BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuG
Urteil vom 03.09.2025
T-553/23
Latombe / EU-Kommission

Das EuG hat entschieden, dass das EU-U.S. Data Privacy Framework für die Übermittlung personenbezogener Daten in die USA nicht für nichtig erklärt wird.

Die Pressemitteilung des Gerichts:
Datenschutz: Das Gericht weist die Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten ab

Damit bestätigt es, dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt wurden.

In der Charta der Grundrechte der Europäischen Union und im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) ist das Recht jeder Person auf Schutz ihrer personenbezogenen Daten verankert. Auf dieser Grundlage sind im Sekundärrecht der Union Vorschriften für die internationale Übermittlung personenbezogener Daten festgelegt, mit denen verhindert werden soll, dass das in der Union gewährte Schutzniveau untergraben wird. Wenn die Europäische Kommission der Auffassung ist, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, kann die Übermittlung personenbezogener Daten in das Drittland gemäß diesen Vorschriften ohne zusätzliche Genehmigung auf der Grundlage eines sogenannten Angemessenheitsbeschlusses der Kommission erfolgen. Ein solcher Rahmen wurde durch den von der Kommission am 10. Juli 2023 erlassenen Angemessenheitsbeschluss (im Folgenden: angefochtener Beschluss) geschaffen; er besteht zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. In der Vergangenheit hat der Gerichtshof in den Urteilen Schrems I und Schrems II die beiden vorherigen Angemessenheitsbeschlüsse in Bezug auf die Vereinigten Staaten mit der Begründung für ungültig erklärt, dass sie kein Niveau des Schutzes der Grundfreiheiten und Grundrechte gewährleisteten, das dem durch das Unionsrecht garantierten Niveau der Sache nach gleichwertig gewesen wäre.

Allerdings erließen die Vereinigten Staaten von Amerika am 7. Oktober 2022 ein Präsidialdekret , mit dem die Maßnahmen zum Schutz der Privatsphäre für die Tätigkeiten von US-Nachrichtendiensten verschärft wurden. Dieses Dekret wurde durch eine Verordnung des Generalstaatsanwalts9 ergänzt, mit der die Bestimmungen über die Schaffung und Funktionsweise des Data Protection Review Court (Datenschutzgericht, Vereinigte Staaten von Amerika, im Folgenden: DPRC) geändert wurden. Nach Prüfung dieser regulatorischen Entwicklungen in den Vereinigten Staaten erließ die Kommission den angefochtenen Beschluss, mit dem der neue transatlantische Rahmen für den Verkehr personenbezogener Daten zwischen der Union und den Vereinigten Staaten geschaffen wird.

In diesem Zusammenhang hat Herr Philippe Latombe, ein französischer Staatsangehöriger und Nutzer verschiedener IT-Plattformen, die seine personenbezogenen Daten erheben und sie in die Vereinigten Staaten übermitteln, beim Gericht der Europäischen Union beantragt, den angefochtenen Beschluss für nichtig zu erklären. Er trägt vor, der DPRC sei weder unparteiisch noch unabhängig, sondern von der Exekutive abhängig. Außerdem sei die Praxis der Nachrichtendienste der Vereinigten Staaten, ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde Sammelerhebungen personenbezogener Daten im Transit aus der Union vorzunehmen, nicht hinreichend klar und präzise geregelt und daher rechtswidrig.

Das Gericht weist die Nichtigkeitsklage ab.

Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.

Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.

In Anbetracht dessen weist das Gericht den Klagegrund der fehlenden Unabhängigkeit des DPRC zurück.

Was zweitens die Sammelerhebung personenbezogener Daten betrifft, weist das Gericht u. a. darauf hin, dass nichts im Urteil Schrems II darauf hindeutet, dass diese zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedarf. Aus diesem Urteil geht vielmehr hervor, dass die Entscheidung, mit der eine solche Sammelerhebung genehmigt wird, zumindest einer nachträglichen gerichtlichen Überprüfung unterzogen werden muss. Im vorliegenden Fall geht aus den Akten hervor, dass die von US-Nachrichtendiensten betriebene Signalaufklärung nach dem Recht der Vereinigten Staaten einer nachträglichen gerichtlichen Überprüfung durch den DPRC unterliegt. Folglich ist nicht ersichtlich, dass Sammelerhebungen personenbezogener Daten durch die US-Nachrichtendienste nicht den Anforderungen genügen, die sich insoweit aus dem Urteil Schrems II ergeben, und dass das Recht der Vereinigten Staaten keinen Rechtsschutz gewährleistet, der dem durch das Unionsrecht garantierten der Sache nach gleichwertig ist.

Nach alledem weist das Gericht den Klagegrund in Bezug auf die Sammelerhebung personenbezogener Daten zurück und weist die Klage demnach insgesamt ab.

Den Volltext der Entscheidung finden Sie hier:

BVerfG
Beschluss vom 01.11.2024
2 BvR 684/22

Das Bundesverfassungsgericht hat eine Verfassungbeschwerde gegen eine strafrechtliche Verurteilung nach Verwertung von EncroChat-Daten nicht zur Entscheidung angenommen.

Die Pressmeitteilung des Bundesverfassungsgerichts:
Unzulässige Verfassungsbeschwerde gegen strafrechtliche Verurteilung nach Verwertung von in Frankreich erhobenen und nach Deutschland übermittelten EncroChat-Daten

Mit heute veröffentlichtem Beschluss hat die 1. Kammer des Zweiten Senats des Bundesverfassungsgerichts eine Verfassungsbeschwerde gegen eine strafrechtliche Verurteilung nicht zur Entscheidung angenommen, mit der sich der Beschwerdeführer gegen die Verwertung der von französischen Behörden erhobenen und aufgrund einer Europäischen Ermittlungsanordnung (nachfolgend EEA) nach Deutschland übermittelten sogenannten EncroChat-Daten wendet.

