Das BayObLG hat entschieden, dass ein gesellschaftsrechtlicher Informationsanspruchs auch durch Einsichtsgewährung in Cloud-Daten erfüllt werden kann.
Aus den Entscheidungsgründen: (1) Das Landgericht hat im Ergebnis zu Recht dem Vollstreckungsantrag des Antragstellers nicht stattgegeben.
(a) Zutreffend hat das Landgericht ausgeführt, dass der Vollstreckungsgläubiger aus Gründen der Verhältnismäßigkeit nicht auf einer Gewährung von Einsicht in die schriftlichen Unterlagen in den Geschäftsräumen der Gesellschaft beharren kann, wenn die Gesellschaft nicht mehr im Besitz von Unterlagen in Papierform ist und dem Gläubiger zum Zweck der Einsichtsgewährung den Zugriff auf die in einer Cloud virtuell gespeicherten Unterlagen der Gesellschaft anbietet.
In Übereinstimmung mit dem Landgericht ist der Senat davon überzeugt, dass die Schuldnerin im Zeitpunkt der erstinstanzlichen Entscheidung nicht mehr im Besitz schriftlicher Geschäftsunterlagen war. Nach dem Akteninhalt ist vielmehr davon auszugehen, dass sämtliche Unterlagen, die Gegenstand der Entscheidung vom 8. März 2023 sind, bei einer Durchsuchung der Geschäftsräume der Schuldnerin von der Staatsanwaltschaft in dem aufgrund einer Strafanzeige des Antragstellers eingeleiteten Ermittlungsverfahren am 22. Juni 2023 beschlagnahmt worden sind. Anhaltspunkte für die Annahme, dass sich an der Verwahrung zwischenzeitlich etwas geändert haben könnte, gibt es nach dem Vorbringen der Beteiligten nicht.
Da der Informationsanspruch im Zeitalter der Digitalisierung ebenso (gegebenenfalls sogar nur) durch die Gewährung von Einsicht in die zur Aufbewahrung in einer Cloud digital abgelegten Unterlagen erfüllt werden kann, dürfen Gesellschafter auf eine entsprechende Einsichtnahme verwiesen werden, sofern nicht ein sachlicher Grund zur Einsichtnahme in die Originalbelege gegeben ist (Schindler in BeckOK GmbHG, 64. Edition Stand: 1. November 2024, § 51a Rn. 28). In der vorliegenden Konstellation, in der die Schuldnerin nicht mehr im Besitz schriftlicher Unterlagen ist, durfte sie zur Erfüllung ihrer Pflicht die Einsicht in elektronische Kopien anbieten.
Das Misstrauen des Antragstellers hinsichtlich der Vollständigkeit der digitalen Unterlagen berechtigt ihn nicht dazu, von der Schuldnerin zu verlangen, dass sie ihren Steuerberater dazu anweist, sämtliche Bücher und Schriften der Gesellschaft, über die er verfügt, dem Antragsteller zur Verfügung zu stellen. Der Titel spricht lediglich die Verpflichtung der Gesellschaft zur Gewährung von Einsicht aus. Eine spezifische Art und Weise der Einsichtsgewährung ist dem Antragsteller im Titel – mit Ausnahme der Regelung in Buchstabe (h), welche die Zwischenschaltung eines Wirtschaftsprüfers vorsieht – nicht zugesprochen worden. Der Antragsteller kann daher nicht verlangen, dass der Steuerberater – auf Anweisung der Gesellschaft – die ihm vorliegenden Bücher und Schriften der Gesellschaft zur Einsichtnahme zur Verfügung stellt. Entsprechendes gilt hinsichtlich der Forderung des Antragstellers, dass der IT-Dienstleister der Schuldnerin sämtliche bei ihm für die Gesellschaft gespeicherten und gehosteten Unterlagen „etc.“ zur Verfügung stelle. Vielmehr hat das Vollstreckungsgericht bei der Entscheidung über den Zwangsmittelantrag durch Auslegung des Titels zu ermitteln, welche Verhaltensweisen dieser umfasst. Die Auslegung hat vom Tenor der zu vollstreckenden Entscheidung auszugehen; erforderlichenfalls sind ergänzend die Entscheidungsgründe und unter bestimmten Voraussetzungen auch die Antrags- oder Klagebegründung und der Parteivortrag heranzuziehen (vgl. BGH, Beschluss vom 7. November 2024, I ZB 31/24, WM 2025, 42 Rn. 22; BayObLG NZG 2021, 1591 Rn. 37 ff.; Beschluss vom 22. April 2021, 101 ZBR 109/20, GmbHR 2021, 823 [juris Rn. 67 ff.]). Die Auslegung führt dazu, dass der Schuldnerin alle Möglichkeiten der Einsichtsgewährung offengehalten sind, die im Einklang mit dem Verhältnismäßigkeitsgrundsatz stehen. Denn es ist anerkannt, dass das Gebot der Verhältnismäßigkeit bei der Ausübung des Informationsrechts zu beachten ist (vgl. K. Schmidt in Scholz, GmbHG, 13. Aufl. 2024, § 51a Rn. 36). Der titulierte Informationsanspruch wird von der Gesellschaft durch Gewährung von Einsicht erfüllt, wenn die zugänglich gemachten Unterlagen die im Titel nach Kategorien geordneten Geschäftsunterlagen umfassen und nach dem erklärten Willen der Gesellschaft die Information im geschuldeten Gesamtumfang darstellen, es sei denn, die Angaben sind nicht ernst gemeint, ersichtlich unvollständig oder von vornherein unglaubhaft (vgl. zum Auskunftsanspruch nach § 132 AktG: BayObLG, Beschluss vom 20. September 2021, 101 ZBR 134/20, ZIP 2021, 2328 [juris Rn. 37 ff.] – Frage 14; allgemein zum Auskunftsanspruch: BGH, Urt. v. 15. Juni 2021, VI ZR 576/19, NJW 2021, 2726 Rn. 19; zu § 51a GmbHG auch BayObLG DGVZ 2022, 133 [juris Rn. 61 f.]).
Einen geeigneten Modus für die Gewährung von Einsicht hatte die Schuldnerin angeboten. Sie hatte darauf hingewiesen, dass sich ihre sämtlichen Geschäftsunterlagen (mit Ausnahme der gesondert gespeicherten E-Mails) digital in einem virtuellen Ordner, dem persönlichen Cloudspeicher Microsoft OneDrive, befänden. Die Gewährung von Einsicht war ihr demnach weder infolge der Beschlagnahme unmöglich geworden noch lediglich unter Mitwirkung des Steuerberaters möglich (zu Ersterem: OLG Rostock, Beschluss vom 12. Oktober 2005, 6 W 53/05, juris Rn. 27; zu Letzterem: BayObLG, Beschluss vom 17. Dezember 1974, BReg 2 Z 58/74, BayObLGZ 1974, 484). Im Hinblick darauf hatte sie auch keine Veranlassung, ihren Steuerberater um eine Überlassung der ihm vorliegenden Geschäftsunterlagen zu ersuchen, um sie sodann dem Antragsteller zur Einsicht vorzulegen. Zudem hatte sich die Schuldnerin nicht geweigert, ihren Steuerberater von der Verschwiegenheit zu entpflichten und dem Wunsch des Antragstellers entsprechend anzuweisen. Sie hatte lediglich ihr Interesse daran ins Feld geführt, nicht mit den Kosten für die Tätigkeit des Steuerberaters belastet zu werden. Somit war die Schuldnerin sogar bereit, dem Antragsteller auf dessen Kosten die Kontrolle zu ermöglichen, die er wünschte, die aber nicht Gegenstand der Titulierung ist. Unabhängig davon, ob der Antragsteller aufgrund objektiver Umstände berechtigten Anlass zu Misstrauen hatte, durfte er den Inhalt des virtuellen Speichers nicht als „von vornherein unglaubhaft“ werten, ohne die Einsicht wahrgenommen und daraus Gründe für eine solche Beurteilung gewonnen zu haben. Einen Anspruch auf eine eidesstattliche Versicherung der Vollständigkeit kann er im vorliegenden Verfahren nicht verfolgen.
