerde bei entscheidungserheblicher Veränderung der Sach- und Rechtslage aktuell zu halten und die Beschwerdebegründung gegebenenfalls nachträglich zu ergänzen. Der EuGH hat auf das Vorabentscheidungsersuchen des Landgerichts Berlin mit Urteil vom 30. April 2024 (M.N. , C-670/22, EU:C:2024:372) über Fragen der Auslegung der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen (ABL EU Nr. L 130/1; nachfolgend RL EEA) im Zusammenhang mit der auch diesem Verfassungsbeschwerdeverfahren zugrundeliegenden EEA der Generalstaatsanwaltschaft und den hierauf übermittelten EncroChat-Daten entschieden. Daher wäre vom Beschwerdeführer darzulegen gewesen, dass auch unter Berücksichtigung dieser Entscheidung eine Verletzung des Anspruchs auf den gesetzlichen Richter vorliegt, auf der die angegriffene Entscheidung des Bundesgerichtshofs beruht. Dieser Darlegungsobliegenheit ist der Beschwerdeführer nicht nachgekommen.

c) Eine entscheidungserhebliche Verletzung der Vorlagepflicht hinsichtlich der vom Beschwerdeführer in seiner Verfassungsbeschwerde adressierten Fragen ist aber auch in der Sache nicht (mehr) ersichtlich. Die angegriffene Entscheidung des Bundesgerichtshofs beruht jedenfalls nicht auf der unterbliebenen Vorlage. Zwar gelangt der EuGH anders als der Bundesgerichtshof zu dem Ergebnis, dass die Übermittlung von Beweismitteln, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nur möglich ist, wenn sie in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. Diese Abweichung stellt das vom Bundesgerichtshof im vorliegenden Fall gefundene Ergebnis aber nicht infrage, weil er dies in der Sache ebenfalls geprüft hat. Als innerstaatliche Vergleichsmaßnahme zieht er in verfassungsrechtlich nicht zu beanstandender Weise eine Online-Durchsuchung nach § 100b Strafprozessordnung (StPO) heran, deren Erkenntnisse der strafprozessual restriktivsten Verwendungsschranke des § 100e Abs. 6 StPO unterliegen. Auf dieser Grundlage gelangte der Bundesgerichtshof zum Ergebnis, dass die EncroChat-Daten in dem Strafverfahren gegen den Beschwerdeführer verwendet werden durften. Der Bundesgerichtshof wandte damit das auch vom EuGH geforderte Prüfungsprogramm an.

d) Soweit der Beschwerdeführer meint, der Bundesgerichtshof hätte dem EuGH auch die Frage vorlegen müssen, ob die von den französischen Gerichten und Behörden genehmigte und durchgeführte, in der RL EEA nicht ausdrücklich genannte Maßnahme der Abschöpfung sämtlichen über einen Server laufenden Kommunikationsverkehrs Gegenstand einer EEA sein dürfe, beruht die angefochtene Revisionsentscheidung ebenfalls nicht auf der unterbliebenen Vorlage. Der EuGH hat die bejahende Rechtsauffassung des Bundesgerichtshofs in seinem Urteil vom 30. April 2024 insoweit in der Sache bestätigt.

3. Die vom Beschwerdeführer erhobenen Rügen einer Verletzung in seinem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie in Art. 10 GG und seinen Grundrechten aus Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (GRCh) genügen den Darlegungsanforderungen ebenfalls nicht. Es fehlt schon an einer hinreichenden Darlegung der vom Bundesverfassungsgericht insoweit entwickelten Maßstäbe.

4. Unabhängig davon weist die Kammer darauf hin, dass auf der Grundlage der vom Bundesgerichtshof festgestellten, im vorliegenden Verfassungsbeschwerdeverfahren maßgeblichen Verfahrenstatsachen eine Verletzung von Grundrechten des Beschwerdeführers nicht ersichtlich ist; insbesondere ist keine Verletzung des allgemeinen Persönlichkeitsrechts des Beschwerdeführers erkennbar. Die Frage der Verwertung von im Wege der Rechtshilfe erlangten Beweismitteln ist nach nationalem Recht zu beurteilen. Das gilt auch für Erkenntnisse, die mittels einer EEA gewonnen wurden. Maßstab für die Prüfung sind damit in erster Linie die Grundrechte des Grundgesetzes.

Die Verwertung personenbezogener Informationen in einer gerichtlichen Entscheidung greift in das allgemeine Persönlichkeitsrecht ein. Dieses Recht gewährleistet die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden. Das allgemeine Persönlichkeitsrecht ist allerdings nicht vorbehaltlos gewährleistet. Beschränkungen des allgemeinen Persönlichkeitsrechts sind – soweit nicht Informationen aus dem Kernbereich privater Lebensgestaltung verwertet werden – zum Schutz überwiegender Allgemeininteressen zulässig, wenn sie durch oder auf Grundlage eines Gesetzes, das Voraussetzungen und Umfang der Beschränkung hinreichend klar umschreibt und dem Grundsatz der Verhältnismäßigkeit genügt, erfolgen. Verfassungsgemäße Rechtsgrundlage für die Beweisverwertung im Strafprozess ist § 261 StPO. Für die Verwertung von Beweisen, die aus dem Ausland in ein deutsches Strafverfahren eingeführt wurden, gelten insoweit grundsätzlich keine Besonderheiten. Wurden Informationen rechtswidrig erlangt, besteht von Verfassungs wegen kein Rechtssatz, wonach die Verwertung der gewonnenen Informationen stets unzulässig wäre. Die strafgerichtliche Praxis geht in gefestigter Rechtsprechung davon aus, dass die Frage nach dem Vorliegen eines Verwertungsverbots jeweils nach den Umständen des Einzelfalls zu entscheiden ist. Die Annahme eines Beweisverwertungsverbots stellt dabei eine Ausnahme dar. Hiergegen ist aus verfassungsrechtlicher Sicht nichts zu erinnern.

Die Würdigung des Bundesgerichtshofs im angegriffenen Beschluss, wonach die EncroChat-Daten keinem aus einem Verfahrensfehler abgeleiteten Beweisverwertungsverbot unterliegen, ist nach diesen Maßstäben verfassungsrechtlich nicht zu beanstanden. Informationen aus dem Kernbereich privater Lebensgestaltung wurden im Urteil des Landgerichts nicht verwertet. Dass der Bundesgerichtshof die Verwertung der hier erlangten Informationen davon abhängig macht, ob die Voraussetzungen der – nicht unmittelbar anwendbaren – § 100e Abs. 6, § 100b Abs. 2 Nr. 5 Buchstabe b StPO vorliegen, und dabei auf eine Betrachtung zum Verwertungszeitpunkt abstellt, begegnet keinen verfassungsrechtlichen Bedenken. Auch gegen die Annahme des Bundesgerichtshofs, die durch französische Behörden durchgeführte Beweiserhebung habe nicht gegen wesentliche rechtsstaatliche Grundsätze im Sinne des nationalen und europäischen ordre public verstoßen, ist auf der Grundlage des von ihm festgestellten Sachverhalts von Verfassungs wegen nichts zu erinnern.