Der überwiegend geständige Beschwerdeführer wurde durch Urteil des Landgerichts wegen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in zehn Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt. Er hatte zum Erwerb und zur Veräußerung der Betäubungsmittel ein verschlüsseltes Mobiltelefon des Anbieters EncroChat genutzt. Soweit der Beschwerdeführer sich nicht geständig eingelassen hatte, stützte das Landgericht die Beweisführung maßgeblich auf die Auswertung von EncroChat-Daten. Die Daten gehen zurück auf Ermittlungen französischer Behörden im Zeitraum vom 1. April 2020 bis 30. Juni 2020 und wurden von Europol über die Generalstaatsanwaltschaft an die in Deutschland regional zuständigen Staatsanwaltschaften übermittelt. Die Revision des Beschwerdeführers war erfolglos.

Die Verfassungsbeschwerde ist unzulässig. Sie genügt den Darlegungs- und Substantiierungsvoraussetzungen nicht, soweit eine entscheidungserhebliche Gehörsverletzung, die Verletzung der Garantie des gesetzlichen Richters oder von Grundrechten gerügt wird. Unabhängig davon weist die Kammer darauf hin, dass auf der Grundlage der vom Bundesgerichtshof festgestellten Verfahrenstatsachen eine Verletzung von Grundrechten des Beschwerdeführers nicht ersichtlich ist.

Sachverhalt:

Französische Behörden stellten in den Jahren 2017 und 2018 in mehreren Ermittlungsverfahren, bei denen es insbesondere um den verbotenen Handel mit Betäubungsmitteln ging, fest, dass die Tatverdächtigen über sogenannte Kryptohandys verfügten, die über eine sogenannte EncroChat-Architektur verschlüsselt waren. Eine Auswertung dieser Mobiltelefone war aufgrund der Verschlüsselung nicht möglich. Französische Gerichte genehmigten daraufhin verschiedene staatsanwaltlich beantragte Ermittlungsmaßnahmen, darunter den Zugriff auf den EncroChat-Server. Per „Ferninjektion“ wurde ein Abfangtool eingebracht. Dem Bundeskriminalamt wurden über Europol Erkenntnisse zugeleitet, aus denen sich ergab, dass in Deutschland eine Vielzahl schwerster Straftaten (insbesondere Einfuhr von und Handeltreiben mit Betäubungsmitteln in nicht geringen Mengen) unter Nutzung von Mobiltelefonen mit der Verschlüsselungssoftware EncroChat begangen wurde. Die zwischen dem 1. April 2020 und dem 30. Juni 2020 erfassten EncroChat-Daten wurden von Europol über eine Generalstaatsanwaltschaft an die regional zuständigen Staatsanwaltschaften übermittelt.

Der überwiegend geständige Beschwerdeführer wurde durch Urteil des Landgerichts wegen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in zehn Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt. Der Beschwerdeführer hatte zum Erwerb und zur Veräußerung der Betäubungsmittel ein verschlüsseltes Mobiltelefon des Anbieters EncroChat genutzt. Soweit sich der Beschwerdeführer nicht geständig eingelassen hatte, stützte das Landgericht die Beweisführung maßgeblich auf die Auswertung von EncroChat-Daten. Der Verteidiger des Beschwerdeführers hatte der Erhebung und Verwertung von Beweisen zum Inhalt des EncroChat-Verkehrs am ersten Hauptverhandlungstag widersprochen. Ohne den Widerspruch zu bescheiden, verkündete das Landgericht sein Urteil. In den schriftlichen Urteilsgründen ging es auf die Frage der Verwertbarkeit der EncroChat-Daten nicht gesondert ein. Der Bundesgerichtshof verwarf die Revision des Beschwerdeführers (Beschluss vom 2. März 2022 - 5 StR 457/21 -). Er hält auf diese Weise erlangte Daten von EncroChat-Nutzern für verwertbar.

Wesentliche Erwägungen der Kammer:

Die Verfassungsbeschwerde ist unzulässig. Sie genügt den Darlegungs- und Substantiierungsvoraussetzungen nicht.

1. Eine entscheidungserhebliche Gehörsverletzung wird nicht schlüssig aufgezeigt. Der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 des Grundgesetzes (GG) umfasst auch die Pflicht des Gerichts, den Vortrag des Betroffenen sowohl zur Kenntnis zu nehmen als auch in Erwägung zu ziehen. Das Fehlen einer ausdrücklichen Bescheidung konkreten Vorbringens lässt aber nur unter besonderen Umständen einen Rückschluss darauf zu, das Gericht habe das Vorbringen nicht berücksichtigt. Ausführungen zur Verwertbarkeit der EncroChat-Daten in den schriftlichen Urteilsgründen waren vom Landgericht im Streitfall bereits deshalb nicht zu erwarten, weil nach der Rechtsprechung des Bundesgerichtshofs einfachrechtlich grundsätzlich keine Pflicht zur Begründung der Verwertbarkeit von Beweisen in den schriftlichen Urteilsgründen besteht. Ein – unterstellter – Gehörsverstoß durch das Landgericht wäre im Übrigen in der Revisionsinstanz durch den Bundesgerichtshof geheilt worden. Der Bundesgerichtshof setzt sich im angegriffenen Beschluss umfassend mit dem Vorbringen und den Einwänden des Beschwerdeführers zur Frage der Verwertbarkeit der EncroChat-Daten auseinander und begründet ausführlich, warum ein Beweisverwertungsverbot unter keinem rechtlichen Gesichtspunkt besteht.