EuG
Urteil vom 03.09.2025 T-553/23
Latombe / EU-Kommission
Das EuG hat entschieden, dass das EU-U.S. Data Privacy Framework für die Übermittlung personenbezogener Daten in die USA nicht für nichtig erklärt wird.
Die Pressemitteilung des Gerichts: Datenschutz: Das Gericht weist die Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten ab
Damit bestätigt es, dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt wurden.
In der Charta der Grundrechte der Europäischen Union und im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) ist das Recht jeder Person auf Schutz ihrer personenbezogenen Daten verankert. Auf dieser Grundlage sind im Sekundärrecht der Union Vorschriften für die internationale Übermittlung personenbezogener Daten festgelegt, mit denen verhindert werden soll, dass das in der Union gewährte Schutzniveau untergraben wird. Wenn die Europäische Kommission der Auffassung ist, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, kann die Übermittlung personenbezogener Daten in das Drittland gemäß diesen Vorschriften ohne zusätzliche Genehmigung auf der Grundlage eines sogenannten Angemessenheitsbeschlusses der Kommission erfolgen. Ein solcher Rahmen wurde durch den von der Kommission am 10. Juli 2023 erlassenen Angemessenheitsbeschluss (im Folgenden: angefochtener Beschluss) geschaffen; er besteht zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. In der Vergangenheit hat der Gerichtshof in den Urteilen Schrems I und Schrems II die beiden vorherigen Angemessenheitsbeschlüsse in Bezug auf die Vereinigten Staaten mit der Begründung für ungültig erklärt, dass sie kein Niveau des Schutzes der Grundfreiheiten und Grundrechte gewährleisteten, das dem durch das Unionsrecht garantierten Niveau der Sache nach gleichwertig gewesen wäre.
Allerdings erließen die Vereinigten Staaten von Amerika am 7. Oktober 2022 ein Präsidialdekret , mit dem die Maßnahmen zum Schutz der Privatsphäre für die Tätigkeiten von US-Nachrichtendiensten verschärft wurden. Dieses Dekret wurde durch eine Verordnung des Generalstaatsanwalts9 ergänzt, mit der die Bestimmungen über die Schaffung und Funktionsweise des Data Protection Review Court (Datenschutzgericht, Vereinigte Staaten von Amerika, im Folgenden: DPRC) geändert wurden. Nach Prüfung dieser regulatorischen Entwicklungen in den Vereinigten Staaten erließ die Kommission den angefochtenen Beschluss, mit dem der neue transatlantische Rahmen für den Verkehr personenbezogener Daten zwischen der Union und den Vereinigten Staaten geschaffen wird.
In diesem Zusammenhang hat Herr Philippe Latombe, ein französischer Staatsangehöriger und Nutzer verschiedener IT-Plattformen, die seine personenbezogenen Daten erheben und sie in die Vereinigten Staaten übermitteln, beim Gericht der Europäischen Union beantragt, den angefochtenen Beschluss für nichtig zu erklären. Er trägt vor, der DPRC sei weder unparteiisch noch unabhängig, sondern von der Exekutive abhängig. Außerdem sei die Praxis der Nachrichtendienste der Vereinigten Staaten, ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde Sammelerhebungen personenbezogener Daten im Transit aus der Union vorzunehmen, nicht hinreichend klar und präzise geregelt und daher rechtswidrig.
Das Gericht weist die Nichtigkeitsklage ab.
Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.
Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.
In Anbetracht dessen weist das Gericht den Klagegrund der fehlenden Unabhängigkeit des DPRC zurück.
Was zweitens die Sammelerhebung personenbezogener Daten betrifft, weist das Gericht u. a. darauf hin, dass nichts im Urteil Schrems II darauf hindeutet, dass diese zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedarf. Aus diesem Urteil geht vielmehr hervor, dass die Entscheidung, mit der eine solche Sammelerhebung genehmigt wird, zumindest einer nachträglichen gerichtlichen Überprüfung unterzogen werden muss. Im vorliegenden Fall geht aus den Akten hervor, dass die von US-Nachrichtendiensten betriebene Signalaufklärung nach dem Recht der Vereinigten Staaten einer nachträglichen gerichtlichen Überprüfung durch den DPRC unterliegt. Folglich ist nicht ersichtlich, dass Sammelerhebungen personenbezogener Daten durch die US-Nachrichtendienste nicht den Anforderungen genügen, die sich insoweit aus dem Urteil Schrems II ergeben, und dass das Recht der Vereinigten Staaten keinen Rechtsschutz gewährleistet, der dem durch das Unionsrecht garantierten der Sache nach gleichwertig ist.
Nach alledem weist das Gericht den Klagegrund in Bezug auf die Sammelerhebung personenbezogener Daten zurück und weist die Klage demnach insgesamt ab.
Der BGH hat entschieden, dass Cloud-Dienste keine Urheberrechtsabgabe für in der Cloud gespeicherte Privatkopien zahlen müssen.
Leitsätze des BGH:
a) Urheber haben für die bei der Nutzung von Cloud-Speichern erfolgenden Vervielfältigungen zu den nach §§ 53, 60a bis 60f UrhG privilegierten Zwecken Anspruch auf Zahlung einer angemessenen Vergütung im Sinne von §§ 54, 54a UrhG (Fortführung von BGH, Urteil vom 27. Juni 2024 - I ZR 4/21, GRUR 2024, 1105 [juris Rn. 13] = WRP 2024, 1066 - InternetRadiorecorder II, mwN).
b) Anbieter von Cloud-Diensten sind nicht Schuldner der den Urhebern zustehenden angemessenen Vergütung, da sie nicht als Hersteller, Importeure oder Händler von Geräten oder Speichermedien im Sinne von § 54 Abs. 1, § 54b Abs. 1 und 2 UrhG anzusehen sind. Eine analoge Anwendung der Vergütungsvorschriften der §§ 54 ff. UrhG auf die Anbieter von Cloud-Diensten kommt mangels planwidriger Regelungslücke nicht in Betracht. Die aus Art. 5 Abs. 2 Buchst. b der Richtlinie 2001/29/EG folgende Ergebnispflicht erfordert es nach derzeitigem Sachstand nicht, die in den §§ 54 ff. UrhG bestimmte Vergütungspflicht für Privatkopien auf Cloud-Speicher zu erstrecken.
c) Die Maßgabe des § 113 Satz 1 VGG, nach der die bei dem Deutschen Patent- und Markenamt gebildete Schiedsstelle die Durchführung der empirischen Untersuchung nicht ablehnen kann, betrifft nur Anträge auf empirische Untersuchungen zur Ermittlung der nach § 54a Abs. 1 UrhG maßgeblichen Nutzung im Sinne des § 93 VGG, nicht aber Untersuchungsanträge, die außerhalb dieses gesetzlichen Rahmens liegen.