Den Volltext der Entscheidung finden Sie hier:

LG Traunstein: Nutzer eines weltweit agierenden sozialen Netzwerks hat nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA

LG Traunstein
Urteil vom 08.07.2024
9 O 173/24


Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.

Aus den Entscheidungsgründen:
Die Klage ist nur teilweise zulässig.

I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.

II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.

III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.

IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.

V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.

VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.

VII. Im Übrigen ist die Klage zulässig.
B.

Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.

Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.

II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.

1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.

2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.

III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.

1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.

2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.

3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.

4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.

5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.

6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“

So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.

V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.

1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.

2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.

3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.

VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.

VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Anforderung von EncroChat-Daten aus Frankreich durch deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform

EuGH
Urteil vom
C-670/22
Staatsanwaltschaft Berlin - EncroChat


Der EuGH hat entschieden, dass die Anforderung von EncroChat-Daten aus Frankreich durch die deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
EncroChat: Der Gerichtshof präzisiert die Voraussetzungen für die Übermittlung und die Verwendung von Beweismitteln im grenzüberschreitenden Strafverfahren

Im Zusammenhang mit in Deutschland geführten Strafverfahren wegen illegalen Handeltreibens mit Betäubungsmitteln mit Hilfe des EncroChat-Diensts für verschlüsselte Telekommunikation präzisiert der Gerichtshof bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln. So kann eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die von einem anderen Mitgliedstaat bereits erhoben wurden, unter bestimmten Voraussetzungen von einem Staatsanwalt erlassen werden. Für ihren Erlass ist es nicht erforderlich, dass die Voraussetzungen erfüllt sind, die für die Erhebung der Beweismittel im Anordnungsstaat gelten. Eine spätere gerichtliche Überprüfung der Wahrung der Grundrechte der betroffenen Personen muss allerdings möglich sein. Außerdem ist ein Mitgliedstaat von einer Überwachungsmaßnahme, die ein anderer Mitgliedstaat auf seinem Hoheitsgebiet vornimmt, rechtzeitig zu unterrichten. Das Strafgericht muss unter bestimmten Voraussetzungen Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen.

Der französischen Polizei gelang es mit Hilfe niederländischer Experten und nach Genehmigung durch ein französisches Gericht, den EncroChat-Dienst für verschlüsselte Telekommunikation zu infiltrieren. Dieser Dienst wurde auf Kryptohandys weltweit für den illegalen Handel mit Betäubungsmitteln genutzt. Das deutsche Bundeskriminalamt konnte die so gesammelten Daten der EncroChat-Nutzer in Deutschland auf einem EuropolServer abrufen.

Auf von der deutschen Staatsanwaltschaft erlassene Europäische Ermittlungsanordnungen hin genehmigte das französische Gericht die Übermittlung dieser Daten und ihre Verwendung in Strafverfahren in Deutschland.

Das mit einem solchen Verfahren befasste Landgericht Berlin hat Zweifel an der Rechtmäßigkeit dieser Europäischen Ermittlungsanordnungen. Es hat deshalb dem Gerichtshof mehrere Fragen zur Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen1 zur Vorabentscheidung vorgelegt.

Der Gerichtshof antwortet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats (hier: Frankreich) befinden, nicht notwendigerweise von einem Richter erlassen werden muss. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Dagegen ist nicht erforderlich, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten. Der Umstand, dass im vorliegenden Fall die französischen Behörden diese Beweise in Deutschland und im Interesse der deutschen Behörden erhoben haben, ist insoweit grundsätzlich unerheblich. Jedoch muss ein Gericht, das mit einem Rechtsbehelf gegen diese Anordnung befasst ist, die Wahrung der Grundrechte der betroffenen Personen überprüfen können.

Der Gerichtshof stellt außerdem klar, dass der Mitgliedstaat, in dem sich die Zielperson der Überwachung befindet (hier: Deutschland), von einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes unterrichtet werden muss. Die zuständige Behörde dieses Mitgliedstaats hat dann die Möglichkeit, mitzuteilen, dass die Überwachung des Telekommunikationsverkehrs nicht durchgeführt werden kann oder zu beenden ist, wenn diese Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Diese Verpflichtungen und diese Möglichkeiten sollen nicht nur die Achtung der Souveränität des unterrichteten Mitgliedstaats gewährleisten, sondern dienen auch dem Schutz der betroffenen Personen.

Das nationale Strafgericht muss in einem Strafverfahren gegen eine Person, die der Begehung von Straftaten verdächtig ist, Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen, und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.


Tenor der Entscheidung:
1. Art. 1 Abs. 1 und Art. 2 Buchst. c der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen sind dahin auszulegen, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nicht notwendigerweise von einem Richter erlassen werden muss, wenn nach dem Recht des Anordnungsstaats in einem rein innerstaatlichen Verfahren dieses Staates die originäre Erhebung dieser Beweismittel von einem Richter hätte angeordnet werden müssen, ein Staatsanwalt aber dafür zuständig ist, die Übermittlung dieser Beweise anzuordnen.

2. Art. 6 Abs. 1 der Richtlinie 2014/41 ist dahin auszulegen, dass er es nicht verbietet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, von einem Staatsanwalt erlassen wird, wenn diese Beweismittel aufgrund der durch diese Behörden im Hoheitsgebiet des Anordnungsstaats durchgeführte Überwachung des Telekommunikationsverkehrs sämtlicher Nutzer von Mobiltelefonen, die mittels spezieller Software und modifizierter Geräte eine Ende zu Ende verschlüsselte Kommunikation ermöglichen, erlangt wurden, sofern eine solche Anordnung alle Voraussetzungen erfüllt, die gegebenenfalls nach dem Recht des Anordnungsstaats für die Übermittlung solcher Beweismittel bei einem rein innerstaatlichen Sachverhalt vorgesehen sind.

3. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass eine mit der Infiltration von Endgeräten verbundene Maßnahme zur Abschöpfung von Verkehrs‑, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdiensts eine „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels darstellt, von der die Behörde zu unterrichten ist, die von dem Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, zu diesem Zweck bestimmt wurde. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des unterrichteten Mitgliedstaats zu ermitteln, so kann diese Unterrichtung an jede Behörde des unterrichteten Mitgliedstaats gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

4. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass er auch bezweckt, die Rechte der von einer Maßnahme der „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels betroffenen Nutzer zu schützen.

5. Art. 14 Abs. 7 der Richtlinie 2014/41 ist dahin auszulegen, dass er dem nationalen Strafgericht gebietet, im Rahmen eines Strafverfahrens gegen eine Person, die im Verdacht steht, Straftaten begangen zu haben, Informationen und Beweismittel unberücksichtigt zu lassen, wenn diese Person nicht in der Lage ist, sachgerecht zu diesen Informationen und Beweismitteln Stellung zu nehmen, und diese geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwältin: Anforderung von EncroChat-Daten aus Frankreich durch deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform

EuGH-Generalanwältin
Schlussanträge vom 26.10.2023
C-670/22
Staatsanwaltschaft Berlin - EncroChat


Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die Anforderung von EncroChat-Daten aus Frankreich durch eine deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
Generalanwältin Ćapeta: Eine Staatsanwaltschaft kann eine Europäische Ermittlungsanordnung (EEA) zur Übermittlung von Beweismitteln, die bereits in einem anderen Mitgliedstaat erhoben wurden, erlassen

Dies ist der Fall, wenn nach dem für diese Staatsanwaltschaft geltenden nationalen Recht in einem
vergleichbaren innerstaatlichen Fall eine Übermittlung angeordnet werden kann. In einem solchen Fall darf die Behörde, die eine EEA erlässt, die Rechtmäßigkeit der Erhebung dieser Beweismittel im Vollstreckungsmitgliedstaat nicht prüfen.

EncroChat war ein verschlüsseltes Telekommunikationsnetz, das seinen Nutzern nahezu vollständige Anonymität bot. Das Gerät verfügte über keine Kamera, kein Mikrofon, kein GPS und keinen USB-Anschluss; Nachrichten konnten automatisch gelöscht werden und Nutzer konnten nach der Verwendung eines speziellen PIN-Codes oder nach der wiederholten Eingabe eines falschen Passworts sofort alle Daten auf dem Gerät löschen. Durch eine gemeinsame französisch-niederländische Ermittlungsoperation wurde eine Trojaner-Software entwickelt, die über ein simuliertes Update auf den Endgeräten installiert wurde. EncroChat-Nutzer in 122 Ländern waren von dieser Überwachung betroffen, darunter ca. 4 600 Nutzer in Deutschland. Eine deutsche Staatsanwaltschaft erließ mehrere EEAs mit dem Ersuchen, abgefangene Daten für Strafverfahren im Zusammenhang mit dem Verdacht des unerlaubten Handels mit Betäubungsmitteln durch nicht identifizierte Personen, die verdächtigt wurden, einer organisierten kriminellen Vereinigung anzugehören, verwenden zu dürfen. Ein französisches Strafgericht genehmigte die Europäischen Ermittlungsanordnungen und übermittelte die angeforderten Daten. Daraufhin führte
die deutsche Staatsanwaltschaft Ermittlungen gegen individualisierte EncroChat-Nutzer durch. Der Angeklagte in der vorliegenden Rechtssache wurde auf der Grundlage der aus Frankreich erhaltenen Beweismittel angeklagt.

Beanstandungen strafrechtlicher Verurteilungen, die als Folge abgefangener EncroChat-Daten ergangen sind, schlagen hohe Wellen quer durch europäische Höchstgerichte, wobei der Gerichtshof keine Ausnahme darstellt.

Das deutsche Landgericht, bei dem das hier in Rede stehende Strafverfahren anhängig ist, fragt den Gerichtshof, ob die fraglichen Europäischen Ermittlungsanordnungen unter Verstoß gegen die EEA-Richtlinie erlassen worden seien.

In ihren heutigen Schlussanträgen weist Generalanwältin Tamara Ćapeta darauf hin, dass eine Europäische Ermittlungsanordnung nur erlassen werden könne, wenn die darin enthaltene Ermittlungsmaßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. In der vorliegenden Rechtssache handele es sich bei einem vergleichbaren innerstaatlichen Fall um einen solchen, in dem Beweismittel innerhalb Deutschlands von einem Strafverfahren in ein anderes übermittelt würden. Da die EEA-Richtlinie es einer in einem bestimmten Fall zuständigen Staatsanwaltschaft erlaube, eine Europäische Ermittlungsanordnung zu erlassen, und das deutsche Recht offenbar nicht verlange, dass ein Gericht eine vergleichbare nationale Übermittlung genehmige, ist die Generalanwältin der Auffassung, dass die deutsche Staatsanwaltschaft befugt gewesen sei, die in Rede stehenden Europäische Ermittlungsanordnung zu erlassen. Mit anderen Worten verlange das Unionsrecht nicht, dass solche Anordnungen von einem Gericht erlassen würden.

Die Generalanwältin stellt ferner fest, dass die Überwachung des Telekommunikationsverkehrs von französischen Gerichten genehmigt worden sei und die deutschen Behörden diesem Verfahrensschritt deshalb denselben Stellenwert beimessen sollten, den sie ihm innerstaatlich beimessen würden. Dies wäre auch dann der Fall, wenn ein deutsches Gericht in einem konkreten Verfahren anders entscheiden würde.

Schließlich richte sich die Zulässigkeit von möglicherweise unter Verstoß gegen Unionsrecht erlangten Beweismitteln nicht nach dem Unionsrecht, sondern nach nationalem Recht, sofern die durch die Unionsrechtsordnung garantierten Grundrechte gewahrt würden.


Die vollständigen Schlussanträge finden Sie hier:

OVG Münster: Gegenvorstellungsverfahren nach § 3b NetzDG gilt nicht für Anbieter sozialer Netzwerke die in anderen EU-Staaten ansässig sind - Meta

OVG Münster
Beschluss vom 21.03.2023
13 B 381/22


Das OVG Münster hat entschieden, dass das Gegenvorstellungsverfahren nach § 3b NetzDG nicht für Anbieter sozialer Netzwerke gilt, die nicht in Deutschland, sondern in einem anderen EU-Staat ansässig sind (siehe zur Vorinstanz: VG Köln: Neuregelungen im Netzwerkdurchsetzungsgesetz (NetzDG) teilweise unionsrechtswidrig - Eilanträge von Google und Meta / Facebook).

Die Pressemitteilung des Gerichts:
Gegenvorstellungsverfahren nach dem Netzwerkdurchsetzungsgesetz teilweise nicht anwendbar

Die in § 3b des Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz - NetzDG) vorgesehene Pflicht, ein Gegenvorstellungsverfahren vorzuhalten, ist auf in anderen EU-Mitgliedstaaten ansässige Anbieter sozialer Netzwerke teilweise nicht anwendbar. Das hat das Oberverwaltungsgericht heute vorläufig festgestellt und damit einen Eilbeschluss des Verwaltungsgerichts Köln teilweise geändert.

Die in Irland ansässige Antragstellerin ist ein Unternehmen des Meta-Konzerns und bietet die sozialen Netzwerke Facebook und Instagram für Nutzer in Deutschland an. Sie hatte im Wege des Eilrechtsschutzes gegenüber der Bundesrepublik Deutschland die vorläufige Feststellung begehrt, dass sie den Pflichten nach § 3a und § 3b NetzDG nicht unterliegt. § 3a NetzDG verpflichtet Anbieter sozialer Netzwerke, ihnen gemeldete rechtswidrige Inhalte auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu prüfen und die fraglichen Inhalte zusammen mit bestimmten Nutzerangaben gegebenenfalls an das Bundeskriminalamt zu melden. § 3b NetzDG verlangt von Anbietern sozialer Netzwerke, ein wirksames und transparentes Gegenvorstellungsverfahren vorzuhalten. Das soll Nutzern ermöglichen, eine Entscheidung des Anbieters des sozialen Netzwerks darüber, ob er einen bestimmten Inhalt entfernt bzw. den Zugang zu ihm sperrt, durch den Anbieter überprüfen zu lassen. Das Verwaltungsgericht Köln hat dem Eilantrag am 1. März 2022 hinsichtlich der Verpflichtungen nach § 3a NetzDG stattgegeben; insoweit ist der Beschluss nicht angegriffen worden. Im Übrigen, also in Bezug auf das Gegenvorstellungsverfahren nach § 3b NetzDG, hat das Verwaltungsgericht den Eilantrag abgelehnt. Hiergegen wandte sich die Antragstellerin mit ihrer Beschwerde.

Die Beschwerde war teilweise erfolgreich. Die Antragstellerin ist vorläufig nicht verpflichtet, Gegenvorstellungsverfahren zu Entscheidungen über die Löschung oder Sperrung strafrechtlich relevanter Inhalte bei sogenannten NetzDG-Beschwerden vorzuhalten (§ 3b Abs. 1 und 2 NetzDG). Der 13. Senat hat dazu ausgeführt, dass die Anwendung dieser Vorschrift auf Anbieter sozialer Netzwerke, die wie die Antragstellerin in einem anderen Mitgliedstaat der Europäischen Union ansässig sind, gegen das in der Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) verankerte Herkunftslandprinzip verstoßen dürfte. Das unionsrechtliche Herkunftslandprinzip dient dem freien Dienstleistungsverkehr und bestimmt, dass Dienste der Informationsgesellschaft, zu denen auch soziale Netzwerke gehören, grundsätzlich nur dem Recht des Mitgliedstaats unterliegen, in dem der Anbieter niedergelassen ist (hier also Irland). Soweit die E-Commerce-Richtlinie den Mitgliedstaaten die Befugnis einräumt, Verfahren für die Löschung einer Information oder die Sperrung des Zugangs zu ihr festzulegen, dürfte sie nur Regelungen für in dem jeweiligen Mitgliedstaat ansässige Anbieter erlauben. Eine Abweichung vom Herkunftslandprinzip wäre daher nur unter den dafür ausdrücklich vorgesehenen Voraussetzungen zulässig. Diese dürften hier aber schon deshalb nicht erfüllt sein, weil die Bundesrepublik Deutschland die maßgeblichen verfahrensrechtlichen Anforderungen nicht eingehalten hat. Vor der Einführung von § 3b NetzDG hat sie die EU-Kommission sowie die betroffenen Sitzmitgliedstaaten der Anbieter sozialer Netzwerke nicht informiert bzw. letztere nicht erfolglos dazu aufgefordert, selbst Maßnahmen zu ergreifen. Davon durfte sie auch nicht im Rahmen eines sogenannten Dringlichkeitsverfahrens abweichen.

Hinsichtlich der Pflicht zur Vorhaltung eines Gegenvorstellungsverfahrens zu Entscheidungen über die Löschung oder Sperrung sonstiger Inhalte (§ 3b Abs. 3 NetzDG) - dies betrifft etwa gegen die Gemeinschaftsstandards bzw. -richtlinien von Facebook oder Instagram verstoßende Inhalte - hatte die Beschwerde hingegen keinen Erfolg. Das Verwaltungsgericht hat den auf vorbeugenden Rechtsschutz gerichteten Eilantrag insoweit zu Recht als unzulässig abgelehnt. Anders als die Pflicht nach § 3b Abs. 1 und 2 NetzDG ist die Pflicht zu einem Gegenvorstellungsverfahren nach § 3b Abs. 3 NetzDG nicht bußgeldbewehrt. Der Antragstellerin ist es daher insoweit zuzumuten, sich gegen etwaige Maßnahmen der zuständigen Aufsichtsbehörde (Bundesamt für Justiz) im Wege des nachträglichen Rechtsschutzes zur Wehr zu setzen.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 381/22 (I. Instanz: VG Köln 6 L 1354/21)

Weitere Hinweise:

§ 3b NetzDG (Gegenvorstellungsverfahren)

(1) 1Der Anbieter eines sozialen Netzwerks muss ein wirksames und transparentes Verfahren nach Absatz 2 vorhalten, mit dem sowohl der Beschwerdeführer als auch der Nutzer, für den der beanstandete Inhalt gespeichert wurde, eine Überprüfung einer zu einer Beschwerde über rechtswidrige Inhalte getroffenen Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt (ursprüngliche Entscheidung) herbeiführen kann; ausgenommen sind die Fälle des § 3 Absatz 2 Satz 1 Nummer 3 Buchstabe b. 2Der Überprüfung bedarf es nur, wenn der Beschwerdeführer oder der Nutzer, für den der beanstandete Inhalt gespeichert wurde, unter Angabe von Gründen einen Antrag auf Überprüfung innerhalb von zwei Wochen nach der Information über die ursprüngliche Entscheidung stellt (Gegenvorstellung). 3Der Anbieter des sozialen Netzwerks muss zu diesem Zweck ein leicht erkennbares Verfahren zur Verfügung stellen, das eine einfache elektronische Kontaktaufnahme und eine unmittelbare Kommunikation mit ihm ermöglicht. 4Die Möglichkeit der Kontaktaufnahme muss auch im Rahmen der Unterrichtung nach § 3 Absatz 2 Satz 1 Nummer 5 Buchstabe b eröffnet werden.

(2) Das Verfahren nach Absatz 1 Satz 1 muss gewährleisten, dass der Anbieter des sozialen Netzwerks

1. für den Fall, dass er der Gegenvorstellung abhelfen möchte, im Fall einer Gegenvorstellung des Beschwerdeführers den Nutzer und im Fall einer Gegenvorstellung des Nutzers den Beschwerdeführer über den Inhalt der Gegenvorstellung unverzüglich informiert sowie im ersten Fall dem Nutzer und im zweiten Fall dem Beschwerdeführer Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist gibt,

2. darauf hinweist, dass der Inhalt einer Stellungnahme des Nutzers an den Beschwerdeführer sowie der Inhalt einer Stellungnahme des Beschwerdeführers an den Nutzer weitergegeben werden kann,

3. seine ursprüngliche Entscheidung unverzüglich einer Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person unterzieht,

4. seine Überprüfungsentscheidung dem Beschwerdeführer und dem Nutzer unverzüglich übermittelt und einzelfallbezogen begründet, in den Fällen der Nichtabhilfe dem Beschwerdeführer und dem Nutzer jedoch nur insoweit, wie diese am Gegenvorstellungsverfahren bereits beteiligt waren, und

5. sicherstellt, dass eine Offenlegung der Identität des Beschwerdeführers und des Nutzers in dem Verfahren nicht erfolgt.

(3) 1Sofern einer Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt keine Beschwerde über rechtswidrige Inhalte zugrunde liegt, gelten die Absätze 1 und 2 entsprechend. 2Liegt der Entscheidung eine Beanstandung des Inhalts durch Dritte zugrunde, tritt an die Stelle des Beschwerdeführers diejenige Person, welche die Beanstandung dem Anbieter des sozialen Netzwerks übermittelt hat. 3Abweichend von Absatz 2 Nummer 3 ist es nicht erforderlich, dass die Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person erfolgt. 4Abweichend von Absatz 1 Satz 2 bedarf es der Überprüfung nach Satz 1 dann nicht, wenn es sich bei dem Inhalt um erkennbar unerwünschte oder gegen die Allgemeinen Geschäftsbedingungen des Anbieters verstoßende kommerzielle Kommunikation handelt, die vom Nutzer in einer Vielzahl von Fällen mit anderen Nutzern geteilt oder der Öffentlichkeit zugänglich gemacht wurde und die Gegenvorstellung offensichtlich keine Aussicht auf Erfolg hat.


EuGH: Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO umfasst regelmäßig auch Identität der Empfänger personenbezogener Daten

EuGH
Urteil vom 12.01.2023
C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)


Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.

Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Die Pressemitteilung des EuGH:
Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden

Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist

Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.

Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.


Den Volltext der Entscheidung finden Sie hier:

BVerfG: Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig

BVerfG
Beschluss vom 28.09.2022
1 BvR 2354/13


Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.

Die Pressemitteilung des Bundesverfassungsgerichts:
Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten

Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.

Sachverhalt:

Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.

Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.

B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.

I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.

II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.

III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.

1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.

Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.

b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.

2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.

a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.

b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.

aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.

(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.

(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.

bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.

Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.

Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.

3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "DSGVO-Konform: So vermeiden Sie die größten Datenfallen"

In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.

EuGH-Generalanwalt: Bundeskartellamt darf DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden - hier: Facebook / Meta

EuGH-Generalanwalt
Schlussanträge vom 20.09.2022
Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH ./. Bundeskartellamt
C-252/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das Bundeskartellamt DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden darf (hier: Facebook / Meta). Dabei müssen allerdings Entscheidungen der datenschutzrechtlichen Aufsichtsbehörden beachtet werden.

Die Pressemitteilung des EuGH:

Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann

Sie muss jedoch jede Entscheidung oder Untersuchung der nach dieser Verordnung zuständigen Aufsichtsbehörde berücksichtigen.

Meta Platforms ist der Eigentümer des sozialen Online-Netzwerks „Facebook“. Die Nutzer dieses sozialen Netzwerks müssen die Nutzungsbedingungen von Facebook akzeptieren, die auf die Praxis der Nutzung dieser Daten und von Cookies durch Meta Platforms verweisen. Mit den Cookies erfasst Meta Platforms Daten, die aus anderen Diensten des Konzerns Meta Platforms wie Instagram oder WhatsApp stammen sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies. Diese Daten verknüpft Meta Platforms mit dem Facebook-Konto des betreffenden Nutzers und verwertet sie u. a. zu Werbezwecken.

Das deutsche Bundeskartellamt untersagte Meta Platforms die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen und erlegte dem Unternehmen Maßnahmen zur Abstellung dieses Verhaltens auf. Das Bundeskartellamt war der Auffassung, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland darstelle. Meta Platforms legte gegen den Beschluss des Bundeskartellamts Beschwerde beim Oberlandesgericht Düsseldorf ein. Dieses fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden befugt sind, die Vereinbarkeit einer Datenverarbeitung mit der DSGVO zu prüfen. Außerdem stellt das Oberlandesgericht dem Gerichtshof Fragen zur Auslegung und Anwendung bestimmter Vorschriften der DSGVO.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Athanasios Rantos erstens die Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen, sie jedoch in Ausübung ihrer eigenen Zuständigkeiten berücksichtigen kann, ob eine Geschäftspraxis mit der DSGVO vereinbar ist. Insoweit unterstreicht der Generalanwalt, dass die Vereinbarkeit oder Unvereinbarkeit einer Praxis mit der DSGVO unter Berücksichtigung aller Umstände des Einzelfalls ein wichtiges Indiz für die Feststellung sein kann, ob diese Praxis einen Verstoß gegen die Wettbewerbsvorschriften darstellt.

Der Generalanwalt stellt jedoch klar, dass eine Wettbewerbsbehörde die Einhaltung der DSGVO nur inzident prüfen kann und dies die Anwendung dieser Verordnung durch die nach der Verordnung zuständige Aufsichtsbehörde nicht präjudiziert. Folglich muss die Wettbewerbsbehörde alle Entscheidungen oder Untersuchungen der zuständigen Aufsichtsbehörde berücksichtigen, diese über jedes sachdienliche Detail informieren und sich gegebenenfalls mit ihr abstimmen.

Zweitens ist der Generalanwalt der Ansicht, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung, die der für die Verarbeitung Verantwortliche nachzuweisen hat.

Drittens ist der Generalanwalt der Ansicht, dass die streitige Praxis von Meta Platforms oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter in der DSGVO vorgesehene Ausnahmen fallen können, sofern die betreffenden Tätigkeiten dieser Praxis für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich sind. Auch wenn die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der Dienste des Konzerns Meta Platforms, die Netzwerksicherheit und die Produktverbesserung im Interesse des Nutzers oder des für die Datenverarbeitung Verantwortlichen erfolgen können, erscheinen diese Tätigkeiten allerdings nach Auffassung des Generalanwalts nicht für die Erbringung der genannten Dienstleistungen erforderlich.

Viertens stellt der Generalanwalt fest, dass das Verbot der Verarbeitung sensibler personenbezogener Daten, die beispielsweise die rassische oder ethnische Herkunft, die Gesundheit oder die sexuelle Orientierung der betroffenen Person betreffen, auch die Verarbeitung der streitigen Daten umfassen kann. Dies ist dann der Fall, wenn die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die in der DSGVO genannten sensiblen Merkmale ermöglichen.

In diesem Zusammenhang weist der Generalanwalt darauf hin, dass der Nutzer sich voll bewusst sein muss, dass er durch eine ausdrückliche Handlung personenbezogene Daten öffentlich macht, damit die Ausnahme von diesem Verbot, die beinhaltet, dass die betroffene Person die Daten offensichtlich öffentlich gemacht hat, greifen kann. Nach Ansicht des Generalanwalts kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers offensichtlich öffentlich macht.

Die vollständigen Schlussanträge finden Sie hier:


VG Köln: Neuregelungen im Netzwerkdurchsetzungsgesetz (NetzDG) teilweise unionsrechtswidrig - Eilanträge von Google und Meta / Facebook

VG Köln
Beschlüsse vom 01.03.2022
6 L 1277/21 (Google Ireland Ltd.)
6 L 1354/21 (Meta Platforms Ireland Limited)


Das VG Köln hat entschieden, dass die Neuregelungen im Netzwerkdurchsetzungsgesetzes (NetzDG) teilweise unionsrechtswidrig sind. Das Gericht hat den Eilanträgen von Google und Meta / Facebook teilweise stattgegeben.

Die Pressemitteilung des Gerichts:
Gericht entscheidet über Eilanträge von Google und Meta: Netzwerkdurchsetzungsgesetz verstößt teilweise gegen Unionsrecht

Zentrale Vorschriften des novellierten Netzwerkdurchsetzungsgesetzes (NetzDG) sind wegen Verstoßes gegen unionsrechtliche Vorschriften unanwendbar. Dies hat das Verwaltungsgericht Köln heute entschieden und damit Eilanträgen der Google Ireland Ltd. und der Meta Platforms Ireland Limited gegen die Bundesrepublik Deutschland teilweise stattgegeben.

Das novellierte NetzDG verpflichtet mit dem neu eingefügten § 3a Anbieter sozialer Netzwerke dazu, Inhalte, die ihnen im Rahmen einer Beschwerde über rechtswidrige Inhalte (sog. NetzDG-Beschwerde) gemeldet worden sind und welche sie entfernt oder zu denen sie den Zugang gesperrt haben, auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu überprüfen. Liegen solche Anhaltspunkte vor, müssen die Inhalte zusammen mit bestimmten Nutzerangaben an das Bundeskriminalamt übermittelt werden. § 3b NetzDG verpflichtet die Anbieter sozialer Netzwerke dazu, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen. In § 4a NetzDG wird das Bundesamt für Justiz als für die Überwachung der Einhaltung der Vorschriften des NetzDG zuständige Behörde bestimmt.

Die in Irland niedergelassenen Anbieter der sozialen Netzwerke Youtube (Google), Facebook und Instagram (beide Meta) haben mit ihren Eilanträgen jeweils die Feststellung beantragt, dass sie nicht den neu geschaffenen Pflichten des NetzDG unterliegen. Zur Begründung machten sie Verstöße gegen Unionsrecht sowie nationales Verfassungsrecht geltend.

Dem ist das Gericht teilweise gefolgt. Beide Eilverfahren seien nur zum Teil zulässig. Soweit sie sich auch auf die Pflicht bezögen, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen, denen keine NetzDG-Beschwerde zugrunde liege, fehle es am Rechtsschutzbedürfnis. Insoweit müssten sich die Antragstellerinnen auf den Rechtsschutz gegen etwaige aufsichtsbehördliche Verfügungen verweisen lassen.

In der Sache hat das Gericht entschieden, der Gesetzgeber habe bei der Einführung des § 3a NetzDG gegen das Herkunftslandprinzip der Richtlinie über den elektronischen Geschäftsverkehr (ECRL) verstoßen. Nach diesem Prinzip richten sich die rechtlichen Anforderungen an einen in einem Mitgliedsstaat der EU niedergelassenen Anbieter elektronischer Dienste nach dem Recht seines Sitzstaates. Die Antragsgegnerin könne sich nicht auf Ausnahmen von diesem Prinzip berufen, da der Gesetzgeber weder das für Ausnahmen vorgesehene Konsultations- und Informationsverfahren durchgeführt habe noch die Voraussetzungen eines Dringlichkeitsverfahrens vorgelegen hätten.

§ 4a NetzDG, der nur im Verfahren von Google Streitgegenstand war, verstoße gegen die Richtlinie über audiovisuelle Mediendienste, die auf Videosharingplattform-Dienste Anwendung finde. Diese statuiere den Grundsatz der rechtlichen und funktionellen Unabhängigkeit der zur Überwachung der Pflichtenerfüllung der Diensteanbieter zuständigen Medienbehörden. Da das als Bundesoberbehörde eingerichtete Bundesamt für Justiz mit Sitz in Bonn dem Bundesministerium für Justiz und Verbraucherschutz unterstehe und von diesem Weisungen entgegennehme, könne von der von der Richtlinie geforderten Staatsferne beim Bundesamt für Justiz keine Rede sein.

Im Verfahren der Meta Platforms Ireland Limited hat das Gericht den Antrag in Bezug auf das mit § 3b Abs. 1 NetzDG eingeführte Gegenvorstellungsverfahren nach Entscheidungen über NetzDG-Beschwerden abgelehnt. Zur Begründung führte das Gericht aus, die Vorschrift sei von der Befugnis der EU-Mitgliedstaaten zur Festlegung von Verfahren für die Entfernung einer Information oder die Sperrung des Zugangs zu ihr (Art. 14 Abs. 3 ECRL) gedeckt. Auch ein Verstoß gegen die in der Charta der Grundrechte der Europäischen Union gewährleistete unternehmerische Freiheit oder nationales Verfassungsrecht sei nicht gegeben.

Die gerichtlichen Beschlüsse wirken nur zwischen den jeweiligen Verfahrensbeteiligten.

Gegen die Beschlüsse können die Beteiligten jeweils Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde.

Az.:
6 L 1277/21 (Google Ireland Ltd.)
6 L 1354/21 (Meta Platforms Ireland Limited)




EuGH-Generalanwalt: Allgemeine Übermittlung und automatisierte Verarbeitung von Fluggastdatensätzen zulässig

EuGH-Generalanwalt
Schlussanträge von 27.01.2022
Rechtssache C-817/19
Ligue des droits humains

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die allgemeine Übermittlung und automatisierte Verarbeitung von Fluggastdatensätzen mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vereinbar ist.

Die Pressemitteilung des EuGH:

Generalanwalt Pitruzzella: Übermittlung sowie allgemeine und unterschiedslose automatisierte Verarbeitung von Fluggastdatensätzen sind mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vereinbar Eine allgemeine und unterschiedslose Speicherung von Fluggastdatensätzen in nicht unkenntlich gemachter Form könne hingegen nur zur Abwendung einer realen, aktuellen oder vorhersehbaren ernsten Bedrohung für die Sicherheit der Mitgliedstaaten gerechtfertigt werden und sofern die Dauer dieser Speicherung auf das unbedingt Notwendige beschränkt ist.

Die in der Fluggastdaten-Richtlinie vorgesehene Übermittlung von Daten der Rubrik „Allgemeine Hinweise“ genüge zudem nicht den Anforderungen der Grundrechtecharte in Bezug auf Klarheit und Bestimmtheit Die Nutzung von Fluggastdaten ist ein wesentliches Element der Bekämpfung von Terrorismus und schwerer Kriminalität. Zu diesem Zweck schreibt die Fluggastdaten-Richtlinie (PNRRichtlinie) die systematische Verarbeitung einer großen Zahl von Fluggastdaten bei der Einreise in die bzw. bei der Ausreise aus der Europäischen Union vor. Darüber hinaus sieht Art. 2 dieser Richtlinie für die Mitgliedstaaten die Möglichkeit vor, diese Richtlinie auch auf Flüge innerhalb der Europäischen Union anzuwenden.

Die Ligue des droits humains (Liga für Menschenrechte) ist ein gemeinnütziger Verein, der im Juli 2017 bei der belgischen Cour constitutionnelle (Verfassungsgerichtshof) eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 zur Umsetzung der PNR-Richtlinie und der Richtlinie über die Übermittlung von Angaben über beförderte Personen (API-Richtlinie) in das belgische Recht erhob. Nach Auffassung der Liga für Menschenrechte verletzt dieses Gesetz das im belgischen und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Der Verein beanstandet die sehr weite Definition der Fluggastdaten und den allgemeinen Charakter der Erhebung, Übermittlung und Verarbeitung dieser Daten. Die Liga für Menschenrechte ist der Ansicht, dass das Gesetz darüber hinaus die Personenfreizügigkeit einschränke, da es indirekt wieder Grenzkontrollen einführe, indem es das „PNR-System“ auf Flüge innerhalb der EU ausweite.

Im Oktober 2019 legte der belgische Verfassungsgerichtshof dem Europäischen Gerichtshof zehn Vorabentscheidungsfragen zur Gültigkeit und Auslegung der PNR-Richtlinie und der API-Richtlinie sowie zur Auslegung der Datenschutz-Grundverordnung (DSGVO) vor.

In seinen heutigen Schlussanträgen führt Generalanwalt Giovanni Pitruzzella zunächst aus, wenn Maßnahmen, die in die Grundrechte gemäß der Charta der Grundrechte der Europäischen Union (Charta) eingriffen, auf einem Unionsrechtsakt beruhten, sei es Aufgabe des Unionsgesetzgebers, die wesentlichen Elemente, die die Tragweite dieser Grundrechtseingriffe ausmachen, festzulegen. Nach der Rechtsprechung des Gerichtshofs seien Bestimmungen, die die Übermittlung personenbezogener Daten natürlicher Personen an Dritte, etwa eine Behörde, vorschreiben oder gestatten, bei fehlender Einwilligung dieser natürlichen Personen unabhängig von der späteren Verwendung der in Rede stehenden Daten als Eingriff in ihr Privatleben sowie als Eingriff in das Grundrecht auf Schutz personenbezogener Daten einzustufen. Diese Eingriffe könnten nur gerechtfertigt werden, wenn sie gesetzlich vorgesehen seien, den Wesensgehalt dieser Rechte achteten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich seien und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprächen.

Was erstens die personenbezogenen Daten anbelangt, die gemäß der PNR-Richtlinie von den Fluggesellschaften an die PNR-Zentralstellen zu übermitteln sind, führt der Generalanwalt aus, dass die Intensität und Schwere des Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, der mit einer die Ausübung dieser Rechte einschränkenden Maßnahme verbunden ist, vor allem von Umfang und Art der verarbeiteten Daten abhängt. Die Ermittlung dieser Daten sei daher ein wesentlicher Vorgang, der für jede Rechtsgrundlage, die eine solche Maßnahme einführt, zwingend – so klar und bestimmt wie möglich – vorzunehmen sei.

Nach der Feststellung, dass es den Anforderungen der Charta in Bezug auf Klarheit und Bestimmtheit nicht genüge, auf allgemeine Kategorien von Angaben zurückzugreifen, die die Art und den Umfang der zu übermittelnden Daten unzureichend festlegten, folgert der Generalanwalt, dass Anhang I Nr. 12 der PNR-Richtlinie ungültig sei, da diese Bestimmung in den Kategorien der zur übermittelnden Daten die Rubrik „Allgemeine Hinweise“ enthalte, die sämtliche Angaben erfassen solle, die von den Fluggesellschaften – zusätzlich zu den ausdrücklich in den anderen Ziffern dieses Anhangs I angeführten – bei ihrer Dienstleistungserbringung erhoben werden. Im Übrigen ist der Generalanwalt der Ansicht, dass die Daten, die gemäß der PNR-Richtlinie von den Fluggesellschaften den PNR-Zentralstellen zu übermitteln seien, für die mit dieser Richtlinie verfolgten Ziele erheblich seien, ihnen entsprächen und nicht über sie hinausgingen, und dass ihr Umfang nicht über das hinausgehe, was zur Erreichung dieser Ziele unbedingt erforderlich sei. Darüber hinaus sei diese Übermittlung mit hinreichenden Garantien versehen, die darauf abzielten, dass nur die ausdrücklich genannten Daten übermittelt sowie Sicherheit und Vertraulichkeit der übermittelten Daten gewährleistet würden. Ferner lege die PNR-Richtlinie ein generelles Verbot der Verarbeitung sensibler Daten fest, welches auch ihre Erhebung umfasse, so dass das „PNR-System“ ausreichende Garantien vorsehe, die es in jeder Phase der Verarbeitung erhobener Daten ermöglichten auszuschließen, dass diese Verarbeitung geschützte Merkmale direkt oder indirekt berücksichtige.

Zweitens ist der Generalanwalt der Auffassung, der allgemeine und unterschiedslose Charakter der Übermittlung der PNR-Daten und der Vorabüberprüfung der Fluggäste durch den automatisierten Abgleich dieser Daten sei mit Art. 7 und 8 der Charta vereinbar, in denen die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verankert seien. Insbesondere sei die Rechtsprechung des Gerichtshofs zu Speicherung von Daten und Zugang zu Daten im Bereich der elektronischen Kommunikation5 nicht auf das in der PNR-Richtlinie vorgesehene System übertragbar. Mit der Einführung eines auf Unionsebene harmonisierten Systems der PNR-Datenverarbeitung sowohl für Drittstaatsflüge als auch – bei den Staaten, die von Art. 2 der PNR-Richtlinie Gebrauch gemacht haben – für Flüge innerhalb EU könne gewährleistet werden, dass die Verarbeitung dieser Daten unter Einhaltung des durch diese Richtlinie festgelegten hohen Schutzniveaus für die Grundrechte der Art. 7 und 8 der Charta erfolge.

Allgemein unterstreicht der Generalanwalt die grundlegende Bedeutung der Kontrolle durch eine unabhängige Kontrollstelle im Rahmen des von der PNR-Richtlinie geschaffenen Garantiesystems, die befugt ist, die Rechtmäßigkeit der Datenverarbeitung zu prüfen, Ermittlungen, Inspektionen und Audits durchzuführen sowie Beschwerden betroffener Personen zu bearbeiten. Insofern sei es von größter Wichtigkeit, dass die Mitgliedstaaten bei der Umsetzung dieser Richtlinie in nationales Recht ihrer nationalen Kontrollstelle diese Befugnisse in vollem Umfang zuerkennen und sie mit den zur Erfüllung ihrer Aufgabe erforderlichen materiellen und personellen Mitteln ausstatten.