2. Auch eine entscheidungserhebliche Verletzung der Garantie des gesetzlichen Richters legt der Beschwerdeführer nicht schlüssig dar. Ein Rechtssuchender kann seinem gesetzlichen Richter dadurch entzogen werden, dass ein Gericht die Verpflichtung zur Vorlage an ein anderes Gericht außer Acht lässt. Dies kann auch bei einer unterbliebenen Einleitung eines Vorlageverfahrens nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) gelten.

a) Das Landgericht war als nicht letztinstanzliches nationales Gericht jedoch nur vorlageberechtigt (Art. 267 Abs. 2 AEUV), aber nicht vorlageverpflichtet (Art. 267 Abs. 3 AEUV). Auch der Bundesgerichtshof hat den Anspruch des Beschwerdeführers auf den gesetzlichen Richter durch Nichtvorlage von Rechtsfragen an den Gerichtshof der Europäischen Union (EuGH) auf der Grundlage des Vorbringens der Verfassungsbeschwerde nicht in entscheidungserheblicher Weise verletzt. Zutreffend geht der Beschwerdeführer allerdings davon aus, dass die Erwägung des Bundesgerichtshofs, klärungsbedürftige Fragen der Anwendung europäischen Rechts ergäben sich nicht, weil sich die Frage der Beweisverwertung nach nationalem Recht richte, (jedenfalls) in Bezug auf Art. 267 Abs. 3 AEUV zu kurz greift. Denn eine Frage des Unionsrechts kann auch als Vorfrage klärungsbedürftig – weil entscheidungserheblich – sein. Soweit der Bundesgerichtshof bei der Beurteilung der Verwertbarkeit der EncroChat-Daten entscheidungserheblich auch darauf abgestellt hat, dass die Erhebung und Übermittlung der Erkenntnisse nicht gegen den Beschwerdeführer schützende Vorgaben des Unionsrechts verstießen, wäre ungeachtet des Umstandes, dass es letztlich um die nach nationalem Recht zu beurteilende Verwertbarkeit der Erkenntnisse im deutschen Strafprozess ging, eine Vorlage in Betracht gekommen und gegebenenfalls auch geboten gewesen.

b) Der Beschwerdeführer ist aber seiner Obliegenheit nicht nachgekommen, die Verfassungsbeschwerde bei entscheidungserheblicher Veränderung der Sach- und Rechtslage aktuell zu halten und die Beschwerdebegründung gegebenenfalls nachträglich zu ergänzen. Der EuGH hat auf das Vorabentscheidungsersuchen des Landgerichts Berlin mit Urteil vom 30. April 2024 (M.N. , C-670/22, EU:C:2024:372) über Fragen der Auslegung der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen (ABL EU Nr. L 130/1; nachfolgend RL EEA) im Zusammenhang mit der auch diesem Verfassungsbeschwerdeverfahren zugrundeliegenden EEA der Generalstaatsanwaltschaft und den hierauf übermittelten EncroChat-Daten entschieden. Daher wäre vom Beschwerdeführer darzulegen gewesen, dass auch unter Berücksichtigung dieser Entscheidung eine Verletzung des Anspruchs auf den gesetzlichen Richter vorliegt, auf der die angegriffene Entscheidung des Bundesgerichtshofs beruht. Dieser Darlegungsobliegenheit ist der Beschwerdeführer nicht nachgekommen.

c) Eine entscheidungserhebliche Verletzung der Vorlagepflicht hinsichtlich der vom Beschwerdeführer in seiner Verfassungsbeschwerde adressierten Fragen ist aber auch in der Sache nicht (mehr) ersichtlich. Die angegriffene Entscheidung des Bundesgerichtshofs beruht jedenfalls nicht auf der unterbliebenen Vorlage. Zwar gelangt der EuGH anders als der Bundesgerichtshof zu dem Ergebnis, dass die Übermittlung von Beweismitteln, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nur möglich ist, wenn sie in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. Diese Abweichung stellt das vom Bundesgerichtshof im vorliegenden Fall gefundene Ergebnis aber nicht infrage, weil er dies in der Sache ebenfalls geprüft hat. Als innerstaatliche Vergleichsmaßnahme zieht er in verfassungsrechtlich nicht zu beanstandender Weise eine Online-Durchsuchung nach § 100b Strafprozessordnung (StPO) heran, deren Erkenntnisse der strafprozessual restriktivsten Verwendungsschranke des § 100e Abs. 6 StPO unterliegen. Auf dieser Grundlage gelangte der Bundesgerichtshof zum Ergebnis, dass die EncroChat-Daten in dem Strafverfahren gegen den Beschwerdeführer verwendet werden durften. Der Bundesgerichtshof wandte damit das auch vom EuGH geforderte Prüfungsprogramm an.

d) Soweit der Beschwerdeführer meint, der Bundesgerichtshof hätte dem EuGH auch die Frage vorlegen müssen, ob die von den französischen Gerichten und Behörden genehmigte und durchgeführte, in der RL EEA nicht ausdrücklich genannte Maßnahme der Abschöpfung sämtlichen über einen Server laufenden Kommunikationsverkehrs Gegenstand einer EEA sein dürfe, beruht die angefochtene Revisionsentscheidung ebenfalls nicht auf der unterbliebenen Vorlage. Der EuGH hat die bejahende Rechtsauffassung des Bundesgerichtshofs in seinem Urteil vom 30. April 2024 insoweit in der Sache bestätigt.

3. Die vom Beschwerdeführer erhobenen Rügen einer Verletzung in seinem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie in Art. 10 GG und seinen Grundrechten aus Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (GRCh) genügen den Darlegungsanforderungen ebenfalls nicht. Es fehlt schon an einer hinreichenden Darlegung der vom Bundesverfassungsgericht insoweit entwickelten Maßstäbe.

4. Unabhängig davon weist die Kammer darauf hin, dass auf der Grundlage der vom Bundesgerichtshof festgestellten, im vorliegenden Verfassungsbeschwerdeverfahren maßgeblichen Verfahrenstatsachen eine Verletzung von Grundrechten des Beschwerdeführers nicht ersichtlich ist; insbesondere ist keine Verletzung des allgemeinen Persönlichkeitsrechts des Beschwerdeführers erkennbar. Die Frage der Verwertung von im Wege der Rechtshilfe erlangten Beweismitteln ist nach nationalem Recht zu beurteilen. Das gilt auch für Erkenntnisse, die mittels einer EEA gewonnen wurden. Maßstab für die Prüfung sind damit in erster Linie die Grundrechte des Grundgesetzes.