BGH, Beschluss vom 17. Juli 2025 - I ZB 82/24 - Bayerisches Oberstes Landesgericht
Das BAG hat entschieden, dass dem Betroffenen im vorliegenden Fall 200 EURO Schadensersatz aus Art. 82 DSGVO zusteht, da der Arbeitgeber datenschutzwidrig personenbezogene Echtdaten an eine Konzerngesellschaft für die Personalverwaltung übertragen hatte. Insbesondere war die Datenweitergabe nach Art. 6 Abs. 1 Satz 1 lit.. f DSGVO nicht zur Wahrung berechtigter Interessen erforderlich.
Die Pressemitteilung des Gerichts: Schadenersatz nach Datenschutz-Grundverordnung (DSGVO) - Betriebsvereinbarung - Workday
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.
Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 –
Vorinstanz: Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 –
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
EuG
Urteil vom 08.01.2025 T-354/22
Bindl ./. EU-Kommission
Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.
Sowohl der Kläger wie auch die EU-Kommission haben Rechtsmittel gegen die Entscheidung des EuG eingelegt, so das der EuGH Gelegenheit erhält, die Sache zu entscheiden.
Die Pressemitteilung des Gerichts_ Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen
Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.
Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.
Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.
Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.
Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.
Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.
Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.
Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.
Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.
Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.
Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.
Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.
Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.
Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.
Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.
Das LG München hat entschieden, dass Google / Alphabet für seine kostenpflichten Google One-Dienste nach § 312k BGB auf der Website für Verbraucher einen Kündigungsbutton vorhalten muss.
OLG München
Urteil vom 02.02.2024 38 Sch 60/22 WG e
Das OLG München hat entschieden, dass Dropbox und andere Cloud-Dienste müssen keine Urheberrechtsabgabe zahlen müssen.
Aus den Entscheidungsgründen: 3. Clouds, zu denen die Klagepartei Auskunft begehrt, unterfallen den Regelungen der §§ 54, 54b, 54e, 54f UrhG gleichwohl nicht, weil die Beklagte im Bundesgebiet keine Geräte oder Speichermedien herstellt und importiert bzw. mit ihnen handelt.
a) Die streitgegenständliche Cloud als solche ist nach der vorstehenden Begriffsdefinition eine Dienstleistung, die unter anderem die Zugriffsmöglichkeit auf einen von der Beklagten (möglicherweise auch im Ausland) betriebenen Online-Speicherplatz ermöglicht.
b) Nach §§ 54a, 54b UrhG unterliegen aber nur Geräte und Speichermedien einer Zahlungspflicht.
aa) Eine Legaldefinition der Begriffe „Gerät“ und „Speichermedium“ existiert nicht. Die Definition ist daher durch Auslegung zu ermitteln.
Unter dem Begriff „Gerät“ ist nach allgemeinem Sprachgebrauch ein körperlicher Gegenstand zu verstehen (vgl. Stieper, ZUM 2019, 1, 5 von Ungern-Sternberg GRUR 2022, 1777, 1786 beck-online). Die amtliche Gesetzesbegründung geht ebenfalls von körperlichen Gegenständen aus.
Unter dem Begriff „Speichermedien“ sind nach der Gesetzesbegründung alle physikalischen Informations- und Datenträger mit Ausnahme von Papier oder ähnlichen Trägern zu verstehen. In der Gesetzesbegründung werden als Beispiele alle elektronischen (z. B. Smartcard, Memory Stick), magnetischen (z. B. Musikkassette, Magnetband, Festplatte, Diskette) und optischen (z. B. Film, DVD, CD-ROM, CD-R, CD-RW, Laserdisk) Speicher genannt (siehe BT-Drs. 16/1828, S. 29). Durch die beispielhafte Aufzählung von körperlichen Speichermedien hat der Gesetzgeber klargestellt, dass es sich bei „physikalischen Informations- und Datenträgern“ nur um körperliche Gegenstände handelt.
Dagegen wird die Überlassung einer internetbasierten Nutzungsmöglichkeit nach dem vom Gesetzgeber vorausgesetzten Verständnis von der gesetzlichen Regelung nicht erfasst, weil der verwendete Begriff des „Trägers“ von Informationen und Daten nach dem allgemeinen Sprachgebrauch einen körperlichen Gegenstand bezeichnet.
bb) Dass der Gesetzgeber in Dienstleistungen der vorliegenden Art kein Inverkehrbringen von Geräten und Speichermedien sieht, ergibt sich auch aus der Gesetzessystematik, wie § 54c UrhG zeigt. Danach sind bestimmte Großgerätebetreiber wie Copyshops, Universitäten, Bibliotheken usw. zur Zahlung einer zusätzlichen Reprografieabgabe verpflichtet, weil sie mit dem Aufstellen der Geräte die Möglichkeit zur Vervielfältigung durch ihre Nutzer schaffen (Stieper, ZUM 2019,1, 5). Einer derartigen Regelung hätte es nicht bedurft, wenn bereits die kurzzeitige Zurverfügungstellung eines Ablichtungsgeräts ein Handeltreiben oder ein Importieren darstellen würde.
Ferner ist nach den Regelungen der §§ 54 ff UrhG vorgesehen, dass Geräte und Speichermedien hergestellt (§§ 54 Abs. 1, 54a Abs. 4 UrhG), aus- (§ 54 Abs. 2 UrhG), (wieder) eingeführt (§§ 54b, 54e UrhG), veräußert und in den Verkehr gebracht (§§ 54d, 54f UrhG) werden können bzw. dass mit ihnen gehandelt werden kann, §§ 54b, 54f UrhG. Dies setzt voraus, dass an Geräten und Speichermedien Eigentum und Besitz bestehen kann, was gemäß § 90 BGB nur bei körperlichen Gegenständen möglich ist. Diese Voraussetzung ist zwar in Bezug auf die einzelnen Hardwarekomponenten, derer sich der Cloud-Anbieter bedient – dem Server und dessen Bestandteilen – gegeben. Keine Sachen sind dagegen die einzelnen vom Anbieter der Cloud-Computing-Dienstleistungen seinen Kunden zugewiesenen digitalen Speicherplätze. Diese sind nicht körperlich abgetrennt oder abtrennbar und können weder hergestellt noch aus- oder (wieder) eingeführt werden. Ferner kann man mit diesen auch nicht handeln (siehe auch Hinweisbeschluss der Schiedsstelle beim DPM, 24. Oktober 2023 Az: Sch-Urh 11/22).