Was insbesondere die Vorabüberprüfung der Fluggäste anbelangt, weist der Generalanwalt in Bezug auf den ersten Teil dieser Überprüfung, den Abgleich der PNR-Daten mit Datenbanken, die zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität maßgeblich sind, darauf hin, dass der Begriff der „maßgeblichen Datenbanken“ im Einklang mit den Anforderungen der Charta in Bezug auf Klarheit und Bestimmtheit und unter Berücksichtigung der Ziele der PNR-Richtlinie auszulegen sei. In einer solchen Auslegung erfasse dieser Begriff nur die von den zuständigen Behörden betriebenen nationalen Datenbanken sowie die Unions- und internationalen Datenbanken, die von diesen Behörden unmittelbar im Rahmen ihrer Aufgabe benutzt würden und die zudem in direktem und engem Zusammenhang mit den mit der PNR-Richtlinie verfolgten Zielen der Bekämpfung von Terrorismus und schwerer Kriminalität stehen müssten was bedeute, dass sie für diese Ziele entwickelt worden seien. Was den zweiten Teil dieser Vorabüberprüfung, den automatisierten Abgleich von PNR-Daten anhand im Voraus festgelegter Kriterien, anbelangt, ist der Generalanwalt der Ansicht, dass dieser Abgleich nicht mittels auf maschinellem Lernen basierenden Systemen künstlicher Intelligenz erfolgen darf, die keine Rückschlüsse darauf ermöglichten, aus welchen Gründen der Algorithmus eine positive Übereinstimmung feststellt.

Drittens und im Hinblick auf die Frage, ob das Unionsrecht einer nationalen Regelung entgegensteht, die für PNR-Daten eine allgemeine Speicherfrist von fünf Jahren vorsieht, ohne danach zu unterscheiden, ob sich im Rahmen der Vorabüberprüfung herausstellt, dass die betroffenen Fluggäste ein Risiko für die öffentliche Sicherheit darstellen können oder nicht, schlägt der Generalanwalt vor, die PNR-Richtlinie im Einklang mit der Charta dahin auszulegen, dass die Speicherung der von den Fluggesellschaften an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren nach Durchführung der Vorabüberprüfung nur dann zulässig sei, wenn auf der Grundlage objektiver Kriterien ein Zusammenhang zwischen diesen Daten und der Bekämpfung von Terrorismus und schwerer Kriminalität festgestellt werde. Eine allgemeine und unterschiedslose Speicherung von PNR-Daten in nicht unkenntlich gemachter Form könne nur zur Abwendung einer als real, aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die Sicherheit der Mitgliedstaaten gerechtfertigt werden, beispielsweise im Zusammenhang mit terroristischen Aktivitäten, und sofern die Dauer dieser Speicherung auf das unbedingt Notwendige beschränkt ist.


Den Volltext der Schlussanträge finden Sie hier:



LG Mainz: LBS darf Nachbarn nicht zur Ermittlung von Daten von Immobilieninteressenten missbrauchen - Eingriff in das Recht auf informationelle Selbstbestimmung

LG Mainz
Urteil
10 HK O 52/14


Das LG Mainz hat auf eine Klage des vzbv hin zu Recht entschieden, dass die LBS Nachbarn nicht zur Ermittlung von Daten von Immobilieninteressenten missbrauchen darf. Es liegt ein Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen vor, wenn deren Nachbarn personenbezogene Daten an die LBS weiterleiten, ohne die Zustimmung einzuholen. Die LBS versprach den neugierigen Nachbarn für die Übermittlung der Daten eine Prämie von 250 EURO.

Die Pressemitteilung des vzbv:

"Die LBS Immobilien GmbH darf Verbraucherinnen und Verbraucher nicht ohne deren vorheriges Einverständnis anrufen, um die Daten möglicher Immobilieninteressenten zu erfragen. Auch Anschreiben mit der Aufforderung, eine mit persönlichen Daten Dritter ausgefüllte Antwortkarte zu übersenden, dürfen nicht verschickt werden. Der Verbraucherzentrale Bundesverband (vzbv) hatte dieses Vorgehen der Wohnimmobilienvermittlung beanstandet und bekam nun vor Gericht Recht.

„Kennen Sie jemanden, der ein Haus, Grundstück oder eine Eigentumswohnung verkaufen oder kaufen möchte? Ihr Tipp ist uns 250 Euro wert!“

Mit dieser Aufforderung versuchte die LBS Immobilien GmbH, Daten möglicher Immobilieninteressenten zu gewinnen. Verbraucherinnen und Verbraucher wurden ermuntert, am Telefon oder auf vorgedruckten Antwortkarten die Namen, Adressen und Telefonnummern von Personen aus ihrem Umfeld anzugeben, die am Kauf oder Verkauf einer Immobilie interessiert sein könnten. Für einen entsprechenden Hinweis versprach das Unternehmen bei Vertragsabschluss eine Prämie in Höhe von 250 Euro.

Eingriff in das Recht auf informationelle Selbstbestimmung

Die Informationen würden natürlich diskret behandelt, versicherte das Unternehmen. Eine Einwilligung des angeblichen Interessenten wurde dagegen nicht eingeholt. „Dieses Vorgehen ist ein massiver Eingriff in das Recht auf informationelle Selbstbestimmung. Durch die heimliche Datenweitergabe könnte es zu Konflikten in der Nachbarschaft kommen“, sagt Rosemarie Rodden, Rechtsreferentin beim vzbv.

Der vzbv hatte vor dem Landgericht Mainz gegen das unzulässige Geschäftsgebaren des Unternehmens geklagt. Die LBS Immobilien GmbH erkannte den Unterlassungsanspruch nun an.

BGH: Opt-Out-Regelung für Zusendung von Werbemails und SMS unwirksam - Payback

Der BGH hat mit Urteil vom 16. Juli 2008 – VIII ZR 348/06 entschieden, dass die in den Teilnahmebedingungen des Rabattsystems Payback enthaltenen Regelungen zur Zusendung von Werbung per Email und SMS unwirksam sind. So sah das Anmeldeformular vor, dass sich der Nutzer damit einverstanden erklärt, Werbung per SMS und EMails zu erhalzen. Die Teilnehmer hatten lediglich die Möglichkeit durch ankreuzen eines Kästchen zu erklären, dass sie diese Einwilligung nicht erteilen ("Opt-Out-Lösung"). Der BGH fordert hingegen in Einklang mit § 7 Abs. 2 Nr. 3 UWG eine gesonderte Erklärung, mit welcher der Kunde ausdrücklich einwilligt, dass er Werbung per Email oder SMS erhalten will ("Opt-In-Lösung"). Unbedenklich ist es hingegen, wenn der Anbieter eines Rabattsystems bei der Anmeldung die Angabe des Geburtsdatums verlangt sowie in den AGB geregelt ist, dass die Rabattpartner dem Anbieter die Rabattdaten übermitteln. Dies folgt schon aus der Zweckbestimmung des Vertrages.

Die Pressemitteilung des BGH finden Sie hier. "BGH: Opt-Out-Regelung für Zusendung von Werbemails und SMS unwirksam - Payback" vollständig lesen