Die Verwertung personenbezogener Informationen in einer gerichtlichen Entscheidung greift in das allgemeine Persönlichkeitsrecht ein. Dieses Recht gewährleistet die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden. Das allgemeine Persönlichkeitsrecht ist allerdings nicht vorbehaltlos gewährleistet. Beschränkungen des allgemeinen Persönlichkeitsrechts sind – soweit nicht Informationen aus dem Kernbereich privater Lebensgestaltung verwertet werden – zum Schutz überwiegender Allgemeininteressen zulässig, wenn sie durch oder auf Grundlage eines Gesetzes, das Voraussetzungen und Umfang der Beschränkung hinreichend klar umschreibt und dem Grundsatz der Verhältnismäßigkeit genügt, erfolgen. Verfassungsgemäße Rechtsgrundlage für die Beweisverwertung im Strafprozess ist § 261 StPO. Für die Verwertung von Beweisen, die aus dem Ausland in ein deutsches Strafverfahren eingeführt wurden, gelten insoweit grundsätzlich keine Besonderheiten. Wurden Informationen rechtswidrig erlangt, besteht von Verfassungs wegen kein Rechtssatz, wonach die Verwertung der gewonnenen Informationen stets unzulässig wäre. Die strafgerichtliche Praxis geht in gefestigter Rechtsprechung davon aus, dass die Frage nach dem Vorliegen eines Verwertungsverbots jeweils nach den Umständen des Einzelfalls zu entscheiden ist. Die Annahme eines Beweisverwertungsverbots stellt dabei eine Ausnahme dar. Hiergegen ist aus verfassungsrechtlicher Sicht nichts zu erinnern.

Die Würdigung des Bundesgerichtshofs im angegriffenen Beschluss, wonach die EncroChat-Daten keinem aus einem Verfahrensfehler abgeleiteten Beweisverwertungsverbot unterliegen, ist nach diesen Maßstäben verfassungsrechtlich nicht zu beanstanden. Informationen aus dem Kernbereich privater Lebensgestaltung wurden im Urteil des Landgerichts nicht verwertet. Dass der Bundesgerichtshof die Verwertung der hier erlangten Informationen davon abhängig macht, ob die Voraussetzungen der – nicht unmittelbar anwendbaren – § 100e Abs. 6, § 100b Abs. 2 Nr. 5 Buchstabe b StPO vorliegen, und dabei auf eine Betrachtung zum Verwertungszeitpunkt abstellt, begegnet keinen verfassungsrechtlichen Bedenken. Auch gegen die Annahme des Bundesgerichtshofs, die durch französische Behörden durchgeführte Beweiserhebung habe nicht gegen wesentliche rechtsstaatliche Grundsätze im Sinne des nationalen und europäischen ordre public verstoßen, ist auf der Grundlage des von ihm festgestellten Sachverhalts von Verfassungs wegen nichts zu erinnern.

Den Volltext der Entscheidung finden Sie hier:

LG Traunstein
Urteil vom 08.07.2024
9 O 173/24

Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.

Aus den Entscheidungsgründen:
Die Klage ist nur teilweise zulässig.

I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.

II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.

III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.

IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.

V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.

VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.

VII. Im Übrigen ist die Klage zulässig.
B.

Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.

Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.

II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.

1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.

2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.

III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.

1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.

2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.

3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.

4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.

5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.

6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“

So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.

V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.

1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.

2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.

3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.

VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.

VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom
C-670/22
Staatsanwaltschaft Berlin - EncroChat

Der EuGH hat entschieden, dass die Anforderung von EncroChat-Daten aus Frankreich durch die deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
EncroChat: Der Gerichtshof präzisiert die Voraussetzungen für die Übermittlung und die Verwendung von Beweismitteln im grenzüberschreitenden Strafverfahren

Im Zusammenhang mit in Deutschland geführten Strafverfahren wegen illegalen Handeltreibens mit Betäubungsmitteln mit Hilfe des EncroChat-Diensts für verschlüsselte Telekommunikation präzisiert der Gerichtshof bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln. So kann eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die von einem anderen Mitgliedstaat bereits erhoben wurden, unter bestimmten Voraussetzungen von einem Staatsanwalt erlassen werden. Für ihren Erlass ist es nicht erforderlich, dass die Voraussetzungen erfüllt sind, die für die Erhebung der Beweismittel im Anordnungsstaat gelten. Eine spätere gerichtliche Überprüfung der Wahrung der Grundrechte der betroffenen Personen muss allerdings möglich sein. Außerdem ist ein Mitgliedstaat von einer Überwachungsmaßnahme, die ein anderer Mitgliedstaat auf seinem Hoheitsgebiet vornimmt, rechtzeitig zu unterrichten. Das Strafgericht muss unter bestimmten Voraussetzungen Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen.

Der französischen Polizei gelang es mit Hilfe niederländischer Experten und nach Genehmigung durch ein französisches Gericht, den EncroChat-Dienst für verschlüsselte Telekommunikation zu infiltrieren. Dieser Dienst wurde auf Kryptohandys weltweit für den illegalen Handel mit Betäubungsmitteln genutzt. Das deutsche Bundeskriminalamt konnte die so gesammelten Daten der EncroChat-Nutzer in Deutschland auf einem EuropolServer abrufen.

Auf von der deutschen Staatsanwaltschaft erlassene Europäische Ermittlungsanordnungen hin genehmigte das französische Gericht die Übermittlung dieser Daten und ihre Verwendung in Strafverfahren in Deutschland.

Das mit einem solchen Verfahren befasste Landgericht Berlin hat Zweifel an der Rechtmäßigkeit dieser Europäischen Ermittlungsanordnungen. Es hat deshalb dem Gerichtshof mehrere Fragen zur Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen1 zur Vorabentscheidung vorgelegt.