[...]
dd) Die Auslegung der Bergriffe „Geräte“ und „Speichermedien“ steht mit dem Unionsrecht in Einklang. Der Unionsgerichtshof hat in der Rechtssache C-433/20 (Austro-Mechana/Strato) das Unionsrecht zwar verbindlich dahingehend ausgelegt, dass ein Server, auf dem der Anbieter von Cloud-Computing-Dienstleistungen einem Nutzer Speicherplatz zur Verfügung stellt, ein beliebiger Träger i.S.d. Art. 5 Abs. 2 Buchstabe b) der RL 2001/29/EG ist (EuGH, Urt. v. 24.3.2022 – C-433/20 – Austro-Mechana Gesellschaft/Strato, GRUR 2022, 558 Rn. 33, beck-online). Zugleich betont der Unionsgerichtshof aber, dass sich die Mitgliedsstaaten zu vergewissern haben, dass die so gezahlte Abgabe, soweit im Rahmen dieses einheitlichen Prozesses mehrere Geräte und Speichermedien von ihr betroffen sind, nicht über den sich für die Rechtsinhaber durch die betreffende Handlung ergebenden etwaigen Schaden hinausgeht (EuGH aaO, Rn. 53). Eine nationale Regelung, nach der die Anbieter von Dienstleistungen der Speicherung im Rahmen des Cloud-Computing keinen gerechten Ausgleich für Sicherungskopien leisten müssen, steht mit dem Unionsrecht deswegen in Einklang, wenn der gerechte Ausgleich bereits auf andere Weise erreicht wird (EuGH, aaO., Rn. 54). Nichts anderes ergibt sich auch aus der von der Klagepartei zitierten Entscheidung des Unionsgerichtshofs in der Rechtssache C-265/16 (Urteil v. 29. November 2017 – VCAST/RTI).
Die Mitgliedsstaaten haben bei der Festlegung der verschiedenen Elemente des gerechten Ausgleichs ein weites Ermessen. Insbesondere bestimmen sie, welche Personen diesen Ausgleich zu zahlen haben, und legen dessen Form, Einzelheiten und Höhe fest (EuGH, Urteil vom 24.03.2022, C-433/20, GRUR 2022, 558 Rn. 41 – Austro-Mechana/Strato m.w.N. zur ständigen Rechtsprechung).
Der deutsche Gesetzgeber zieht derzeit in Ausübung des ihm durch das Unionsrecht zugebilligten weiten Ermessens nur Hersteller, Importeure und Händler von Geräten und Speichermedien (vgl. § 54 Abs. 1, 54b Abs. 1 UrhG) sowie die Betreiber von Vervielfältigungsgeräten (vgl. 54c UrhG) als Schuldner einer Vergütung heran. Da der Nutzer einer Cloud-Computing-Leistung stets auch ein Endgerät – wie etwa PC, Tablet oder Smartphone – benötigt, um Privatkopien erstellen zu können, ist die Vergütung nach der deutschen Gesetzessystematik unter Anknüpfung an diese Geräte zu entrichten.
Dem steht auch nicht entgegen, dass die Vervielfältigung ggf. auf dem Server des Cloud-Anbieters vorgenommen wird und nicht auf dem Endgerät, mit dem die Vervielfältigung veranlasst wird. Denn das Gesetz knüpft die Vergütungspflicht in § 54 Abs. 1 UrhG lediglich daran, dass das betreffende Gerät als Typ zur Vornahme gesetzlich privilegierter Vervielfältigungen benutzt wird. Demgemäß hat der Bundesgerichtshof auch für Scanner eine Vergütungspflicht angenommen, obwohl auch mit diesen Geräten die der Vorlage entnommene Information nicht gespeichert werden kann (GRUR 2002, 246, 247 – Scanner – zu § 54a UrhG a.F.). Daher überzeugt auch der Einwand der Klagepartei nicht, Vervielfältigungen von einer Cloud in eine andere Cloud oder Vervielfältigungen innerhalb einer Cloud könnten nicht sachgerecht erfasst werden. Denn diese Vervielfältigungen können aus den vorgenannten Gründen ohne Weiteres dem Gerät zugeordnet werden, mit dem sie bewirkt werden.
Soweit die Klagepartei einwendet, in diesen Fällen läge kein funktionales Zusammenwirken mit einem Gerät vor, legt sie einen zu engen Maßstab an. Die Klagepartei hat nicht dargetan, dass eine Vervielfältigung in einer Cloud auch ohne Nutzung eines der Vergütungspflicht unterliegenden Endgeräts (z.B. Smartphone, PC, Tablet) möglich ist. Der Befehl zur Vervielfältigung wird stets mit einem (bereits bepreisten) Gerät erteilt. Das gilt bei wertender Betrachtung für den dem Cloudbetreiber erteilten Auftrag der Synchronisation von Geräten und der Erstellung von Backups. Zum anderen gilt das auch für Filesharing, bei welchem ein Link den Zugriff ermöglicht. In diesem Fall wird der Befehl zur Vervielfältigung vom Empfänger des Links mit einem (bereits bepreisten) Gerät erteilt. Darin liegt eine den Vergütungsanspruch begründende Nutzung des bepreisten Geräts für privilegierte Vervielfältigungen (vgl. auch Hinweisbeschluss der Schiedsstelle beim DPM, 24. Oktober 2023 Az: Sch-Urh 11/22).
c) Die Beklagte ist als Cloudbetreiberin nicht Herstellerin von Geräten und Speichermedien i.S.v. § 54a UrhG.
Hersteller ist, wer die Geräte tatsächlich produziert hat (BGH, Urteil vom 22.02.1984 – I ZR 200/81GRUR 1984, 518, beck-online), wobei nur eine Herstellung im Bundesgebiet der Vergütungspflicht unterliegt. Die Klagepartei hat indes nichts dazu vorgetragen, dass die Beklagte im Bundesgebiet Speichermedien hergestellt hat.
Die Herstellung eines vergütungspflichtigen Speichermediums bzw. Geräts i.S.v. § 54 UrhG ist selbst dann nicht anzunehmen, wenn man in den Herstellungsprozess auch die von der Clouddienstleistung intendierten Handlungen ihrer Nutzer einbezieht, was im patentrechtlichen Kontext z.T. angenommen wird, um eine Umgehung der Schutzrechte zu verhindern (OLG Düsseldorf Urt. v. 23.3.2017 – 2 U 5/17, GRUR-RS 2017, 109826, beck-online). Danach liegt auch dann ein Herstellen vor, wenn Einzelteile einer Gesamtvorrichtung nicht vom Hersteller selbst zusammengesetzt, sondern einem Dritten geliefert werden, der sie vorhersehbar zu der (patentrechtlich) geschützten Gesamtvorrichtung zusammensetzt (BGH, Urteil vom 14.05.2019, GRUR 2019, 1171 Rn. 48, beck-online).