Der Gerichtshof antwortet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats (hier: Frankreich) befinden, nicht notwendigerweise von einem Richter erlassen werden muss. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Dagegen ist nicht erforderlich, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten. Der Umstand, dass im vorliegenden Fall die französischen Behörden diese Beweise in Deutschland und im Interesse der deutschen Behörden erhoben haben, ist insoweit grundsätzlich unerheblich. Jedoch muss ein Gericht, das mit einem Rechtsbehelf gegen diese Anordnung befasst ist, die Wahrung der Grundrechte der betroffenen Personen überprüfen können.

Der Gerichtshof stellt außerdem klar, dass der Mitgliedstaat, in dem sich die Zielperson der Überwachung befindet (hier: Deutschland), von einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes unterrichtet werden muss. Die zuständige Behörde dieses Mitgliedstaats hat dann die Möglichkeit, mitzuteilen, dass die Überwachung des Telekommunikationsverkehrs nicht durchgeführt werden kann oder zu beenden ist, wenn diese Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Diese Verpflichtungen und diese Möglichkeiten sollen nicht nur die Achtung der Souveränität des unterrichteten Mitgliedstaats gewährleisten, sondern dienen auch dem Schutz der betroffenen Personen.

Das nationale Strafgericht muss in einem Strafverfahren gegen eine Person, die der Begehung von Straftaten verdächtig ist, Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen, und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Tenor der Entscheidung:
1. Art. 1 Abs. 1 und Art. 2 Buchst. c der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen sind dahin auszulegen, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nicht notwendigerweise von einem Richter erlassen werden muss, wenn nach dem Recht des Anordnungsstaats in einem rein innerstaatlichen Verfahren dieses Staates die originäre Erhebung dieser Beweismittel von einem Richter hätte angeordnet werden müssen, ein Staatsanwalt aber dafür zuständig ist, die Übermittlung dieser Beweise anzuordnen.

2. Art. 6 Abs. 1 der Richtlinie 2014/41 ist dahin auszulegen, dass er es nicht verbietet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, von einem Staatsanwalt erlassen wird, wenn diese Beweismittel aufgrund der durch diese Behörden im Hoheitsgebiet des Anordnungsstaats durchgeführte Überwachung des Telekommunikationsverkehrs sämtlicher Nutzer von Mobiltelefonen, die mittels spezieller Software und modifizierter Geräte eine Ende zu Ende verschlüsselte Kommunikation ermöglichen, erlangt wurden, sofern eine solche Anordnung alle Voraussetzungen erfüllt, die gegebenenfalls nach dem Recht des Anordnungsstaats für die Übermittlung solcher Beweismittel bei einem rein innerstaatlichen Sachverhalt vorgesehen sind.

3. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass eine mit der Infiltration von Endgeräten verbundene Maßnahme zur Abschöpfung von Verkehrs‑, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdiensts eine „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels darstellt, von der die Behörde zu unterrichten ist, die von dem Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, zu diesem Zweck bestimmt wurde. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des unterrichteten Mitgliedstaats zu ermitteln, so kann diese Unterrichtung an jede Behörde des unterrichteten Mitgliedstaats gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

4. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass er auch bezweckt, die Rechte der von einer Maßnahme der „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels betroffenen Nutzer zu schützen.

5. Art. 14 Abs. 7 der Richtlinie 2014/41 ist dahin auszulegen, dass er dem nationalen Strafgericht gebietet, im Rahmen eines Strafverfahrens gegen eine Person, die im Verdacht steht, Straftaten begangen zu haben, Informationen und Beweismittel unberücksichtigt zu lassen, wenn diese Person nicht in der Lage ist, sachgerecht zu diesen Informationen und Beweismitteln Stellung zu nehmen, und diese geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwältin
Schlussanträge vom 26.10.2023
C-670/22
Staatsanwaltschaft Berlin - EncroChat

Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die Anforderung von EncroChat-Daten aus Frankreich durch eine deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
Generalanwältin Ćapeta: Eine Staatsanwaltschaft kann eine Europäische Ermittlungsanordnung (EEA) zur Übermittlung von Beweismitteln, die bereits in einem anderen Mitgliedstaat erhoben wurden, erlassen

Dies ist der Fall, wenn nach dem für diese Staatsanwaltschaft geltenden nationalen Recht in einem
vergleichbaren innerstaatlichen Fall eine Übermittlung angeordnet werden kann. In einem solchen Fall darf die Behörde, die eine EEA erlässt, die Rechtmäßigkeit der Erhebung dieser Beweismittel im Vollstreckungsmitgliedstaat nicht prüfen.

EncroChat war ein verschlüsseltes Telekommunikationsnetz, das seinen Nutzern nahezu vollständige Anonymität bot. Das Gerät verfügte über keine Kamera, kein Mikrofon, kein GPS und keinen USB-Anschluss; Nachrichten konnten automatisch gelöscht werden und Nutzer konnten nach der Verwendung eines speziellen PIN-Codes oder nach der wiederholten Eingabe eines falschen Passworts sofort alle Daten auf dem Gerät löschen. Durch eine gemeinsame französisch-niederländische Ermittlungsoperation wurde eine Trojaner-Software entwickelt, die über ein simuliertes Update auf den Endgeräten installiert wurde. EncroChat-Nutzer in 122 Ländern waren von dieser Überwachung betroffen, darunter ca. 4 600 Nutzer in Deutschland. Eine deutsche Staatsanwaltschaft erließ mehrere EEAs mit dem Ersuchen, abgefangene Daten für Strafverfahren im Zusammenhang mit dem Verdacht des unerlaubten Handels mit Betäubungsmitteln durch nicht identifizierte Personen, die verdächtigt wurden, einer organisierten kriminellen Vereinigung anzugehören, verwenden zu dürfen. Ein französisches Strafgericht genehmigte die Europäischen Ermittlungsanordnungen und übermittelte die angeforderten Daten. Daraufhin führte
die deutsche Staatsanwaltschaft Ermittlungen gegen individualisierte EncroChat-Nutzer durch. Der Angeklagte in der vorliegenden Rechtssache wurde auf der Grundlage der aus Frankreich erhaltenen Beweismittel angeklagt.