Vorliegend ist mit der Bereitstellung der Soft- und Hardware der Dropbox – was unstreitig ist – für den Nutzer noch nicht die Möglichkeit verbunden, Privatkopien urheberrechtlich geschützter Werke herzustellen. Dies setzt vielmehr voraus, dass der Cloud-Nutzer mit einem Endgerät (z.B. Tablet, Handy, PC oder Smartwatch) eine temporäre – nach der Definition internetbasierte – Verbindung zu der Cloud herstellt, mit deren Hilfe erst Privatkopien auf dem Cloud-Speicher erstellt werden können. Die – vom Patentsenat des Bundesgerichtshofs entwickelte – Rechtsprechung zur Berücksichtigung intendierter Handlungen von Nutzern ist auf die Vergütungspflichten nach § 53 ff UrhG nicht anwendbar.
Zum einen gewährt die Beklagte ihren Nutzern – unstreitig – keinen physischen Zugang zu ihrer Infrastruktur, sondern lediglich den internetbasierten Zugriff auf die D.-Website oder die D.-App, über die sie ihre Inhalte oder andere Funktionen abrufen können. Mit der Herstellung einer Internetverbindung zur Web-Site der Beklagten wird damit noch kein „neues“ (physisches) Speichermedium oder Gerät im Bundesgebiet hergestellt. Vielmehr entsteht eine Gerätekette aus dem im Bundesgebiet befindlichen Endgerät und dem in der Cloud vorgehaltenen Speicherplatz. Dieser befindet sich nach dem Vortrag der Klagepartei jedenfalls teilweise im Ausland.
Zum anderen führt eine Ausweitung des Begriffs „Herstellen“ i.S.d der Rechtsprechung in Patentsachen dazu, dass nicht das Speichermedium oder Gerät pauschal und einmalig bepreist wird. Vielmehr führte die Ausweitung des Begriffs zu dem systemwidrigen Ergebnis, dass jede Herstellung einer Verbindung die Vergütungspflicht neu auslösen würde, weil bei Herstellung der Verbindung jedes Mal erneut ein Gerät oder Speichermedium hergestellt würde.
Diese – am Nutzungsverhalten orientierte – Sichtweise ist mit dem pauschalen Charakter der Gerätebepreisung nicht in Einklang zu bringen. Der Gesetzgeber hat sich nämlich wegen der praktischen Schwierigkeiten bei der Identifizierung von urheberrechtlich relevanten Nutzungshandlungen bewusst für eine pauschale nutzungsunabhängige Geräteabgabe entschieden (BT-Drs. 16/1828, Seite 29). Die Ausweitung des Begriffs „Herstellen“ auf einzelne Nutzungshandlungen würde diesem gesetzgeberischen Ziel zuwiderlaufen. Zudem wäre eine erweiterte Auslegung des Begriffs „Herstellen“ auf einzelne Nutzungshandlungen eines Kunden der D. nicht mit den umfassenden Auskunftspflichten nach § 54f UrhG vereinbar, weil in diesem Fall über jede einzelne Nutzung Auskunft zu erteilen wäre.
d) Die Beklagte ist als Cloudbetreiberin nicht Importeurin von Geräten oder Speichermedien. Importeur ist nach § 54b Abs. 2 UrhG, wer die Geräte oder Speichermedien in den Geltungsbereich der Bundesrepublik Deutschland verbringt. Die Klagepartei hat einen Import von Geräten oder physischen Speichermedien nicht dargetan.
Die Einfuhr setzt ein Verbringen der Geräte und Speichermedien in den Geltungsbereich des Urheberrechtsgesetzes voraus. Die Auskunftspflichten zu Importen erstreckt sich daher nach § 54e UrhG auf Art und Stückzahl. § 54b Abs. 2 UrhG wurde – wortgleich – mit dem Gesetz zur Änderung des Patentgebührengesetzes und anderer Gesetze am 24.07.1995 (vgl. Loewenheim/Stieper in Schricker, Urheberrecht § 54 Rn. 2) in § 54 Abs. 2 UrhG aF erstmals geregelt. Der Gesetzesbegründung ist zu entnehmen, dass die Regelungen „zur Erfassung der Importe“ als „Ersatzinstrumente für den binnenmarktbedingten Wegfall der Einfuhrkontrollmitteilungen“ eingeführt wurden (Bt.Drs. 218/94, Seite 1). Die Gesetzeshistorie legt damit schon nahe, dass unter Einfuhr nur ein rein physischer Vorgang zu verstehen ist, zumal bei Abfassung des Gesetzes Internetdienstleistungen der gegenständlichen Art nicht bekannt waren.
Aus der Legaldefinition in § 54b Abs. 2 UrhG folgt, dass die Einfuhr nur auf physische Vorgänge beschränkt ist. Die dort verwendeten Begriffe („verbringen“, Freilager, Freizone, Zoll, Spediteur Frachtführer) setzen einen physischen Vorgang voraus.
Diese auf einen physischen Vorgang beschränkte Auslegung ergibt sich auch aus dem Wortlaut in § 54e UrhG, nach dem über die „Stückzahl“ der eingeführten „Gegenstände“ Mitteilung zu machen ist. Die angebotene Nutzungsmöglichkeit ist aber kein „Gegenstand“, der in Stückzahlen zu bemessen ist. Die angebotenen Dienstleistungen unterfallen deswegen auch nicht der Meldepflicht nach § 54e UrhG. § 54e UrhG knüpft nämlich die Meldepflicht an die Einfuhr von Geräten und Speichermedien an. (vgl. auch Hinweisbeschluss der Schiedsstelle beim DPM,24. Oktober 2023 Az: Sch-Urh 11/22, Ziffer 2 c)).
e) Die Beklagte ist nicht Händler. Händler ist, wer gewerblich die Geräte oder Speichermedien erwirbt und weiterveräußert, also Kaufverträge über diese Produkte abschließt (Loewenheim/Stieper in Schricker, Urheberrecht, 6 Aufl. 2020, § 54b Rn. 7; BGH, Urt. v. 10.11.2022, I ZR 10/22 -Rakuten-, GRUR 2023, 479, Rn. 14, beck-online).
Die zwischen der Beklagten und privaten Nutzern abgeschlossenen Cloud-Verträge beinhalten keine Veräußerung im Sinne eines (Weiter-) Verkaufs. Den Nutzern werden lediglich bestimmte Softwareelemente und begrenzter Speicherplatz für einen begrenzten Zeitraum, gegen Entgelt, zur Verfügung gestellt. Der zwischen der Beklagten und den Nutzern geschlossene Vertrag hat keinen kaufrechtlichen Charakter. Die Nutzer erhalten lediglich eine temporäre Speichermöglichkeit, nicht aber Eigentumsrechte.
[...]
bb) Anders als die Klagepartei meint, ist bei der Anfertigung von Kopien urheberrechtlich geschützter Werke in der Cloud das verwendete Endgerät (PC, Handy, Tablet) nicht bloß Zubehör. Zubehör sind Gegenstände, die nach der Verkehrsanschauung als Zubehör angesehen werden, § 97 Abs. 1 Satz 2 BGB. Hierunter fallen beispielsweise Druckerpatronen (vgl. Seiler in MMR 2004, XXVII).