Beanstandungen strafrechtlicher Verurteilungen, die als Folge abgefangener EncroChat-Daten ergangen sind, schlagen hohe Wellen quer durch europäische Höchstgerichte, wobei der Gerichtshof keine Ausnahme darstellt.

Das deutsche Landgericht, bei dem das hier in Rede stehende Strafverfahren anhängig ist, fragt den Gerichtshof, ob die fraglichen Europäischen Ermittlungsanordnungen unter Verstoß gegen die EEA-Richtlinie erlassen worden seien.

In ihren heutigen Schlussanträgen weist Generalanwältin Tamara Ćapeta darauf hin, dass eine Europäische Ermittlungsanordnung nur erlassen werden könne, wenn die darin enthaltene Ermittlungsmaßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. In der vorliegenden Rechtssache handele es sich bei einem vergleichbaren innerstaatlichen Fall um einen solchen, in dem Beweismittel innerhalb Deutschlands von einem Strafverfahren in ein anderes übermittelt würden. Da die EEA-Richtlinie es einer in einem bestimmten Fall zuständigen Staatsanwaltschaft erlaube, eine Europäische Ermittlungsanordnung zu erlassen, und das deutsche Recht offenbar nicht verlange, dass ein Gericht eine vergleichbare nationale Übermittlung genehmige, ist die Generalanwältin der Auffassung, dass die deutsche Staatsanwaltschaft befugt gewesen sei, die in Rede stehenden Europäische Ermittlungsanordnung zu erlassen. Mit anderen Worten verlange das Unionsrecht nicht, dass solche Anordnungen von einem Gericht erlassen würden.

Die Generalanwältin stellt ferner fest, dass die Überwachung des Telekommunikationsverkehrs von französischen Gerichten genehmigt worden sei und die deutschen Behörden diesem Verfahrensschritt deshalb denselben Stellenwert beimessen sollten, den sie ihm innerstaatlich beimessen würden. Dies wäre auch dann der Fall, wenn ein deutsches Gericht in einem konkreten Verfahren anders entscheiden würde.

Schließlich richte sich die Zulässigkeit von möglicherweise unter Verstoß gegen Unionsrecht erlangten Beweismitteln nicht nach dem Unionsrecht, sondern nach nationalem Recht, sofern die durch die Unionsrechtsordnung garantierten Grundrechte gewahrt würden.

Die vollständigen Schlussanträge finden Sie hier:

OVG Münster
Beschluss vom 21.03.2023
13 B 381/22

Das OVG Münster hat entschieden, dass das Gegenvorstellungsverfahren nach § 3b NetzDG nicht für Anbieter sozialer Netzwerke gilt, die nicht in Deutschland, sondern in einem anderen EU-Staat ansässig sind (siehe zur Vorinstanz: VG Köln: Neuregelungen im Netzwerkdurchsetzungsgesetz (NetzDG) teilweise unionsrechtswidrig - Eilanträge von Google und Meta / Facebook).

Die Pressemitteilung des Gerichts:
Gegenvorstellungsverfahren nach dem Netzwerkdurchsetzungsgesetz teilweise nicht anwendbar

Die in § 3b des Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz - NetzDG) vorgesehene Pflicht, ein Gegenvorstellungsverfahren vorzuhalten, ist auf in anderen EU-Mitgliedstaaten ansässige Anbieter sozialer Netzwerke teilweise nicht anwendbar. Das hat das Oberverwaltungsgericht heute vorläufig festgestellt und damit einen Eilbeschluss des Verwaltungsgerichts Köln teilweise geändert.

Die in Irland ansässige Antragstellerin ist ein Unternehmen des Meta-Konzerns und bietet die sozialen Netzwerke Facebook und Instagram für Nutzer in Deutschland an. Sie hatte im Wege des Eilrechtsschutzes gegenüber der Bundesrepublik Deutschland die vorläufige Feststellung begehrt, dass sie den Pflichten nach § 3a und § 3b NetzDG nicht unterliegt. § 3a NetzDG verpflichtet Anbieter sozialer Netzwerke, ihnen gemeldete rechtswidrige Inhalte auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu prüfen und die fraglichen Inhalte zusammen mit bestimmten Nutzerangaben gegebenenfalls an das Bundeskriminalamt zu melden. § 3b NetzDG verlangt von Anbietern sozialer Netzwerke, ein wirksames und transparentes Gegenvorstellungsverfahren vorzuhalten. Das soll Nutzern ermöglichen, eine Entscheidung des Anbieters des sozialen Netzwerks darüber, ob er einen bestimmten Inhalt entfernt bzw. den Zugang zu ihm sperrt, durch den Anbieter überprüfen zu lassen. Das Verwaltungsgericht Köln hat dem Eilantrag am 1. März 2022 hinsichtlich der Verpflichtungen nach § 3a NetzDG stattgegeben; insoweit ist der Beschluss nicht angegriffen worden. Im Übrigen, also in Bezug auf das Gegenvorstellungsverfahren nach § 3b NetzDG, hat das Verwaltungsgericht den Eilantrag abgelehnt. Hiergegen wandte sich die Antragstellerin mit ihrer Beschwerde.

Die Beschwerde war teilweise erfolgreich. Die Antragstellerin ist vorläufig nicht verpflichtet, Gegenvorstellungsverfahren zu Entscheidungen über die Löschung oder Sperrung strafrechtlich relevanter Inhalte bei sogenannten NetzDG-Beschwerden vorzuhalten (§ 3b Abs. 1 und 2 NetzDG). Der 13. Senat hat dazu ausgeführt, dass die Anwendung dieser Vorschrift auf Anbieter sozialer Netzwerke, die wie die Antragstellerin in einem anderen Mitgliedstaat der Europäischen Union ansässig sind, gegen das in der Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) verankerte Herkunftslandprinzip verstoßen dürfte. Das unionsrechtliche Herkunftslandprinzip dient dem freien Dienstleistungsverkehr und bestimmt, dass Dienste der Informationsgesellschaft, zu denen auch soziale Netzwerke gehören, grundsätzlich nur dem Recht des Mitgliedstaats unterliegen, in dem der Anbieter niedergelassen ist (hier also Irland). Soweit die E-Commerce-Richtlinie den Mitgliedstaaten die Befugnis einräumt, Verfahren für die Löschung einer Information oder die Sperrung des Zugangs zu ihr festzulegen, dürfte sie nur Regelungen für in dem jeweiligen Mitgliedstaat ansässige Anbieter erlauben. Eine Abweichung vom Herkunftslandprinzip wäre daher nur unter den dafür ausdrücklich vorgesehenen Voraussetzungen zulässig. Diese dürften hier aber schon deshalb nicht erfüllt sein, weil die Bundesrepublik Deutschland die maßgeblichen verfahrensrechtlichen Anforderungen nicht eingehalten hat. Vor der Einführung von § 3b NetzDG hat sie die EU-Kommission sowie die betroffenen Sitzmitgliedstaaten der Anbieter sozialer Netzwerke nicht informiert bzw. letztere nicht erfolglos dazu aufgefordert, selbst Maßnahmen zu ergreifen. Davon durfte sie auch nicht im Rahmen eines sogenannten Dringlichkeitsverfahrens abweichen.

Hinsichtlich der Pflicht zur Vorhaltung eines Gegenvorstellungsverfahrens zu Entscheidungen über die Löschung oder Sperrung sonstiger Inhalte (§ 3b Abs. 3 NetzDG) - dies betrifft etwa gegen die Gemeinschaftsstandards bzw. -richtlinien von Facebook oder Instagram verstoßende Inhalte - hatte die Beschwerde hingegen keinen Erfolg. Das Verwaltungsgericht hat den auf vorbeugenden Rechtsschutz gerichteten Eilantrag insoweit zu Recht als unzulässig abgelehnt. Anders als die Pflicht nach § 3b Abs. 1 und 2 NetzDG ist die Pflicht zu einem Gegenvorstellungsverfahren nach § 3b Abs. 3 NetzDG nicht bußgeldbewehrt. Der Antragstellerin ist es daher insoweit zuzumuten, sich gegen etwaige Maßnahmen der zuständigen Aufsichtsbehörde (Bundesamt für Justiz) im Wege des nachträglichen Rechtsschutzes zur Wehr zu setzen.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 381/22 (I. Instanz: VG Köln 6 L 1354/21)

Weitere Hinweise:

§ 3b NetzDG (Gegenvorstellungsverfahren)

(1) 1Der Anbieter eines sozialen Netzwerks muss ein wirksames und transparentes Verfahren nach Absatz 2 vorhalten, mit dem sowohl der Beschwerdeführer als auch der Nutzer, für den der beanstandete Inhalt gespeichert wurde, eine Überprüfung einer zu einer Beschwerde über rechtswidrige Inhalte getroffenen Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt (ursprüngliche Entscheidung) herbeiführen kann; ausgenommen sind die Fälle des § 3 Absatz 2 Satz 1 Nummer 3 Buchstabe b. 2Der Überprüfung bedarf es nur, wenn der Beschwerdeführer oder der Nutzer, für den der beanstandete Inhalt gespeichert wurde, unter Angabe von Gründen einen Antrag auf Überprüfung innerhalb von zwei Wochen nach der Information über die ursprüngliche Entscheidung stellt (Gegenvorstellung). 3Der Anbieter des sozialen Netzwerks muss zu diesem Zweck ein leicht erkennbares Verfahren zur Verfügung stellen, das eine einfache elektronische Kontaktaufnahme und eine unmittelbare Kommunikation mit ihm ermöglicht. 4Die Möglichkeit der Kontaktaufnahme muss auch im Rahmen der Unterrichtung nach § 3 Absatz 2 Satz 1 Nummer 5 Buchstabe b eröffnet werden.

(2) Das Verfahren nach Absatz 1 Satz 1 muss gewährleisten, dass der Anbieter des sozialen Netzwerks

1. für den Fall, dass er der Gegenvorstellung abhelfen möchte, im Fall einer Gegenvorstellung des Beschwerdeführers den Nutzer und im Fall einer Gegenvorstellung des Nutzers den Beschwerdeführer über den Inhalt der Gegenvorstellung unverzüglich informiert sowie im ersten Fall dem Nutzer und im zweiten Fall dem Beschwerdeführer Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist gibt,

2. darauf hinweist, dass der Inhalt einer Stellungnahme des Nutzers an den Beschwerdeführer sowie der Inhalt einer Stellungnahme des Beschwerdeführers an den Nutzer weitergegeben werden kann,

3. seine ursprüngliche Entscheidung unverzüglich einer Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person unterzieht,

4. seine Überprüfungsentscheidung dem Beschwerdeführer und dem Nutzer unverzüglich übermittelt und einzelfallbezogen begründet, in den Fällen der Nichtabhilfe dem Beschwerdeführer und dem Nutzer jedoch nur insoweit, wie diese am Gegenvorstellungsverfahren bereits beteiligt waren, und

5. sicherstellt, dass eine Offenlegung der Identität des Beschwerdeführers und des Nutzers in dem Verfahren nicht erfolgt.