Nach der Verkehrsanschauung sind Handys, Tablets, PCs und Smart-Watches nicht bloß Zubehör. Die Erstellung von Kopien in der Cloud setzt zum einen den internetbasierten Zugriff eines Endgeräts auf die Cloud voraus. Der Anstoß zur Anfertigung der Kopie erfolgt stets über ein Endgerät. Das Endgerät ist damit nicht bloßes Hilfsmittel, sondern zentraler Bestandteil des Kopiervorgangs selbst. Erst dadurch, dass der Nutzer mit Hilfe eines Endgeräts die Erstellung der Kopie veranlasst, erhält die Vervielfältigung die von § 53 UrhG vorausgesetzte Zweckrichtung als „Kopie zum privaten Gebrauch“. Auch der spätere Werkgenuss erfolgt wieder über ein Endgerät.
Soweit die Klagepartei meint, dass Kopien auf Servern im Ausland bzw. Kopien auf Servern der Beklagten im Inland bislang nicht bepreist werden, verfängt dies nicht. Eine Vergütungspflicht für die von der Beklagten betriebenen Servern ist vorliegend nicht streitgegenständlich.
cc) Nicht entscheidungserheblich ist in diesem Zusammenhang, dass der B.KOM e.V. nicht zur Anhebung der Vergütungssätze für Geräte und Speichermedien wegen der Cloudnutzung bereit ist. Die Höhe der Vergütungssätze für Speichermedien und Geräte muss angemessen sein. Die Überprüfung der Angemessenheit erfolgt im Streitfall durch die Gerichte. Den Gesamtverträgen kommt lediglich Indizwirkung zu. Nachdem der gerechte Ausgleich von den Endkunden zu tragen ist, werden Hersteller, Importeure und Händler nicht dadurch benachteiligt, dass der gerechte Ausgleich über eine Geräteabgabe hergestellt wird. Es ist Sache der Vergütungsschuldner, die Geräteabgabe in den Kaufpreis einzukalkulieren.
dd) Dass die Gesamtvertragsparteien in den Gesamtverträgen eine Vergütung für Server nicht vereinbart haben, ist ebenfalls nicht entscheidungserheblich. Ob ein Vergütungsanspruch besteht, richtet sich ausschließlich nach den §§ 54 ff. UrhG.
114
c) Entgegen der Auffassung der Klagepartei gebietet somit auch die Verpflichtung zur Gewährung eines gerechten Ausgleichs aus Art. 5 Abs. 2 Buchstabe b) der RL 2001/29/EG und die daraus resultierende Ergebnispflicht nicht zwingend eine Auslegung dahin, dass es sich bei Clouds um Geräte oder Speichermedien handelt, die nach §§ 54 ff. UrhG gesondert zu vergüten sind.
Im Übrigen weist die Beklagte zutreffend darauf hin, dass die Verpflichtung des nationalen Gerichts, bei der Auslegung der einschlägigen Bestimmungen seines nationalen Rechts auf den Inhalt der Richtlinie abzustellen, ihre Grenzen findet, wenn eine solche Auslegung dazu führt, dass einem einzelnen eine in einer nicht umgesetzten Richtlinie vorgesehene Verpflichtung entgegengehalten wird (EuGH, Urt. vom 26.09.1996, LMRR 1996, 59, beck-online). Eine die Gesetzesbindung des Richters überschreitende Auslegung ist auch durch den Grundsatz der Unionstreue nicht zu rechtfertigen (BVerfG ZIP 2013, 924 Rn. 32; NJW 2012, 669 Rn. 46 f.). Ebenso ist eine unmittelbare Wirkung der Richtlinie ausgeschlossen, wenn – wie hier – eine staatliche Verpflichtung aktiviert wird, die unmittelbar im Zusammenhang mit der Verpflichtung eines privaten Dritten steht (Calliess/Ruffert/Ruffert, 6. Aufl. 2022, AEUV Art. 288 Rn. 64).
Aus dem Unionsrecht lässt sich im Übrigen eine Pflicht zur Erhebung einer Vergütung bei Cloudbetreibern nicht ableiten, wie der Unionsgerichtshof zuletzt entschieden hat. Wie ausgeführt haben die Mitgliedsstaaten einen weiten Ermessensspielraum bei der Umsetzung der Richtlinie. Durch die umfassende Vergütungspflicht von Geräten und Speichermedien, die für die Nutzung des Cloudspeichers notwendige Voraussetzung sind, hat der Gesetzgeber dies Spielraum unionrechtskonform ausgeschöpft (EuGH, Urteil vom 24.03.2022, C-433/20, GRUR 2022, 558 Rn. 54, beck-online).
Die EU-Kommission hat eine Geldbuße gegen Apple über 1,8 Mrd. Euro wegen Kartellrechtsverstößen durch die App-Store-Vorschriften für Musikstreaming-Anbieter verhängt.
Die Pressemitteilung der EU-Kommission: Kommission verhängt Geldbuße in Höhe von 1,8 Mrd. EUR gegen Apple wegen kartellrechtswidriger App-Store-Vorschriften für Musikstreaming-Anbieter
Die Europäische Kommission hat gegen Apple wegen Missbrauchs seiner beherrschenden Stellung auf dem Markt für den über seinen App Store laufenden Vertrieb von Musikstreaming-Apps an iPhone- und iPad-Nutzer („iOS-Nutzer“) eine Geldbuße in Höhe von über 1,8 Mrd. EUR verhängt. Insbesondere stellte die Kommission fest, dass Apple App-Entwickler Beschränkungen auferlegte, die sie daran hinderten, iOS-Nutzer über alternative und billigere Musikabonnements zu informieren, die außerhalb der App zur Verfügung stehen. Das verstößt gegen das EU-Kartellrecht.
Zuwiderhandlung
Apple ist derzeit der einzige Anbieter eines App Store, in dem Entwickler ihre Anwendungen an iOS-Nutzer im gesamten Europäischen Wirtschaftsraum (EWR) vertreiben können. Apple kontrolliert alle Aspekte der iOS-Nutzererfahrung und legt die Geschäftsbedingungen fest, die Entwickler einhalten müssen, wenn sie im App Store präsent sein und iOS-Nutzer im EWR erreichen möchten.
Die Untersuchung der Kommission hat ergeben, dass Apple es Entwicklern von Musikstreaming-Apps untersagt, iOS-Nutzer umfassend über alternative, billigere Musikabonnements zu informieren, die außerhalb der App verfügbar sind, und Hinweise dazu zu geben, wie solche Angebote abonniert werden können. Die entsprechenden Bestimmungen verbieten den App-Entwicklern u. a. Folgendes:
- Information der iOS-Nutzer in den Apps der Entwickler über die Preise von Abonnements, die außerhalb der App im Internet verfügbar sind
- Information der iOS-Nutzer in den Apps der Entwickler über die Preisunterschiede zwischen In-App-Abonnements (die über den „In-App“-Kaufmechanismus von Apple abgeschlossen werden) und anderswo abgeschlossenen Abonnements
- Einbau von Links in ihre Apps, die iOS-Nutzer zur Website des jeweiligen App-Entwicklers führen, auf der alternative Abonnements angeboten werden. App-Entwickler konnten sich auch nicht an eigene, neu geworbene Nutzer wenden (z. B. per E-Mail), um sie nach Einrichtung des Nutzerkontos über Preisalternativen zu informieren.
Die Kommission befindet in ihrem heutigen Beschluss, dass die in Rede stehenden Bestimmungen von Apple unlautere Handelsbedingungen darstellen und gegen Artikel 102 Buchstabe a des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verstoßen. Die Bestimmungen sind weder notwendig noch angemessen, um die geschäftlichen Interessen von Apple in Bezug auf den App Store auf intelligenten mobilen Apple-Geräten zu schützen. Sie wirken sich nachteilig für die iOS-Nutzer aus, da sie fundierte und effiziente Entscheidungen darüber verhindern, wo und wie die Nutzer Musikstreaming-Abonnements für ihr Gerät erwerben wollen.
Wegen des Verhaltens von Apple, das fast zehn Jahre andauerte, könnten viele iOS-Nutzer erheblich höhere Preise für Musikstreaming-Abonnements gezahlt haben, denn Apple verlangte von den Entwicklern hohe Provisionen, die über höhere Abopreise für ein und denselben Dienst im App Store von Apple letztlich an die Verbraucher weitergegeben wurden. Die in Rede stehenden Bestimmungen von Apple haben durch Beeinträchtigung der Nutzererfahrung auch nicht-monetären Schaden verursacht: iOS-Nutzer mussten entweder eine aufwendige Suche auf sich nehmen, um zu einschlägigen Angeboten außerhalb der App zu gelangen, oder sie haben nie ein Abo abgeschlossen, da sie ohne Hinweise nicht das richtige finden konnten.
Das Bundeskartellamt prüft, ob Microsoft eine überragende marktübergreifenden Bedeutung für den Wettbewerb nach § 19a GWB hat.
Die Pressemitteilung des Bundeskartellamtes: Prüfung Microsofts marktübergreifender Bedeutung
Das Bundeskartellamt hat am 28. März 2023 ein Verfahren gegen Microsoft eingeleitet, um zu prüfen, ob dem Unternehmen eine überragende marktübergreifende Bedeutung für den Wettbewerb zukommt.
Grundlage des Verfahrens sind die Befugnisse, die das Bundeskartellamt im Rahmen der erweiterten Missbrauchsaufsicht über große Digitalkonzerne Anfang 2021 erhalten hat (§ 19a GWB). Danach kann die Behörde in einem zweistufigen Verfahren Unternehmen, die eine überragende marktübergreifende Bedeutung für den Wettbewerb haben, bestimmte wettbewerbsgefährdende Praktiken untersagen.
Eingeleitet hat das Bundeskartellamt gegen Microsoft zunächst die erste Stufe, d.h. ein Verfahren zur Feststellung der marktübergreifenden Bedeutung. Ein Anhaltspunkt für eine solche Position kann das Vorliegen eines digitalen Ökosystems sein, das sich über verschiedene Märkte erstreckt. Damit verbundene Machtstellungen sind von anderen Unternehmen oft nur schwer angreifbar.
Andreas Mundt, Präsident des Bundeskartellamtes: „Microsoft hat mit Windows und den Office-Produkten traditionell eine sehr starke Stellung bei Betriebssystemen und Büro-Software. Darauf aufbauend hat es sein Produktangebot sowohl für Unternehmenskunden als auch für Verbraucherinnen und Verbraucher ständig erweitert. In jüngerer Zeit sehen wir eine stark gewachsene Bedeutung der Cloud-Dienste Azure und OneDrive, die vielfach mit anderen Microsoft-Anwendungen verbunden sind, sowie den durchschlagenden Erfolg von Teams, einer Software für Videokonferenzen und zum gemeinsamen Arbeiten. Darüber hinaus ist Microsoft in weiteren Bereichen wie dem Gaming durch die Xbox, Karrierenetzwerken mit dem Dienst LinkedIn oder der Internet-Suche mit der Suchmaschine Bing tätig und machte zuletzt mit der Integration von KI-Anwendungen auf sich aufmerksam. Angesichts dessen gibt es gute Gründe zu prüfen, ob Microsoft eine überragende marktübergreifende Bedeutung zukommt. Eine solche Feststellung würde es uns erlauben, etwaige wettbewerbsgefährdende Verhaltensweisen frühzeitig aufzugreifen und zu untersagen.“
Ein Verfahren zur Untersuchung konkreter Verhaltensweisen Microsofts ist mit der heutigen Entscheidung zur Verfahrenseinleitung noch nicht verbunden. Soweit sich aufgrund von Beschwerden oder sonstigen Hinweisen Anhaltspunkte für potentiell wettbewerbsgefährdende Praktiken Microsofts ergeben, wird hierüber – auch in Abstimmung mit der Europäischen Kommission und ggf. weiteren Wettbewerbsbehörden – gesondert zu entscheiden sein.
Das Bundeskartellamt hat eine überragende marktübergreifende Bedeutung für den Wettbewerb bereits in Bezug auf die Unternehmen Alphabet/Google (vgl. Pressemitteilung vom 5. Januar 2022) und Meta rechtskräftig festgestellt (vgl. Pressemitteilung vom 4. Mai 2022). Amazon hat die Verfügung, mit der das Bundeskartellamt eine entsprechende Feststellung getroffen hat, angefochten. Das Beschwerdeverfahren ist vor dem Bundesgerichtshof anhängig (vgl. Pressemitteilung vom 14. November 2022). Die Prüfung, ob dem Apple-Konzern eine solche Stellung zukommt, ist weit fortgeschritten (vgl. Pressemitteilung vom 21. Juni 2021).
OLG Karlsruhe
Beschluss vom 07.09.2022 15 Verg 8/22
Das OLG Karlsruhe hat entschieden, dass US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen sind.
Aus den Entscheidungsgründen: b) Das Angebot der Beigeladenen ist auch nicht auszuschließen, weil ihr Angebot von den Anforderungen der Antragsgegnerinnen an Datenschutz und IT-Sicherheit abweicht.
aa) Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird (OLG Düsseldorf, Beschluss vom 26.08.2018, Verg 23/18, juris Rn. 71; KG, Beschluss vom 21.11.2014, Verg 22/13, juris, Rn. 36). Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen (OLG Düsseldorf, a.a.O.; KG, a.a.O.; OLG Frankfurt a.M., Beschluss vom 16.06.201, 11 Verg 3/15, juris, Rn. 82; OLG Brandenburg, Beschluss vom 20.11.2012, Verg W 10/12, juris Rn. 21).
bb) Die Vergabeunterlagen verlangten die softwaretechnische Einhaltung des beigefügten DS-GVO-Vertragsentwurfs (4.1.1. lit. c der Vergabeunterlagen). Weiter heißt es, „die Einzelheiten ergeben sich aus dem Leistungsverzeichnis und dem Lastenheft der Vergabeunterlagen.“ Im Lastenheft heißt es unter 2.8 „Erfüllung der Anforderungen aus der DS-GVO und dem BDSG, insbesondere
- Erfüllung der datenschutzrechtlichen Grundsätze, Art. 5, 25 DS-GVO (insbesondere Datenminimierung, Datenschutz durch Technikgestaltung, Datenschutz durch datenschutzfreundliche Voreinstellungen)
- Umsetzung ausreichender technischer und organisatorischer Maßnahmen (Art. 32 DS-GVO) oder anderer geeigneter Garantien (z.B. Zertifizierung nach Art. 42 DS-GVO); Möglichkeit zur Vorortprüfung des Auftragnehmers muss gegeben sein.“
Im Lastenheft weisen die Antragsgegnerinnen darauf hin, dass die Anforderungen an die Leistungen als zum Ausschluss führende A-Kriterien und bewertungsrelevante B-Kriterien ausgestaltet sind. Danach ist allein die softwaretechnische Einhaltung des DS-GVO-Vertragsentwurfs Ausschlusskriterium (Lastenheft lfd. Nr. 19), während die DS-GVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung (Lastenheft lfd. Nr. 20) und die Vorgabe, wonach die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden, bei dem kein Subdienstleister / Konzernunternehmen in Drittstaaten ansässig ist (Lastenheft lfd. Nr. 21), als B-Kriterien ausgestaltet.
Durch die Unterzeichnung der von den Antragsgegnerinnen vorgegebenen DS-GVO-Verträgen hat die Beigeladene erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A. S.à.r.l., L., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Zudem hat die Beigeladene erklärt, dass die A. S.à.r.l., L. ihr gegenüber zugesichert habe, dass alle Daten der Beigeladenen in Deutschland verarbeitet werden und in der mündlichen Verhandlung vor dem Senat zudem bestätigt, dass sie bis zur Angebotsverwirklichung sämtliche intern notwendigen Verträge mit A. schließen wird, die ihre Zusagen, wie sie im Angebot gemacht werden, umsetzen. Im Sinne einer solchen bindenden Zusicherung haben die Antragsgegnerinnen die Erklärungen der Beigeladenen in den Vergabeunterlagen auch verstanden. Auf dieses Leistungsversprechen dürfen die Antragsgegnerinnen vertrauen.
(1) Zweifel mussten die Antragsgegnerinnen nicht deshalb haben, weil A. Verträge im Allgemeinen unter Einbeziehung der A. DPA abschließt. Die A. DPA waren nicht Gegenstand des Angebots der Beigeladenen. Die Verträge mit A. waren nach den Vergabeunterlagen nicht vorzulegen und lagen dem Angebot auch nicht bei. Folglich bestand für die Antragsgegnerinnen keine Veranlassung, an den im Leistungsversprechen gemachten Zusicherungen zu zweifeln, weil die A. DPA möglicherweise datenschutzrechtliche Defizite aufweisen könnten, wie dies die Vergabekammer aufgezeigt hat oder weil deren Formulierung als dreiseitige Vereinbarung, in die auch die A. Inc., USA, einbezogen ist, Zweifel an der Einhaltung der DS-GVO begründen könnten. Aufgrund des im Angebot beschriebenen Leistungsversprechens und den abgegebenen Garantien in Bezug auf die konkrete Auftragsdurchführung können die Antragsgegnerinnen davon ausgehen, dass die Beigeladene sich hieran hält und ihre Verträge mit A. entsprechend gestaltet, ungeachtet etwaiger Bestimmungen in den als AGB ausgestalteten A. DPA. Die Beigeladene hat folglich dafür Sorge zu tragen, dass sie ihre Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt.
(2) Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.
(3) Die erstmals am Schluss der mündlichen Verhandlung vor dem Vergabesenat von der Antragstellerin erhobene Rüge, die Beigeladene setze C. ein, wobei von A. Daten in die USA übertragen würden, auch werde die IP-Adresse in die USA übertragen, was die Beigeladene bestritten hat, ist wegen des im Vergabenachprüfungsverfahren im Interesse der Auftraggeber und der Allgemeinheit an einer raschen Auftragsvergabe geltenden Beschleunigungsgrundsatzes unbeachtlich. Weshalb die Antragstellerin dies nicht hätte früher rügen können, hat sie nicht nachvollziehbar erklärt. Es ist nicht davon auszugehen, dass die Recherche besonders aufwendig war, denn es genügte eine Eingabe in die R.-APP, um diese Informationen zu erhalten, wie die Antragstellerin erklärt hat. Der behauptete Verstoß gegen die DS-GVO wegen einer Datenübermittlung in die USA war bereits Kernargument des Rügeschreibens der Antragstellerin vom 09.05.2022.
Selbst wenn man den Vortrag als zulässig erachten würde, wird das Leistungsversprechen der Beigeladenen damit nicht in Zweifel gezogen. Denn daraus lässt sich nicht schließen, dass die Verwendung von C. und die Übermittlung der IP-Adresse in die USA Teil der den Antragsgegnerinnen angebotenen Leistung ist.
(4) Da die Antragsgegnerinnen folglich nicht davon ausgehen mussten, dass die personenbezogenen Gesundheitsdaten von der Beigeladenen im Rahmen der Vertragserfüllung in ein Drittland übermittelt werden, bedurfte es der Durchführung eines Transfer Impact Assessments nicht. Dessen Fehlen stellt keine Abweichung von den Ausschreibungsbedingungen dar.
(5) Im Hinblick auf das Versprechen der Beigeladenen, dass die Daten ausschließlich in Deutschland verarbeitet werden, kommt es nicht darauf an, ob die Beigeladene begleitende organisatorische und technische Maßnahmen, insbesondere auch im Hinblick auf eine sichere Verschlüsselung, zusagte, die erforderlich sind, damit die Übermittlung von Daten in die USA im Einklang mit den Bestimmungen der DS-GVO steht.
Allerdings weist der Senat darauf hin, dass die Vergabekammer, die einen anderen rechtlichen Ansatz wählte und für die es daher für die Einhaltung der DS-GVO unter anderem auf eine effiziente Verschlüsselungstechnik ankam, die von der Beigeladenen als geheimhaltungsbedürftig gekennzeichneten Angaben nicht hätte unberücksichtigt lassen dürfen. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung (wegen der Einzelheiten: BGH, Beschluss vom 31.01.2017, X ZB 10/16, juris) Rechnung zu tragen.
c) Die Antragsgegnerinnen haben nicht gegen ihre Aufklärungspflicht nach § 60 Abs. 1 VgV verstoßen. Sie haben, weil die Beigeladene im zurückversetzten Verfahren teilweise erheblich günstigere Preise anbot als im ursprünglichen Vergabeverfahren, die Preise aufgeklärt. Die Preisprüfung erstreckt sich darauf, ob der angebotene Gesamtpreis im Verhältnis zur Leistung ungewöhnlich oder unangemessen niedrig ist und zur Leistung in einem Missverhältnis steht (vgl. OLG Düsseldorf, Beschluss vom 08.06. 2016, VII-Verg 57/15, juris). Eine darauf gerichtete Preisprüfung haben die Antragsgegnerinnen vorgenommen. Die Erklärungen der Beigeladenen und die hierzu vorgelegten Unterlagen haben die Antragsgegnerinnen als zufriedenstellend bewertet und dies in den Vergabeunterlagen nachvollziehbar dargestellt und dokumentiert. Ergänzend wird zur Vermeidung von Wiederholungen auf die zutreffenden Ausführungen der Vergabekammer Bezug genommen. Folglich ist das Angebot der Beigeladenen nicht nach § 60 Abs. 3 VgV von der Wertung auszuschließen.