(3) 1Sofern einer Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt keine Beschwerde über rechtswidrige Inhalte zugrunde liegt, gelten die Absätze 1 und 2 entsprechend. 2Liegt der Entscheidung eine Beanstandung des Inhalts durch Dritte zugrunde, tritt an die Stelle des Beschwerdeführers diejenige Person, welche die Beanstandung dem Anbieter des sozialen Netzwerks übermittelt hat. 3Abweichend von Absatz 2 Nummer 3 ist es nicht erforderlich, dass die Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person erfolgt. 4Abweichend von Absatz 1 Satz 2 bedarf es der Überprüfung nach Satz 1 dann nicht, wenn es sich bei dem Inhalt um erkennbar unerwünschte oder gegen die Allgemeinen Geschäftsbedingungen des Anbieters verstoßende kommerzielle Kommunikation handelt, die vom Nutzer in einer Vielzahl von Fällen mit anderen Nutzern geteilt oder der Öffentlichkeit zugänglich gemacht wurde und die Gegenvorstellung offensichtlich keine Aussicht auf Erfolg hat.

EuGH
Urteil vom 12.01.2023
C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)

Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.

Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Die Pressemitteilung des EuGH:
Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden

Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist

Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.

Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.

Den Volltext der Entscheidung finden Sie hier:

BVerfG
Beschluss vom 28.09.2022
1 BvR 2354/13

Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.

Die Pressemitteilung des Bundesverfassungsgerichts:
Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten

Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.

Sachverhalt:

Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.

Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.

B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.

I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.

II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.

III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.

1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.

Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.

b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.

2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.

a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.

b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.

aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.

(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.

(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.

bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.

Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.

Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.

3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.

In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.

EuGH-Generalanwalt
Schlussanträge vom 20.09.2022
Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH ./. Bundeskartellamt
C-252/21

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das Bundeskartellamt DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden darf (hier: Facebook / Meta). Dabei müssen allerdings Entscheidungen der datenschutzrechtlichen Aufsichtsbehörden beachtet werden.

Die Pressemitteilung des EuGH:

Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann

Sie muss jedoch jede Entscheidung oder Untersuchung der nach dieser Verordnung zuständigen Aufsichtsbehörde berücksichtigen.

Meta Platforms ist der Eigentümer des sozialen Online-Netzwerks „Facebook“. Die Nutzer dieses sozialen Netzwerks müssen die Nutzungsbedingungen von Facebook akzeptieren, die auf die Praxis der Nutzung dieser Daten und von Cookies durch Meta Platforms verweisen. Mit den Cookies erfasst Meta Platforms Daten, die aus anderen Diensten des Konzerns Meta Platforms wie Instagram oder WhatsApp stammen sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies. Diese Daten verknüpft Meta Platforms mit dem Facebook-Konto des betreffenden Nutzers und verwertet sie u. a. zu Werbezwecken.

Das deutsche Bundeskartellamt untersagte Meta Platforms die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen und erlegte dem Unternehmen Maßnahmen zur Abstellung dieses Verhaltens auf. Das Bundeskartellamt war der Auffassung, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland darstelle. Meta Platforms legte gegen den Beschluss des Bundeskartellamts Beschwerde beim Oberlandesgericht Düsseldorf ein. Dieses fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden befugt sind, die Vereinbarkeit einer Datenverarbeitung mit der DSGVO zu prüfen. Außerdem stellt das Oberlandesgericht dem Gerichtshof Fragen zur Auslegung und Anwendung bestimmter Vorschriften der DSGVO.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Athanasios Rantos erstens die Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen, sie jedoch in Ausübung ihrer eigenen Zuständigkeiten berücksichtigen kann, ob eine Geschäftspraxis mit der DSGVO vereinbar ist. Insoweit unterstreicht der Generalanwalt, dass die Vereinbarkeit oder Unvereinbarkeit einer Praxis mit der DSGVO unter Berücksichtigung aller Umstände des Einzelfalls ein wichtiges Indiz für die Feststellung sein kann, ob diese Praxis einen Verstoß gegen die Wettbewerbsvorschriften darstellt.

Der Generalanwalt stellt jedoch klar, dass eine Wettbewerbsbehörde die Einhaltung der DSGVO nur inzident prüfen kann und dies die Anwendung dieser Verordnung durch die nach der Verordnung zuständige Aufsichtsbehörde nicht präjudiziert. Folglich muss die Wettbewerbsbehörde alle Entscheidungen oder Untersuchungen der zuständigen Aufsichtsbehörde berücksichtigen, diese über jedes sachdienliche Detail informieren und sich gegebenenfalls mit ihr abstimmen.

Zweitens ist der Generalanwalt der Ansicht, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung, die der für die Verarbeitung Verantwortliche nachzuweisen hat.

Drittens ist der Generalanwalt der Ansicht, dass die streitige Praxis von Meta Platforms oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter in der DSGVO vorgesehene Ausnahmen fallen können, sofern die betreffenden Tätigkeiten dieser Praxis für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich sind. Auch wenn die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der Dienste des Konzerns Meta Platforms, die Netzwerksicherheit und die Produktverbesserung im Interesse des Nutzers oder des für die Datenverarbeitung Verantwortlichen erfolgen können, erscheinen diese Tätigkeiten allerdings nach Auffassung des Generalanwalts nicht für die Erbringung der genannten Dienstleistungen erforderlich.

Viertens stellt der Generalanwalt fest, dass das Verbot der Verarbeitung sensibler personenbezogener Daten, die beispielsweise die rassische oder ethnische Herkunft, die Gesundheit oder die sexuelle Orientierung der betroffenen Person betreffen, auch die Verarbeitung der streitigen Daten umfassen kann. Dies ist dann der Fall, wenn die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die in der DSGVO genannten sensiblen Merkmale ermöglichen.

In diesem Zusammenhang weist der Generalanwalt darauf hin, dass der Nutzer sich voll bewusst sein muss, dass er durch eine ausdrückliche Handlung personenbezogene Daten öffentlich macht, damit die Ausnahme von diesem Verbot, die beinhaltet, dass die betroffene Person die Daten offensichtlich öffentlich gemacht hat, greifen kann. Nach Ansicht des Generalanwalts kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers offensichtlich öffentlich macht.

Die vollständigen Schlussanträge finden Sie hier: