Skip to content

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: SCHUFA-Scoring ist eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO soweit Score maßgeblich für Kreditgewährung oder Vertragsschluss ist

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)


Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]


Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwältin: Anforderung von EncroChat-Daten aus Frankreich durch deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform

EuGH-Generalanwältin
Schlussanträge vom 26.10.2023
C-670/22
Staatsanwaltschaft Berlin - EncroChat


Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die Anforderung von EncroChat-Daten aus Frankreich durch eine deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
Generalanwältin Ćapeta: Eine Staatsanwaltschaft kann eine Europäische Ermittlungsanordnung (EEA) zur Übermittlung von Beweismitteln, die bereits in einem anderen Mitgliedstaat erhoben wurden, erlassen

Dies ist der Fall, wenn nach dem für diese Staatsanwaltschaft geltenden nationalen Recht in einem
vergleichbaren innerstaatlichen Fall eine Übermittlung angeordnet werden kann. In einem solchen Fall darf die Behörde, die eine EEA erlässt, die Rechtmäßigkeit der Erhebung dieser Beweismittel im Vollstreckungsmitgliedstaat nicht prüfen.

EncroChat war ein verschlüsseltes Telekommunikationsnetz, das seinen Nutzern nahezu vollständige Anonymität bot. Das Gerät verfügte über keine Kamera, kein Mikrofon, kein GPS und keinen USB-Anschluss; Nachrichten konnten automatisch gelöscht werden und Nutzer konnten nach der Verwendung eines speziellen PIN-Codes oder nach der wiederholten Eingabe eines falschen Passworts sofort alle Daten auf dem Gerät löschen. Durch eine gemeinsame französisch-niederländische Ermittlungsoperation wurde eine Trojaner-Software entwickelt, die über ein simuliertes Update auf den Endgeräten installiert wurde. EncroChat-Nutzer in 122 Ländern waren von dieser Überwachung betroffen, darunter ca. 4 600 Nutzer in Deutschland. Eine deutsche Staatsanwaltschaft erließ mehrere EEAs mit dem Ersuchen, abgefangene Daten für Strafverfahren im Zusammenhang mit dem Verdacht des unerlaubten Handels mit Betäubungsmitteln durch nicht identifizierte Personen, die verdächtigt wurden, einer organisierten kriminellen Vereinigung anzugehören, verwenden zu dürfen. Ein französisches Strafgericht genehmigte die Europäischen Ermittlungsanordnungen und übermittelte die angeforderten Daten. Daraufhin führte
die deutsche Staatsanwaltschaft Ermittlungen gegen individualisierte EncroChat-Nutzer durch. Der Angeklagte in der vorliegenden Rechtssache wurde auf der Grundlage der aus Frankreich erhaltenen Beweismittel angeklagt.

Beanstandungen strafrechtlicher Verurteilungen, die als Folge abgefangener EncroChat-Daten ergangen sind, schlagen hohe Wellen quer durch europäische Höchstgerichte, wobei der Gerichtshof keine Ausnahme darstellt.

Das deutsche Landgericht, bei dem das hier in Rede stehende Strafverfahren anhängig ist, fragt den Gerichtshof, ob die fraglichen Europäischen Ermittlungsanordnungen unter Verstoß gegen die EEA-Richtlinie erlassen worden seien.

In ihren heutigen Schlussanträgen weist Generalanwältin Tamara Ćapeta darauf hin, dass eine Europäische Ermittlungsanordnung nur erlassen werden könne, wenn die darin enthaltene Ermittlungsmaßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. In der vorliegenden Rechtssache handele es sich bei einem vergleichbaren innerstaatlichen Fall um einen solchen, in dem Beweismittel innerhalb Deutschlands von einem Strafverfahren in ein anderes übermittelt würden. Da die EEA-Richtlinie es einer in einem bestimmten Fall zuständigen Staatsanwaltschaft erlaube, eine Europäische Ermittlungsanordnung zu erlassen, und das deutsche Recht offenbar nicht verlange, dass ein Gericht eine vergleichbare nationale Übermittlung genehmige, ist die Generalanwältin der Auffassung, dass die deutsche Staatsanwaltschaft befugt gewesen sei, die in Rede stehenden Europäische Ermittlungsanordnung zu erlassen. Mit anderen Worten verlange das Unionsrecht nicht, dass solche Anordnungen von einem Gericht erlassen würden.

Die Generalanwältin stellt ferner fest, dass die Überwachung des Telekommunikationsverkehrs von französischen Gerichten genehmigt worden sei und die deutschen Behörden diesem Verfahrensschritt deshalb denselben Stellenwert beimessen sollten, den sie ihm innerstaatlich beimessen würden. Dies wäre auch dann der Fall, wenn ein deutsches Gericht in einem konkreten Verfahren anders entscheiden würde.

Schließlich richte sich die Zulässigkeit von möglicherweise unter Verstoß gegen Unionsrecht erlangten Beweismitteln nicht nach dem Unionsrecht, sondern nach nationalem Recht, sofern die durch die Unionsrechtsordnung garantierten Grundrechte gewahrt würden.


Die vollständigen Schlussanträge finden Sie hier:

BVerfG: Verfassungsbeschwerde gegen Auswertung und Verwertung von EncroChat-Daten im Strafverfahren unzulässig - keine Entscheidung über verfassungsrechtliche Fragen

BVerfG
Beschluss vom 09.08.2023
2 BvR 558/22


Das BVerfG hat im vorliegenden Fall entschieden, dass die Verfassungsbeschwerde gegen die Auswertung und Verwertung von EncroChat-Daten im Strafverfahren unzulässig ist und sich nicht näher mit den verfassungsrechtlichen Fragen im Zusammenhang mit Verwertung von EncroChat-Daten befasst.

Die Pressemitteilung des Bundesverfassungsgericht:
Unzulässige Verfassungsbeschwerde gegen strafrechtliche Verurteilung nach Auswertung übermittelter

Mit heute veröffentlichtem Beschluss hat die 3. Kammer des Zweiten Senats des Bundesverfassungsgerichts eine Verfassungsbeschwerde gegen eine strafrechtliche Verurteilung nicht zur Entscheidung angenommen, bei der sich das Landgericht maßgeblich auf die im Wege internationaler Rechtshilfe an deutsche Ermittlungsbehörden übermittelten Daten von Mobiltelefonen des Anbieters EncroChat stützte. Die Verfassungsbeschwerde ist unzulässig, weil der Beschwerdeführer den Subsidiaritätsgrundsatz nicht gewahrt und eine Grundrechtsverletzung nicht substantiiert dargetan hat.

Mit sieben weiteren, nicht veröffentlichten Beschlüssen vom 9. August 2023 hat die 3. Kammer des Zweiten Senats ähnlich gelagerte Fälle nicht zur Entscheidung angenommen (Az. 2 BvR 2005/22, 2 BvR 2022/22, 2 BvR 2024/22, 2 BvR 2025/22, 2 BvR 2048/22, 2 BvR 594/23 und 2 BvR 867/23).

Über die mit der Verwertbarkeit der EncroChat-Daten verbundenen verfassungsrechtlichen Fragen ist damit in der Sache nicht entschieden. Beim Bundesverfassungsgericht sind derzeit fünf weitere Verfassungsbeschwerden zur Verwertbarkeit von EncroChat-Daten anhängig (Az. 2 BvR 684/22, 2 BvR 1832/22, 2 BvR 2143/22, 2 BvR 64/23 und 2 BvR 1008/23).

Sachverhalt:

Das Unternehmen EncroChat bot seinen Nutzern Krypto-Mobiltelefone mit einer besonderen Softwareausstattung an. Nach bisherigen Erkenntnissen der Strafverfolgungsbehörden wurden die Mobiltelefone in großem Maße und vorwiegend europaweit zur Begehung schwerer Straftaten genutzt. Von April bis Juni 2020 erfassten französische Ermittlungsbehörden die über den in Roubaix befindlichen Server des Unternehmens laufenden Daten. Die zu Mobiltelefonen auf deutschem Staatsgebiet anfallenden Daten übermittelten die französischen Behörden im Wege internationaler Rechtshilfe den deutschen Ermittlungsbehörden zur Verwendung in Strafverfahren.

Am 23. Juli 2021 verurteilte das Landgericht Rostock den Beschwerdeführer wegen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in fünf Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren. Seine Überzeugung von der Täterschaft stützte das Landgericht auf aus seiner Sicht dem Beschwerdeführer zuzuordnende Chat-Verläufe, die über den Anbieter EncroChat geführt wurden. Die dagegen gerichtete Revision verwarf der Bundesgerichtshof mit Beschluss vom 8. Februar 2022.

Mit seiner Verfassungsbeschwerde wendet sich der Beschwerdeführer gegen die Entscheidungen des Landgerichts Rostock und des Bundesgerichtshofs. Er macht die Verletzung seines Grundrechts auf den gesetzlichen Richter aus Art. 101 Abs. 1 Satz 2 Grundgesetz (GG) sowie der europäischen Grundrechte aus Art. 7 und Art. 8 der Charta der Europäischen Union (GRCh) geltend. Die Verletzung des Rechts auf den gesetzlichen Richter begründet er damit, dass der Bundesgerichtshof zahlreiche Fragen zur Zulässigkeit und Verwertbarkeit der EncroChat-Daten dem Gerichtshof der Europäischen Union nicht vorgelegt habe. Die Art. 7 und Art. 8 GRCh seien verletzt, weil die französischen Behörden in großem Umfang EncroChat-Daten ausgespäht, gesammelt und hiernach an die deutschen Behörden weitergegeben hätten.

Wesentliche Erwägungen der Kammer:

Die Verfassungsbeschwerde ist unzulässig.

1. Hinsichtlich der behaupteten Verletzung von Art. 7 und Art. 8 GRCh hat der Beschwerdeführer den Subsidiaritätsgrundsatz nicht gewahrt.

Danach soll der gerügte Grundrechtsverstoß nach Möglichkeit schon im fachgerichtlichen Verfahren beseitigt werden. Im Strafverfahren verlangt der Grundsatz der Subsidiarität von einem Beschwerdeführer, der seine Grundrechte durch Verstöße des Tatgerichts verletzt sieht, diese im Revisionsverfahren so zu rügen, dass das Revisionsgericht in eine sachliche Prüfung der Rüge eintritt.

Vorliegend hat der Beschwerdeführer eine Verletzung von Art. 7 und Art. 8 GRCh nicht in zulässiger Weise mit der Revision gerügt. Er hat im Revisionsverfahren zu den Verfahrenstatsachen nicht ausreichend vorgetragen, um dem Revisionsgericht den Eintritt in die sachliche Prüfung der Beweisverwertung zu ermöglichen. Seinem Revisionsvortrag fehlt es insoweit an der Vorlage der vom Beschwerdeführer in Bezug genommenen Aktenteile.

2. In Hinblick auf Art. 101 Abs. 1 Satz 2 GG hat der Beschwerdeführer eine Grundrechtsverletzung nicht substantiiert dargetan.

Ein Rechtsuchender kann seinem gesetzlichen Richter dadurch entzogen werden, dass ein Gericht die Verpflichtung zur Vorlage an ein anderes Gericht außer Acht lässt. Die Nichteinleitung eines Vorlageverfahrens nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) kann eine der einheitlichen Auslegung bedürftige Frage des Unionsrechts der Entscheidung des gesetzlichen Richters – des Gerichtshofs der Europäischen Union – vorenthalten und damit das Ergebnis der Entscheidung beeinflussen. Für die unionsrechtliche Zuständigkeitsvorschrift des Art. 267 Abs. 3 AEUV prüft das Bundesverfassungsgericht nur, ob die Auslegung und Anwendung der Zuständigkeitsregel des Art. 267 Abs. 3 AEUV bei verständiger Würdigung der das Grundgesetz bestimmenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist.

Eine solche Konstellation vermag der Beschwerdeführer nicht aufzuzeigen. Es ist anhand des Beschwerdevortrags nicht erkennbar, dass der Bundesgerichtshof in unvertretbarer Weise von einer Vorlage an den Gerichtshof der Europäischen Union abgesehen hat. Die Vorlage an den Gerichtshof der Europäischen Union war offensichtlich nicht entscheidungserheblich. Die Beantwortung von europarechtlichen Fragen zur Rechtmäßigkeit der Erhebung, Übermittlung und Verwertung von EncroChat-Daten konnte keinen Einfluss auf die Revisionsentscheidung nehmen, weil der Bundesgerichtshof über die Rechtmäßigkeit der Beweisverwertung vorliegend nicht zu entscheiden hatte. Denn der Beschwerdeführer hat die Beweisverwertung durch das Landgericht mit der Revision nicht in zulässiger Weise gerügt.

3. Über die mit der Verwertbarkeit der EncroChat-Daten verbundenen verfassungsrechtlichen Fragen ist damit in der Sache nicht entschieden.



LG München: Weitergabe von Positivdaten an SCHUFA durch Telekommunikationsanbieter Telefonica / O2 verstößt gegen Art. 5 und Art. 6 DSGVO und ist rechtswidrig

LG München
Urteil vom 25.04.2023
33 O 5976/22


Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: SCHUFA-Scoring ist Profiling im Sinne der DSGVO und zur Speicherung der Restschuldbefreiung über 6 Monate hinaus

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.


Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

LAG Hamburg: Löschen betrieblicher Daten und E-Mails kann außerordentliche Kündigung rechtfertigen - das bloße Kopieren betrieblicher Daten ohne unzulässige Verwendung genügt nicht

LAG Hamburg
Urteil vom 17.11.2022
3 Sa 17/22


Das LAG Hamburg hat entschieden, dass das Löschen betrieblicher Daten und E-Mails eine außerordentliche Kündigung rechtfertigen kann. Das bloße Kopieren betrieblicher Daten ohne unzulässige Verwendung genügt jedoch nicht.

Aus den Entscheidungsgründen:
2. Die Klage ist begründet. Das Arbeitsverhältnis der Parteien ist weder durch die von der Beklagten ausgesprochene außerordentliche Kündigung vom 13. noch diejenige vom 14. Oktober 2020 beendet worden. Die außerordentlichen Kündigungen der Beklagten sind unwirksam. Es fehlt an einem wichtigen Grund i.S.v. § 626 BGB.

a) Das Vorliegen eines wichtigen Grundes für die außerordentlichen Kündigungen vom 13. und 14. Oktober 2020 wird nicht schon nach §§ 13, 4, 7 KSchG wegen Versäumung der dreiwöchigen Klagefrist fingiert. Der Kläger hat innerhalb der Klagefrist von 3 Wochen nach Zugang der angegriffenen Kündigungen am 13. bzw. 14. Oktober 2020 Kündigungsschutzklage am 19. Oktober 2020, die der Beklagten am 28. Oktober 2020 zugestellt wurde, an das Arbeitsgericht Hamburg erhoben (§ 253 Abs. 1 ZPO, § 46 Abs. 2 ArbGG).

b) Die außerordentlichen Kündigungen vom 13. und 14. Oktober 2020 sind unwirksam, da es an einem wichtigen Grund i.S.v. § 626 Abs. 1 BGB fehlt.

aa) Gemäß § 626 Abs. 1 BGB kann ein Arbeitsverhältnis von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist in Übereinstimmung mit der Rechtsprechung des Bundesarbeitsgerichts (vgl. nur BAG vom 17. Mai 1984, Az. 2 AZR 3/83, juris, Rn. 23; BAG vom 2. März 1989, Az. 2 AZR 280/88, juris, Rn. 56) zunächst zu fragen, ob ein bestimmter Sachverhalt an sich geeignet ist, einen wichtigen Grund für eine fristlose Kündigung zu bilden, und sodann eine umfassende einzelfallbezogene Interessenabwägung durchzuführen. Nach § 626 Abs. 2 BGB kann die Kündigung zudem nur innerhalb von zwei Wochen seit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt hat, ausgesprochen werden. Die Beklagte, die die Kündigung ausgesprochen hat, ist darlegungs- und beweisbelastet für alle Umstände, die als wichtige Gründe geeignet sein können.

Als wichtiger Grund ist neben der Verletzung vertraglicher Hauptpflichten auch die schuldhafte Verletzung von Nebenpflichten „an sich“ geeignet. Nach § 241 Abs. 2 BGB ist jede Partei des Arbeitsvertrags zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen ihres Vertragspartners verpflichtet. Diese Regelung dient dem Schutz und der Förderung des Vertragszwecks. Der Arbeitnehmer hat seine Arbeitspflichten so zu erfüllen und die im Zusammenhang mit dem Arbeitsverhältnis stehenden Interessen des Arbeitgebers so zu wahren, wie dies von ihm unter Berücksichtigung seiner Stellung und Tätigkeit im Betrieb, seiner eigenen Interessen und der Interessen der anderen Arbeitnehmer des Betriebs nach Treu und Glauben verlangt werden kann (BAG vom 8. Mai 2014, Az. 2 AZR 249/13, NZA 2014, 1258, Rn. 19 m.w.N.). Dem Arbeitnehmer ist es im Hinblick auf diese Pflicht zur Rücksichtnahme verwehrt, sich ohne Einverständnis des Arbeitgebers betriebliche Unterlagen oder Daten anzueignen, diese ersatzlos zu löschen oder für betriebsfremde Zwecke zu vervielfältigen. Verstößt der Arbeitnehmer rechtswidrig und schuldhaft gegen diese Vorgaben, kann darin ein wichtiger Grund i.S.d. § 626 BGB liegen. Ob eine außerordentliche Kündigung berechtigt ist, hängt insbesondere von der Motivation des Arbeitnehmers und möglichen nachteiligen Folgen für den Arbeitgeber ab (vgl. BAG vom 8. Mai 2014, Az. 2 AZR 249/13, NZA 2014, 1258, Rn. 19 m.w.N.).

In Anwendung dieser Grundsätze liegt für die ausgesprochenen Kündigungen ein wichtiger Grund i.S.d. § 626 BGB nicht vor:

bb) Die Kündigung vom 13. Oktober 2020 wird durch die Beklagte darauf gestützt, dass der Kläger mutwillig Projektdaten aus dem zentralen Dokumentmanagementsystem SharePoint gelöscht habe (so die Klagerwiderung vom 20. November 2020, dazu (1)). Die Beklagte hat hierzu vorgetragen, sie habe am 7. Oktober 2020 von ihrem IT-Administrator erfahren, dass eine größere Menge Daten von ihrer SharePoint-Plattform gelöscht worden sei. Sie, die Beklagte, habe eine interne Untersuchung initiiert, im Ausgangspunkt wegen der Löschvorgänge und der handelnden Personen. Hierbei habe der IT-Administrator festgestellt, dass der Kläger Daten von dem Firmen-Notebook aus aus mehreren SharePoint-Ordnern gelöscht habe. Der IT-Administrator habe 4.270 gelöschte Dateien ermittelt. Die Beklagte hat insoweit auf die als Anlage B3 vorgelegte Liste vom Kläger gelöschter Dateien verwiesen. Im weiteren Verlauf des Verfahrens hat die Beklagte die Kündigung auch gestützt auf die Übertragung von elektronischen Daten aus Projekt-Ordnern und administrativen Ordnern auf elektronische Datenträger des Klägers (Schriftsatz der Beklagten vom 28. Dezember 2020, Seite 18), wie sich dies aus dem Zwischenbericht der Firma H. vom 18. Dezember 2020 ergeben habe, sowie auf die Nichtherausgabe dieser geschäftlichen Daten an sie (Schriftsatz der Beklagten vom 31. August 2021, Seite 2, dazu (2)). Schließlich hat sie die Kündigung darauf gestützt, dass der Kläger Daten zum Restrukturierungsprojekt A. auf seine private E-Mail-Adresse weitergeleitet hat (Schriftsatz der Beklagten vom 31. August 2021, Seite 5, dazu (3)).

(1) Soweit die Beklagte die ausgesprochene Kündigung darauf stützt, dass der Kläger erforderliche betriebliche Dateien unberechtigt gelöscht und so ihrem Zugriff entzogen habe, ist ein solcher Sachverhalt grundsätzlich geeignet, einen wichtigen Grund für eine außerordentliche Kündigung abzugeben.

Die Beklagte hat hinsichtlich der durch den Kläger gelöschten Dateien auf die als Anlage B3 eingereichte Excel-Tabelle verwiesen. Dies ist für die Darlegung eines wichtigen Kündigungsgrundes allerdings nicht ausreichend. Diese Tabelle enthält eine Liste von 149 Dateien, die vom Kläger im Zeitraum 12. August 2020 bis 29. September 2020 gelöscht wurden, davon (nur) 18 Dateien, die am 28. oder 29 September 2020 gelöscht wurden, hinzu kommen zwei Dateien, die am 14. September 2020 gelöscht wurden. Ein substantiierter Vortrag dazu, dass der Kläger 4.270 Dateien gelöscht habe, liegt damit schon nicht vor. Allenfalls hinsichtlich der 20 Dateien, die im September 2020 gelöscht wurden, lässt sich aus den Dateinamen ein Bezug zu dem Tätigkeitsbereich des Klägers für die Beklagte insoweit herstellen, als es sich um Dateien handelt, die erstellte Unterlagen o.ä. beinhalten. So handelt es sich um pdf-Dateien, Excel-Tabellen oder PowerPoint-Präsentationen. Die Beklagte hat zu den Dateien – mit Ausnahme von 5 näher bezeichneten Dateien - nicht näher vorgetragen.

Zudem fehlt es auch hinsichtlich der Dateien aus der Tabelle Anlage B3 an jeglicher Darlegung der Beklagten, dass diese Daten, anders als der Kläger behauptet, in den Ordnern der Beklagten nicht mehr vorhanden gewesen sein sollten. Allein, dass der Kläger Dateien gelöscht hat, lässt darauf noch nicht zurückschließen. So fällt auf, dass es sich hinsichtlich der Dateien in den Zeilen 3 bis 19 um Dateien zu handeln scheint, die aus einem persönlichen Ordner des Klägers stammen. Wenn der Kläger sie dort löscht, heißt das nicht automatisch, dass sie bei der Beklagten nicht mehr vorliegen. Die Beklagte hat nicht erklären können, warum bei einigen Dateien in der Spalte G die Quelle businesspartner.sharepoint.com angegeben ist, für andere businesspartner-my.sharepoint.com.

Ohne nähere Kenntnis der Inhalte der Dateien lässt sich zudem nicht beurteilen, ob es sich tatsächlich, wie der Kläger vorträgt, um überholte Entwurfsversionen gehandelt hat. Zwar ist der Beklagten darin zuzustimmen, dass es ihrer Entscheidung obliegt, welche Dateien zu welchem Zweck benötigt werden und welche etwa früheren Versionen von Dokumenten für ihre weitere Beratungstätigkeit von Bedeutung sind. Selbst wenn der Kläger diese Entscheidungshoheit der Beklagten missachtete, folgt daraus allerdings nicht ohne weiteres die Eignung dieses Verhaltens als Grund für die sofortige Beendigung des Arbeitsverhältnisses. So ergibt sich jedenfalls kein fristloser Kündigungsgrund daraus, dass der Kläger eigene Entwürfe löscht, die etwa in der Beratung mit dem Kunden nicht zum Einsatz gekommen sind. Insoweit hätte es der Beklagten oblegen, im Detail vorzutragen, um was für Dateien es sich gehandelt hat und aus welchen Gründen diese für ihre Geschäftstätigkeit von besonderer Bedeutung gewesen sind und ihr aufgrund des Löschens durch den Kläger nicht mehr zugänglich waren. Sie hat aber weder dargelegt, dass diese Dateien in SharePoint nicht mehr vorhanden gewesen seien noch, dass die vom Kläger gelöschten Dateien, die wiederhergestellt wurden, inhaltlich nicht nur bereits überholte Fassungen dargestellt haben.

Soweit die Beklagte fünf Dateien näher bezeichnet hat, handelt es sich bei den C.-Dateien (Zeilen-Nr. 3, 4 und 5 der Anlage B3) eben um solche, die aus persönlichen Ordnern des Klägers stammen. Die Bedeutung dieser Dateien für die Geschäftstätigkeit der Beklagten erschließt sich aus dem Vortrag der Beklagten nicht, da die Beklagte nur kurz zu den Inhalten vorgetragen hat. Hinsichtlich der Datei aus Zeile 19 spricht die Angabe „…(003).pdf“ im Dateinamen dafür, dass es sich um eine mehrfach heruntergeladene/gespeicherte Fassung dieser Datei handelt. Die in Zeile 20 aufgeführte PowerPoint-Datei enthält, nach dem Dateinamen zu urteilen, Folien, die der Kläger als Teil einer Präsentation für den Kunden E. erstellt hat. Dass es sich dabei um Folien handelt, die anderweitig nicht vorhanden sind, hat die Beklagte nicht vorgetragen. Zu den Inhalten auch dieser Datei fehlt es an näherem Vortrag der Beklagten. Woraus sie schlussfolgert, der Kläger habe ein gesamtes Gutachten gelöscht (obwohl der von ihm zu verantwortende Teil nur 25 % des Gesamtgutachtens betragen habe), ist angesichts des Dateinamens auch nicht nachvollziehbar.

(2) Hinsichtlich des (nachgeschobenen) Kündigungsgrundes des unbefugten Kopierens von Daten durch den Kläger gilt nach Auffassung der Berufungskammer, dass das bloße Kopieren von Daten, ohne dass diese dem Zugriff der Arbeitgeberin entzogen oder anderweitig rechtswidrig verwendet werden, eine sofortige Beendigung des Arbeitsverhältnisses durch fristlose Kündigung wegen einer begangenen erheblichen Pflichtverletzung nicht zu begründen vermag. Es kommt insoweit auch nicht entscheidend darauf an, ob es sich um einen Kopiervorgang auf eigene Datenträger des Klägers handelt oder ihm diese von der Beklagten oder deren Kunden zur Verfügung gestellt wurden. Ob das unberechtigte Kopieren von Dateien auf einen Datenträger hinreichende Anhaltspunkte für den Verdacht liefert, es werde die unberechtigte Verwendung der Dateien angestrebt und der Kopiervorgang erfolge zu diesem Zweck, kann hier dahinstehen – eine Verdachtskündigung hat die Beklagte nicht ausgesprochen.

Der Schwerpunkt der Pflichtwidrigkeit, der einem Verhalten in diesem Zusammenhang das Gewicht eines wichtigen Grundes i.S.v. § 626 BGB für eine Tatkündigung verleiht, liegt darauf, dass kopierte Dateien unberechtigt weitergegeben und/oder verwendet werden (können), wenn sie im Zugriffsbereich des Arbeitnehmers verbleiben. Insoweit ist an sich geeigneter Grund für eine außerordentliche Kündigung, wenn der Arbeitnehmer entsprechende Kopien betrieblicher Dateien, die er in seinem Besitz hat, pflichtwidrig nicht an die Arbeitgeberin herausgibt.

Dass der Kläger seine Vertragspflichten dergestalt erheblich verletzt hat, hat die Beklagte allerdings nicht darlegen und beweisen können. Es hätte dazu bedurft, dass der Kläger die kopierten Daten aus dem Zugriffsbereich der Beklagten entfernt hätte – etwa durch Mitnahme der Datenträger. Dies hat der Kläger bestritten, er hat vorgetragen, dass er am 30. September 2020 die externe Festplatte wie die zwei USB-Speichersticks auf einem Regal im Teambüro hinterlassen habe. Hierzu wäre es Sache der Beklagten, die darlegungs- und beweisbelastet für das vorgeworfene Fehlverhalten ist, gewesen, aufzuklären und vorzutragen, wer sich wann nach Weggang des Klägers in dem Raum aufgehalten habe und dass sich die Speichermedien nicht dort hätten auffinden lassen, und entsprechend Beweis anzubieten. Die Beklagte hat insoweit nur vorgetragen, dass der Kläger die Speichermedien (bisher) nicht an sie herausgegeben habe (vgl. Schriftsatz vom 28. Dezember 2020, S. 8). Außerdem hat sie darauf hingewiesen, dass sie ihren Mitarbeitern keine Ablageflächen für persönliche Gegenstände zur Verfügung stelle, die von dem Kläger angeführten Regale gebe es in den Büroräumen der Beklagten nicht (Schriftsatz vom 31. August 2021, Seite 5). Allerdings ist das vom Kläger benannte Teambüro möbliert, es gibt jedenfalls Schränke mit Regalfächern darin. Damit ist die Beklagte ihrer Vortragslast in Bezug auf den vom Kläger vorgetragenen Rechtfertigungssachverhalt nicht ausreichend nachgekommen. Sie muss zwar nicht zu allen möglichen Orten, an denen eine Rückgabe der Speichermedien nebst Dateien an sie erfolgt sein könnte, im Einzelnen Stellung nehmen. Allerdings muss sie substantiiert den vom Kläger geleisteten konkreten Vortrag zu der von ihm behaupteten Rückgabe widerlegen und ggf. beweisen, da den kündigenden Arbeitgeber die Darlegungs- und Beweislast für den Kündigungsgrund einschließlich der vom Arbeitnehmer vorgetragenen Rechtfertigungsgründe trifft (vgl. BAG vom 17. März 2016, Az. 2 AZR 110/15, juris). Insoweit ist die Darlegungs- und Beweislast hier anders verteilt als in Bezug auf die Geltendmachung eines Herausgabeanspruchs, der der Arbeitgeberin hinsichtlich der betrieblichen Dateien zusteht und dessen Erfüllung der Arbeitnehmer darzulegen und zu beweisen hätte, wenn er den Einwand der Erfüllung des Anspruchs nach § 362 BGB geltend machen will.

(3) Unstreitig hat der Kläger Daten zum Restrukturierungsprojekt A. an seine private E-Mail-Adresse weitergeleitet. Auch dieser Umstand ist zwar an sich, nicht aber im vorliegenden Fall geeignet, eine außerordentliche Kündigung zu begründen. Dabei ist die Berufungskammer davon ausgegangen, dass der Kläger nicht befugt war, sich entsprechende Daten auf seine private Email-Adresse weiterzuleiten und daher seine vertraglichen Pflichten verletzt hat. Allerdings gibt es keine Anhaltspunkte dafür, dass der Kläger hiermit den Zweck verfolgte, der Beklagten zu schaden oder die Daten etwa für einen Wettbewerber zu nutzen. Der Kläger hat sich dahin eingelassen, es sei ihm um die Verfolgung der zwischen den Parteien bezogen auf dieses Projekt streitigen Bonusansprüche gegangen und er habe mit Ausnahme seines Rechtsanwaltes und des Arbeitsgerichts diese Dateien niemandem zugänglich gemacht. Da die Beklagte Gegenteiliges nicht vortragen und beweisen kann, geht insoweit die anzustellende Interessenabwägung zugunsten des Klägers aus.

Darauf, dass sich der Kläger, wie die Beklagte mit der Berufungsbegründung vorträgt (dort S. 16) vermutlich weitere Emails über vertrauliche Prozesse und Arbeitsabläufe, z.B. im Kontext der Corona-Pandemie, vermutliche Kundenbezüge zur G. GmbH oder auch andere Inhalte an seine vermutlich private E-Mail-Anschrift verschickt habe, lässt sich die hier ausgesprochene Tatkündigung nicht stützen. Soweit es auf Seite 28 der Berufungsbegründung weiter heißt, der Kläger habe sich augenscheinlich weitere Emails über vertrauliche Prozesse und Arbeitsabläufe z.B. im Kontext der Corona-Pandemie, vermutliche Kundenbezüge zur G. GmbH oder auch andere Inhalte an seine vermutlich private E-Mail-Anschrift verschickt, ist der Vortrag im Übrigen unsubstantiiert.

cc) Die weitere Kündigung vom 14. Oktober 2020 wird durch die Beklagte darauf gestützt, dass der Kläger pflichtwidrig E-Mails gelöscht hat. Sie hat hierzu auf die Anlage B4 verwiesen. Bei dieser Anlage handelt es sich um eine Tabelle mit 14.854 aufgeführten E-Mails. Allerdings gilt auch hier, dass der Verweis auf diese Tabelle für sich genommen nicht genügt, um einen wichtigen Grund für die ausgesprochene Kündigung darzulegen. So finden sich etwa ab Zeile 11168 Emails, die einen Zeitraum ab 2013 und älter (!) betreffen. Das Jahr 2020 betreffen immerhin etwa 500 Emails. Eine erhebliche Anzahl der gelöschten Emails betrifft allerdings bereits nach dem jeweiligen Betreff offenbar private Belange des Klägers. Ohne nähere Darlegungen ist daher nicht ansatzweise nachvollziehbar, aus welchem Grund und welche der vom Kläger gelöschten Nachrichten für die Tätigkeit der Beklagten noch von Bedeutung sein sollen. Soweit die Beklagte die Kündigung auf den Umstand stützt, dass der Kläger Emails gelöscht habe, hätte es ihr zum einen oblegen vorzutragen, dass es sich um betriebliche Emails gehandelt hat. Zum anderen hätte es der Beklagten oblegen, darzulegen, welchen Inhalt die von ihr benannten Emails hatten, damit beurteilt werden kann, ob der Kläger durch das Löschen der Emails seine Rücksichtnahmepflichten erheblich verletzt hat. Zudem hat auch hier der Kläger darauf hingewiesen, dass er die entsprechenden erforderlichen Informationen zu den jeweiligen Projektordnern abgelegt hat. Auch hierzu fehlt es an einer hinreichenden Widerlegung durch die Beklagte.

Die Beklagte hat aus der Vielzahl der Emails gemäß der Anlage B4 drei Emails konkret herausgegriffen. In zwei Fällen lässt sich aus der Betreffzeile „AW:…“ entnehmen, dass der Kläger hierdurch auf eine vorherige Email geantwortet hat. Die dritte Email betrifft nach der Betreffzeile „WG: AW: ….“ die Weiterleitung einer Antwort. Es ist aus diesen Angaben nicht ersichtlich, welche Bedeutung diese Emails für die Tätigkeit der Beklagten haben können oder welchen Inhalt sie hatten. Der Kläger hat hierzu erwidert, bereits der Titel „Infostand“ mache deutlich, dass es sich um eine bloße Abstimmung handele. Der Inhalt der Weiterleitungs-Email sei wahrscheinlich „zur Info“, hinsichtlich der Antwort-Email wahrscheinlich „danke für die Informationen“. Dem ist die Beklagte nicht substantiiert entgegengetreten. Auch in Bezug auf die Email zur Datenanfrage KPI Auftragsreichweite liegt eine substantiierte Erwiderung der Beklagten auf den Vortrag des Klägers, warum es sich nicht um einen relevanten Email-Inhalt handele, nicht vor.

Zwar steht, davon geht auch die Berufungskammer aus, im Ausgangspunkt der Beklagten das Recht zur Entscheidung zu, was mit den auf ihren Geschäftsbetrieb bezogenen Dateien und betrieblich veranlassten Emails passiert. Dennoch ist nicht jedes Löschen solcher Dateien und Emails als erhebliche Nebenpflichtverletzung anzusehen. Dies kann letztlich nur beurteilt werden, wenn man weiß, um welche Dateien es geht.

dd) Die von der Beklagten herangezogenen Entscheidungen anderer Landesarbeitsgerichte unterscheiden sich nach Auffassung der Berufungskammer maßgeblich von dem hier zugrunde zu legenden Sachverhalt. So betraf die Entscheidung des Hessischen LAG vom 5. August 2013 (Az. 7 Sa 1060/10) eine dem dortigen Kläger vorgeworfene Datenlöschung, mit der Daten über die Kundenbeziehungen der Beklagten, mit denen der Kläger während des Arbeitsverhältnisses arbeitete, gelöscht wurden: Adressen, Termine, Kundenkontakte. Darum aber geht es hier nicht. Dem Vortrag der Beklagten, soweit sie denn konkrete Dateien benannt hat, lassen sich auch keine Einschränkungen ihrer Geschäftstätigkeit entnehmen.

Der Entscheidung des LAG Berlin-Brandenburg vom 16. Mai 2017 (Az. 7 Sa 38/17) lag zugrunde, dass der dortige Kläger zahlreiche Emails an seine private Anschrift versandt hatte, kurz vor Aufnahme einer Tätigkeit für ein Konkurrenzunternehmen, wobei es sich um Angebots- und Kalkulationsunterlagen für ein Projekt, das nicht vom Kläger betreut wurde sowie eine Kundenliste der Kunden des Klägers mit deren Kontaktdaten, handelte. Hier ist substantiiert vorgetragen allein die Weiterleitung von Dateien betreffend das Projekt A.. Insoweit wird auf die vorstehenden Ausführungen verwiesen. Auch hinsichtlich des Kopierens von Dateien auf externe Datenträger wird auf die vorstehenden Ausführungen zu den ausgesprochenen Kündigungen Bezug genommen.

Im Verfahren vor dem LAG Baden-Württemberg (Az. 17 Sa 8/20, Urteil vom 17. September 2020) hatte der dortige Kläger im Anschluss an ein Personalgespräch, in dem die Arbeitgeberin den Wunsch geäußert hatte, sich von ihm trennen zu wollen, vom Server des Arbeitgebers Daten in erheblichem Umfang (hier: 7,48 GB) gelöscht, nachdem er zwei Tage nicht erreichbar war und sich zuvor von einer Mitarbeiterin mit den Worten "man sieht sich immer zweimal im Leben" verabschiedet hatte. Das LAG ist für diesen Fall davon ausgegangen, es sei Sache des Klägers gewesen, den von ihm behaupteten Rechtfertigungsgrund für den vollständig (!) von ihm gelöschten Datenbestand vorzutragen, nachdem er den Löschvorgang ausgeführt und – pauschal - behauptet habe, für eine anderweitige Sicherung bzw. Speicherung und Verfügbarkeit des Datenbestands bei der Beklagten gesorgt zu haben. Hiervon weicht die Berufungskammer nicht ab – es ist Sache des sich auf einen Rechtfertigungssachverhalt berufenden Arbeitnehmers, diesen substantiiert vorzutragen. In der herangezogenen Entscheidung sprach bereits der Zusammenhang zwischen der Äußerung des Arbeitnehmers und der vollständigen Löschung für eine Nachteilszufügungsabsicht gegenüber der ehemaligen Arbeitgeberin, was (erst recht) dazu führt, den nur pauschalen Vortrag, die sehr umfangreichen gelöschten Dateien seien anderweitig gesichert, nicht ausreichen zu lassen. Solche Anhaltspunkte gibt es hier nicht, auch die substantiiert vorgetragene Menge gelöschter Dateien unterscheidet sich erheblich. Zudem hat sich der Kläger nicht nur auf einen solchen pauschalen Vortrag beschränkt, sondern konkret auf die jeweiligen Projektordner verwiesen.

In dem Sachverhalt, der der Entscheidung des Hessischen LAG vom 29. August 2011, Az. 7 Sa 248/11, zugrunde lag, hatte der dortige Kläger 94 E-Mails mit ca. 622 MB in 1.660 Dateianhängen an sein privates E-Mail-Postfach versandt, wobei es sich unstreitig überwiegend um Daten handelte, die dem Bankgeheimnis unterliegen. Auch hier bestehen mithin entscheidende Unterschiede zur vorliegenden Sachverhaltskonstellation.


Den Volltext der Entscheidung finden Sie hier:

OLG Saarbrücken: ANOM-Chat-Daten können als Beweismittel verwendet werden und unterliegen keinem Beweisverwertungsverbot

OLG Saarbrücken
Beschluss vom 30.12.2022
4 HEs 35/22


Das OLG Saarbrücken hat entschieden, dass ANOM-Chat-Daten als Beweismittel verwendet werden können und keinem Beweisverwertungsverbot unterliegen.

Aus den Entscheidungsgründen:
Die Anordnung der Fortdauer der Untersuchungshaft ist gerechtfertigt. Sowohl die allgemeinen Voraussetzungen für das Fortbestehen der Untersuchungshaft als auch die in § 121 Abs. 1 StPO gesetzlich festgeschriebenen besonderen Voraussetzungen für die Anordnung der Untersuchungshaft über sechs Monate hinaus liegen vor.

1. Der Angeklagte ist der ihm im Haftbefehl des Amtsgerichts Saarbrücken vom 2. Juli 2022 (Bl. 272 ff. d.A.) zur Last gelegten Taten des unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge weiterhin dringend verdächtig. Soweit der Haftbefehl vom 2. Juli 2022 das Tatgeschehen rechtlich neben einer Strafbarkeit gemäß § 29a Abs. 1 Nr. 2 BtMG zugleich als bewaffnetes unerlaubtes Handeltreiben mit Betäubungsmitteln in nicht geringer Menge einordnet (§ 29a Abs. 1 Nr. 2, § 30a Abs. 2 Nr. 2 BtMG), handelt es sich um ein offensichtliches redaktionelles Versehen, das auf Wirksamkeit, Bestand und Fortdauer der Untersuchungshaft keine Auswirkungen hat. Wegen der Einzelheiten der verdachtsbegründenden Umstände wird auf den Haftbefehl sowie die zwischenzeitlich zur Hauptverhandlung zugelassene Anklageschrift vom 21. Oktober 2022 (Bl. 548 ff. d.A.) und das darin niedergelegte wesentliche Ergebnis der Ermittlungen Bezug genommen.

a) Danach ist insbesondere anzunehmen, dass es sich bei dem Angeklagten V. um den Nutzer der Kennung "h." des Krypto-Providers "A." handelt, der hierüber den Handel mit Betäubungsmitteln, hinsichtlich dessen sich ein dringender Verdacht im Übrigen jedenfalls hinsichtlich der Taten zu Ziff. 3. bis 6. des Haftbefehls vom 2. Juli 2022 aus den Ergebnissen der nationalen zunächst verdeckt sowie sodann offen geführten Ermittlungsmaßnahmen (Telekommunikationsüberwachung, Observation, Durchsuchungsmaßnahmen) ergibt, abgewickelt hat. Die überwachte Kommunikation, die den dringenden Tatverdacht für die Nutzung des Kryptodienstes A. durch den Angeklagten unter der Kennung "h." zum Zwecke der Abwicklung des Handels mit Betäubungsmitteln begründet und zur Einleitung des Ermittlungsverfahrens führte, ist nach derzeitigem Stand im Strafverfahren auch verwertbar. Das US-amerikanische Federal Bureau of Investigation (FBI) hat die Kommunikationsinhalte im Zuge gegenseitiger Rechtshilfe von einem nicht näher bezeichneten Mitgliedstaat der Europäischen Union erhalten, in dem sie aufgrund einer gerichtlichen Anordnung über einen Server des Providers A. gesichert worden waren, und stellte sie sodann unter Erteilung einer Genehmigung zur justiziellen Verwertung den Strafverfolgungsbehörden der jeweiligen Länder, hier dem Bundeskriminalamt, zur Verfügung (vgl. Vermerk der Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung der Internetkriminalität - vom 20. Mai 2021, S. 3 = Bl. 5 d.A.). Die Verwertung der auf diese Weise im Ausland außerhalb des vorliegenden Strafverfahrens erhobenen Beweise in dem Strafverfahren gegen den Angeklagten ist vom nationalen Prozessrecht gedeckt. Verfassungsgemäße Rechtsgrundlage für die Verwertung in der Hauptverhandlung erhobener Beweise ist § 261 StPO, unabhängig davon, ob diese zuvor im Inland oder auf sonstige Weise - etwa im Wege der Rechtshilfe - erlangt worden sind (vgl. BVerfG, Beschluss vom 7. Dezember 2011 - 2 BvR 2500/09 und 857/10, BVerfGE 130, 1 ff. Rn. 120, 137 ff. m.w.N.; BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25). Ausdrückliche Verwendungsbeschränkungen für im Wege der Rechtshilfe aus dem Ausland erlangte Daten sieht das deutsche Recht nicht vor (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25). Soweit gleichsam die dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz Rechnung tragenden Wertungen der auch bei grenzüberschreitendem Datenverkehr anwendbaren (vgl. BGH, Beschluss vom 21. November 2012 - 1 StR 310/12, juris) strafprozessualen Verwendungsbeschränkungen sowohl des § 479 Abs. 2 i.V.m. § 161 Abs. 3 StPO als auch des § 100e Abs. 6 StPO Berücksichtigung zu finden haben (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25 und Rn. 68), schließt dies die Verwendung der vom FBI erlangten Daten und Kommunikationsinhalte im konkreten Fall aufgrund des dringenden Tatverdachts der Begehung von Straftaten des unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge gemäß § 29a Abs. 1 Nr. 2 BtMG als Katalogtaten im Sinne von § 161 Abs. 3 und § 100e Abs. 6 StPO nicht aus (vgl. OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203 f.; vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21, juris Rn. 68 zur Heranziehung des Schutzniveaus aus § 100e Abs. 6 StPO im Fall der Verwertung von im Ausland gesicherter EncroChat-Kommunikation), zumal eine Verwertung von Erkenntnissen aus dem Kernbereich privater Lebensführung aufgrund des Inhalts der gesicherten Kommunikation nicht zu besorgen ist (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 68).

b) Der Verwertbarkeit steht auch nicht entgegen, dass die vom Angeklagten genutzte A.-App vom FBI mit dem Ziel entwickelt und dem Markt verdeckt zur Verfügung gestellt worden ist, die über den Server des Providers A. laufende, Ende zu Ende verschlüsselte Kommunikation aufgrund gerichtlicher Anordnung des bislang nicht näher benannten EU-Mitgliedstaates, in dem der Server gelegen ist, zu erheben und mittels eines bei der Entwicklung angehefteten Master-Keys zu entschlüsseln.

aa) Aufgrund des Grundsatzes gegenseitiger Anerkennung (Art. 82 AEUV) lässt ein von den nationalen deutschen Vorschriften abweichendes Verfahren die Verwertbarkeit von im Ausland erhobenen Beweisen grundsätzlich unberührt (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 50 ff., 73 ff. m.w.N.; Schomburg/Lagodny/Hackner, IRG Vor § 68 Rn 11 m.w.N.), und die nationalen deutschen Gerichte sind nicht verpflichtet, die Rechtmäßigkeit von originär im Ausland, mithin nicht aufgrund deutschen Rechtshilfeersuchens durchgeführten Ermittlungsmaßnahmen anhand der Vorschriften des ausländischen Rechts auf ihre Rechtmäßigkeit zu überprüfen (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 26 ff. m.w.N.; OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203, 204). Das Vorliegen eines Beweisverwertungsverbots ist demnach ausschließlich nach nationalem Recht zu bestimmen.

bb) Danach ergibt sich ein Beweisverwertungsverbot vorliegend weder aus rechtshilfespezifischen Gründen noch aus nationalem Verfassungs- oder Prozessrecht oder den Vorgaben der EMRK (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25 ff.). Insbesondere bestehen keine Anhaltspunkte dafür, dass die im Ausland erhobenen Beweise unter Verletzung völkerrechtlich verbindlicher und dem Individualrechtsgüterschutz dienender Garantien, wie etwa Art. 3 oder Art. 6 EMRK, oder unter Verstoß gegen die allgemeinen rechtsstaatlichen Grundsätze i.S.d. ordre public (vgl. § 73 IRG) gewonnen wurden oder die Ermittlungshandlung der Umgehung nationaler Vorschriften diente (vgl. Schomburg/Lagodny/Hackner, IRG Vor § 68 Rn 11 m.w.N). Weder liegt ein Art. 6 Abs. 1 EMRK verletzender und aufgrund dessen ein Verfahrenshindernis begründender Fall polizeilicher Tatprovokation (vgl. dazu etwa EGMR, Urteil vom 23. Oktober 2014 - 54648/09 - juris) vor, weil die Annahme, allein durch Schaffung der Möglichkeit einer abhörsicheren Kommunikation sei der Tatentschluss des Angeklagten zur Begehung der ihm vorgeworfenen Taten hervorgerufen worden, fernliegt, noch begründet der Umstand, dass sich die Datenerhebung gegen sämtliche Nutzer der A.-App ohne Beschränkung auf bestimmte Zielpersonen und ohne Vorliegen eines konkreten Tatverdachts richtete, mithin Verdachtsmomente erst generieren sollte, einen elementaren Verstoß gegen rechtsstaatliche Grundsätze. Das Inverkehrbringen der App diente nicht dazu, die Persönlichkeit der Nutzer durch Eindringen in deren Privat- oder Intimsphäre auszuspähen. Vielmehr war absehbar, dass die durch die Nutzung ermöglichte, vermeintlich abhörsichere Kommunikation, neben der eine normale Nutzung des Mobilfunkgerätes zum Telefonieren und mit Zugang zum Internet nicht mehr möglich war, nahezu ausschließlich im Bereich organisierter Kriminalität eingesetzt werden würde (vgl. OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203, 204; zur Ablehnung eines Verstoßes gegen den Grundsatz des ordre public bei EncroChat-Daten vgl. OLG Brandenburg, Beschluss vom 3. August 2021 - 2 Ws 102/21 (S); 2 Ws 96/21 - juris; Hanseatisches OLG Hamburg, Beschluss vom 29. Januar 2021 - 1 Ws 2/21 -, juris, sowie dem Grunde nach auch BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 57). Ebenso wenig haben die deutschen Ermittlungsbehörden durch ein planmäßiges Vorgehen zur Umgehung nationaler Vorschriften zur Kommunikationsüberwachung an der Datengewinnung mitgewirkt (vgl. OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203, 204).


Den Volltext der Entscheidung finden Sie hier:

BGH legt EuGH vor: Wann liegt das Tatbestandsmerkmal "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO vor

BGH
Beschluss vom 10.11.2022 - I ZR 186/17
App-Zentrum II
Verordnung (EU) 2016/679 Art. 80 Abs. 2; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Satz 1
Nr. 11, § 3 Abs. 1 Satz 1 Nr. 1


Der BGH hat dem EuGH zur Entscheidung vorgelegt, wann das Tatbestandsmerkmal "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO vorliegt.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:

Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien ?

BGH, Beschluss vom 10. November 2022 - I ZR 186/17 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:



LG Berlin legt EuGH Fragen zur Verwertbarkeit von EncroChat-Daten im Strafverfahren zur Entscheidung vor

LG Berlin
Beschluss vom 19.10.2022
(525 KLs) 279 Js 30/22 (8/22)


Das LG Berlin hat dem EuGH Fragen zur Verwertbarkeit von EncroChat-Daten im Strafverfahren zur Entscheidung vorgelegt.

Die Vorlagefragen:

I. Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Auslegung der Richtlinie 2014/41 (im Folgenden: RL EEA) vorgelegt:

1. Zur Auslegung des Merkmals "Anordnungsbehörde" nach Art. 6 Abs. 1 i.V.m. Art. 2 lit. c) RL EEA

a) Muss eine Europäische Ermittlungsanordnung (im Folgenden: EEA) zur Erlangung von Beweismitteln, die sich bereits im Vollstreckungsstaat (hier: Frankreich) befinden, von einem Richter erlassen werden, wenn nach dem Recht des Anordnungsstaats (hier: Deutschland) in einem vergleichbaren innerstaatlichen Fall die zugrunde liegende Beweiserhebung durch den Richter hätte angeordnet werden müssen ?

b) Gilt dies hilfsweise zumindest dann, wenn der Vollstreckungsstaat die zugrunde liegende Maßnahme auf dem Hoheitsgebiet des Anordnungsstaats durchgeführt hat mit dem Ziel, die abgeschöpften Daten anschließend den an den Daten interessierten Ermittlungsbehörden im Anordnungsstaat zum Zweck der Strafverfolgung zur Verfügung zu stellen ?

c) Muss eine EEA zur Erlangung von Beweismitteln unabhängig von den nationalen Zuständigkeitsregelungen des Anordnungsstaats immer dann von einem Richter (bzw. einer unabhängigen, nicht mit strafrechtlichen Ermittlungen befassten Stelle) erlassen werden, wenn die Maßnahme schwerwiegende Eingriffe in hochrangige Grundrechte betrifft ?

2. Zur Auslegung von Art. 6 Abs. 1 lit. a) RL EEA

a) Steht Art. 6 Abs. 1 lit. a) RL EEA einer EEA zur Übermittlung von im Vollstreckungsstaat (Frankreich) schon vorhandenen Daten aus einer Telekommunikationsüberwachung – insbesondere Verkehrs- und Standortdaten sowie Aufzeichnungen von Kommunikationsinhalten – entgegen, wenn die vom Vollstreckungsstaat durchgeführte Überwachung sich auf sämtliche Anschlussnutzer eines Kommunikationsdienstes erstreckte, mit der EEA die Übermittlung der Daten sämtlicher auf dem Hoheitsgebiet des Anordnungsstaates genutzten Anschlüsse begehrt wird und weder bei der Anordnung und Durchführung der Überwachungsmaßnahme noch bei Erlass der EEA konkrete Anhaltspunkte für die Begehung von schweren Straftaten durch diese individuellen Nutzer bestanden ?

b) Steht Art. 6 Abs. 1 lit. a) RL EEA einer solchen EEA entgegen, wenn die Integrität der durch die Überwachungsmaßnahme abgeschöpften Daten wegen umfassender Geheimhaltung durch die Behörden im Vollstreckungsstaat nicht überprüft werden kann ?

3. Zur Auslegung von Art. 6 Abs. 1 lit. b) RL EEA

a) Steht Art. 6 Abs. 1 lit. b) RL EEA einer EEA zur Übermittlung von im Vollstreckungsstaat (Frankreich) schon vorhandenen Telekommunikationsdaten entgegen, wenn die der Datenerhebung zugrunde liegende Überwachungsmaßnahme des Vollstreckungsstaats nach dem Recht des Anordnungsstaats (Deutschland) in einem vergleichbaren innerstaatlichen Fall unzulässig gewesen wäre ?

b) Hilfsweise: Gilt dies jedenfalls dann, wenn der Vollstreckungsstaat die Überwachung auf dem Hoheitsgebiet des Anordnungsstaats und in dessen Interesse durchgeführt hat ?

4. Zur Auslegung von Art. 31 Abs. 1, Abs. 3 RL EEA

a) Handelt es sich bei einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes um eine Überwachung des Telekommunikationsverkehrs im Sinne von Art. 31 RL EEA ?

b) Muss die Unterrichtung nach Art. 31 Abs. 1 RL EEA stets an einen Richter gerichtet werden oder gilt dies zumindest dann, wenn die vom überwachenden Staat (Frankreich) geplante Maßnahme nach dem Recht des unterrichteten Staats (Deutschland) in einem vergleichbaren innerstaatlichen Fall nur durch einen Richter angeordnet werden könnte ?

c) Soweit Art. 31 RL EEA auch dem Individualschutz der betroffenen Telekommunikationsnutzer dient, erstreckt sich dieser auch auf die Verwendung der Daten zur Strafverfolgung im unterrichteten Staat (Deutschland) und ist gegebenenfalls dieser Zweck gleichwertig mit dem weiteren Zweck, die Souveränität des unterrichteten Mitgliedsstaats zu schützen ?

5. Rechtsfolgen einer unionsrechtswidrigen Beweiserlangung

a) Kann sich bei einer Beweismittelerlangung durch eine unionsrechtswidrige EEA unmittelbar aus dem unionsrechtlichen Effektivitätsgrundsatz ein Beweisverwertungsverbot ergeben ?

b) Führt bei einer Beweismittelerlangung durch eine unionsrechtswidrige EEA der unionsrechtliche Äquivalenzgrundsatz zu einem Beweisverwertungsverbot, wenn die der Beweisgewinnung im Vollstreckungsstaat zugrunde liegende Maßnahme in einem vergleichbaren innerstaatlichen Fall im Anordnungsstaat nicht hätte angeordnet werden dürfen und die durch eine solche rechtswidrige innerstaatliche Maßnahme gewonnenen Beweise nach dem Recht des Anordnungsstaats nicht verwertbar wären ?

c) Verstößt es gegen Unionsrecht, insbesondere den Grundsatz der Effektivität, wenn die strafprozessuale Verwertung von Beweismitteln, deren Erlangung gerade wegen eines fehlenden Tatverdachts unionsrechtswidrig war, im Rahmen einer Interessenabwägung mit der Schwere der erstmals durch die Auswertung der Beweismittel bekannt gewordenen Taten gerechtfertigt wird ?

d) Hilfsweise: Ergibt sich aus dem Unionsrecht, insbesondere dem Grundsatz der Effektivität, dass Unionsrechtsverstöße bei der Beweismittelerlangung in einem nationalen Strafverfahren auch bei schweren Straftaten nicht vollständig ohne Folge bleiben dürfen und daher zumindest auf der Ebene der Beweiswürdigung oder der Strafzumessung zugunsten des Beschuldigten berücksichtigt werden müssen ?


Aus den Entscheidungsgründen:
Die zu den EncroChat-Daten bisher ergangenen höchstrichterlichen und obergerichtlichen Entscheidungen gehen sämtlich von der Verwertbarkeit der EncroChat-Daten aus. Soweit Verstöße gegen Unionsrecht angenommen oder zumindest in Betracht gezogen werden, wird im Rahmen der Abwägung unter Hinweis auf die Schwere der anhand der EncroChat-Daten ermittelten Straftaten den Strafverfolgungsinteressen der Vorrang eingeräumt (zu Art. 31 RL EEA: BGH aaO. Rn. 44; vgl. auch – wohl zu Art. 6 RL EEA –: KG, Beschluss vom 30. August 2021 – juris Rn. 55). Auch eine Berücksichtigung an anderer Stelle – insbesondere der Beweiswürdigung oder der Strafzumessung – wird, soweit ersichtlich, den Tatgerichten nicht abverlangt; die strafmildernde Berücksichtigung des Verstoßes gegen Art. 31 RL EEA hat der Bundesgerichtshof sogar ausdrücklich als fehlerhaft beanstandet (BGH, Urteil vom 3. August 2022 – 5 StR 203/22 –, juris Rn. 19).

Die Kammer hat Zweifel, ob dies mit dem Unionsrecht vereinbar ist.

a) Nach ständiger Rechtsprechung des Europäischen Gerichtshofs ist es grundsätzlich Sache des nationalen Rechts, die Rechtsfolgen von Verstößen gegen Unionsrecht zu regeln. Die Verfahrensautonomie der Mitgliedstaaten wird jedoch begrenzt durch den Grundsatz der Effektivität (Gerichtshof, Urteil vom 2. März 2021 – C-746/18 –, juris Rn. 42 m.w.N.). Danach muss das nationale Recht Sorge dafür tragen, dass der Beschuldigte in einem Strafverfahren durch rechtswidrig erlangte Informationen und Beweise keine unangemessenen Nachteile erleidet (Gerichtshof aaO. Rn. 43).

Dies kann grundsätzlich nicht nur durch ein Beweisverwertungsverbot erreicht werden, sondern auch durch eine Berücksichtigung der Rechtsverstöße bei der Beweiswürdigung oder im Rahmen der Strafzumessung (Gerichtshof, Urteile vom 2. März 2021, aaO. Rn. 43, und vom 6. Oktober 2020, La Quadrature du Net u.a – C-511/18 u.a. –, juris Rn. 225). Gleichwohl kann nach der Rechtsprechung des Gerichtshofs der Effektivitätsgrundsatz im Einzelfall das nationale Gericht verpflichten, rechtswidrig erlangte Beweise vom Verfahren auszuschließen (Gerichtshof, Urteile vom 20. September 2022 – C-339/20 u.a. –, juris Rn. 106, vom 2. März 2021, aaO. Rn. 44 und vom 6. Oktober 2020, aaO. Rn. 226 f.; grundlegend Urteil vom 10. April 2003, Steffensen – C-276/01 –, juris Rn. 77 ff. im Anschluss an EGMR, Urteil vom 18. März 1997, Mantovanelli/Frankreich Tz. 36). Die Kammer versteht diese Rechtsprechung dahin, dass der Rechtsverstoß in einem solchen Fall qua Unionsrecht stets den Ausschluss der Beweise zur Folge haben muss und es auf eine Abwägung mit den nationalen Strafverfolgungsinteressen und insbesondere auf die Schwere der in Rede stehenden Straftaten nicht mehr ankommt.

Es spricht einiges dafür, ein solches unmittelbar aus dem unionsrechtlichen Effektivitätsgrundsatz hergeleitetes Verwertungsverbot auch hier anzunehmen. Denn der Grundsatz des fairen Verfahrens ist in mehrerlei Hinsicht beeinträchtigt worden:

Bereits der Umstand, dass die mit der EEA angeforderten Daten wegen der französischen Geheimhaltung nicht durch einen technischen Sachverständigen überprüft werden können, dürfte die vom Gerichtshof in der Entscheidung vom 10. April 2003 (Steffensen) entwickelten Voraussetzungen erfüllen, unter denen das Gericht Beweise ausschließen muss. Hinzu kommen die oben zu I. bis III. angesprochenen mehrfachen Missachtungen formeller und materieller Sicherungsmechanismen nach Art. 31 und Art. 6 RL EEA, die entweder unmittelbar von den deutschen Strafverfolgungsbehörden zu verantworten sind oder vor denen sie zumindest die Augen verschlossen haben. Wären alle diese Vorgaben des Unionsrechts beachtet worden, wären die Daten der deutschen Nutzer weder erhoben noch bei Europol gespeichert und schon gar nicht an die deutschen Behörden zum Zweck der Strafverfolgung übermittelt worden.

Weiter hinzu tritt schließlich, dass die europäischen Agenturen und die deutschen Strafverfolgungsbehörden die Sachaufklärung und die Verteidigung durch die Verweigerung der Herausgabe von für die Verteidigung erheblichen Aktenbestandteilen und die Weigerung, verfahrensrelevante Dokumente überhaupt in die Akten aufzunehmen, im Nachgang weiter erschwert haben. Besonders gravierend wirkt sich dabei die Weigerung aus, die über das SIENA-System ausgetauschten Nachrichten zur Akte zu bringen (die wenigen im vorliegenden Verfahren bekannt gewordenen SIENA-Nachrichten wurden von der Verteidigung eingereicht und stammen mutmaßlich aus dem Ausland). Dadurch lässt sich etwa nicht überprüfen, ob es – was angesichts der SIENA-Nachricht vom 20. August 2020 naheliegt – Mitteilungen zu technischen Auffälligkeiten gab, die für die Bewertung der Chat-Nachrichten von Bedeutung sein könnten. Die ohnehin schon mit der französischen Geheimhaltung verbundene Beschränkung der Verteidigungsmöglichkeiten wurde dadurch weiter vertieft; ein von Art. 7 Abs. 4 RL 2012/13 gedeckter Rechtfertigungsgrund ist dafür nicht ersichtlich. Auch das in dem BKA-Schreiben vom 13. Mai 2020 angekündigte Verschweigen wesentlicher Informationen gegenüber dem Ermittlungsrichter passt in diesen Zusammenhang, da die aus dem Rechtsstaatsprinzip folgende Aufgabe des Ermittlungsrichters, die Ermittlungen eigenverantwortlich zu prüfen, unterlaufen wurde (vgl. zum Gebot der Aktenvollständigkeit im Ermittlungsverfahren BGH NStZ 2022, 561 f.). Insgesamt wurde damit in sämtlichen Verfahrensabschnitten eine unabhängige externe Überprüfung der Datengewinnung und -weiterverwendung verhindert.

All dies zusammen genommen dürfte in mehrfacher Hinsicht im Widerspruch zu den Wertungen der Art. 7 Abs. 2 RL 2012/13, Art. 47, 48 GRCh, Art. 6 Abs. 1 EMRK stehen und stellt die Fairness des Verfahrens in seiner Gesamtheit in Frage.

b) Die Autonomie der Mitgliedstaaten bei der Regelung der Rechtsfolgen von Verstößen gegen Unionsrecht wird weiter begrenzt durch den Grundsatz der Äquivalenz. Danach dürfen Verstöße gegen Unionsrecht nicht in geringerem Maße sanktioniert werden als vergleichbare Verstöße gegen innerstaatliches Recht (Urteil des Gerichtshofs vom 2. März 2021, aaO. Rn. 42).

Auch unter diesem Aspekt könnte man hier an ein zwingendes Verwertungsverbot denken. Denn nach dem deutschen Strafprozessrecht hätten bei einer Abhörmaßnahme sowohl der Verstoß gegen den Richtervorbehalt als auch der fehlende konkrete Verdacht einer Katalogtat jeweils die Unverwertbarkeit der Daten zur Folge. Es ist nicht ersichtlich, weshalb für vergleichbare Verstöße im Zusammenhang mit dem Erlass einer EEA etwas anderes gelten sollte.

c) Sofern sich demgegenüber aus dem Unionsrecht kein zwingendes Verwertungsverbot ergibt, kommt es nach dem deutschen Strafprozessrecht auf eine umfassende Interessenabwägung an. Der Bundesgerichtshof und die Obergerichte stellen maßgeblich auf das Gewicht der aufzuklärenden Straftaten ab und folgern daraus, dass das staatliche Strafverfolgungsinteresse gegenüber dem Individualschutz der betroffenen EncroChat-Nutzer den Vorrang genieße (vgl. BGH, Beschluss vom 2. März 2022, aaO. Rn. 36, 44, 57; OLG Karlsruhe, Beschluss vom 10. November 2021 – 2 Ws 261/21 –, juris Rn. 33). Die Kammer hat Zweifel, ob diese Argumentation mit dem Unionsrecht vereinbar ist.

Der Gerichtshof hat mehrfach entschieden, dass das Ziel, schwere Straftaten zu bekämpfen, eine allgemeine unterschiedslose Vorratsdatenspeicherung nicht rechtfertigen kann (Urteile vom 6. Oktober 2020, La Quadrature du Net, aaO. Rn. 141, vom 2. März 2021, aaO. Rn. 50 und vom 5. April 2022, aaO. Rn. 65). Solche rechtswidrig anlasslos gespeicherten Vorratsdaten sind dem anschließenden Zugriff der Strafverfolgungsbehörden auch dann entzogen, wenn sie im konkreten Fall der Aufklärung schwerer Taten dienen sollen. Dies gilt umso mehr, wenn – wie hier – mit einiger Wahrscheinlichkeit von der Datenabschöpfung auch Berufsgeheimnisträger – wie etwa Rechtsanwälte und Journalisten – betroffen sind (vgl. zu diesen Gesichtspunkt Gerichtshof, Urteil vom 20. September 2022, Spacenet u.a. – C-793/19 u.a. –, juris Rn. 82) und auch Kommunikationsinhalte erfasst werden.

Zu dieser Wertung und dem Grundsatz der Effektivität könnte es im Widerspruch stehen, wenn ein Rechtsverstoß, der unmittelbar an den fehlenden Tatverdacht anknüpft, unter Verweis auf nachträgliche Erkenntnisse aus den rechtswidrig erlangten Daten ohne Sanktion bleibt. Die Kammer neigt danach zu der Ansicht, dass bei der Abwägung, ob ohne ausreichenden Tatverdacht erlangte Daten trotz des Verstoßes gegen Art. 6 Abs. 1 lit. a) und b) RL EEA verwertbar sind, das Gewicht der konkret in Rede stehenden Straftaten nur mit verringertem Gewicht berücksichtigt werden darf mit der Folge, dass bei einem Eingriff in hochrangige Grundrechte allein dieser Gesichtspunkt den Rechtsverstoß nicht aufwiegen und damit die Verwertung nicht rechtfertigen kann.

Vergleichbar lässt sich zu Art. 31 Abs. 1 RL EEA argumentieren: Die Schwere dieses Verstoßes ergibt sich maßgeblich daraus, dass das zuständige deutsche Gericht die Maßnahme wegen fehlenden Tatverdachts untersagt hätte. Auch hier erscheint es widersprüchlich und mit dem Grundsatz der Effektivität schwer zu vereinbaren, wenn bei der Abwägung dem Gewicht der nachträglich ermittelten Straftaten der Vorrang eingeräumt wird.

d) Hilfsweise entnimmt die Kammer den Entscheidungen des Gerichtshofs vom 10. April 2003 (Steffensen, aaO. Rn. Rn. 78 ff.), vom 2. März 2021 (aaO. Rn. 43) und vom 6. Oktober 2020 (La Quadrature du Net, aaO. Rn. 225) zumindest, dass ein grundrechtsrelevanter Verstoß gegen Unionsrecht nicht vollständig ohne Auswirkungen auf das nationale Strafverfahren bleiben darf. Danach gebietet es der Grundsatz der Effektivität nach dem Verständnis der Kammer jedenfalls, die Rechtsverstöße entweder bei der Beweiswürdigung oder als Milderungsgrund im Rahmen der Strafzumessung zu berücksichtigen. Mit Blick auf die Behinderung der Verteidigung durch die fehlende Überprüfbarkeit der Datengewinnung wäre dabei insbesondere an einen geminderten Beweiswert zu denken mit der Folge, dass allein auf die Daten eine Verurteilung nicht gestützt werden darf (vgl. – zur vorenthaltenen Befragung von Zeugen – EGMR, Urteil vom 23. April 1997, van Mechelen u.a. vs. Niederlande, Tz. 56 ff.; BVerfG, Beschluss vom 20. Dezember 2000 – 2 BvR 591/00 –, juris Rn. 44 m.w.N.). Auch die Ansicht des 5. Strafsenats des Bundesgerichtshofs (Urteil vom 3. August 2022 – 5 StR 203/22 –, juris Rn. 19), der Verstoß gegen Art. 31 RL EEA dürfe nicht strafmildernd berücksichtigt werden, erscheint mit Blick auf den Effektivitätsgrundsatz problematisch.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Regelungen der PNR-Richtlinie sind eng auszulegen - Erhebung und Verarbeitung von Fluggastdaten sind auf das absolut Notwendige zu beschränken

EuGH
Urteil vom 21.06.2022
C-817/19
Ligue des droits humains gegen Conseil des ministres


Der EuGH hat entschieden, dass die Regelungen der PNR-Richtlinie eng auszulegen sind und sich die Erhebung und Verarbeitung von Fluggastdaten auf das absolut Notwendige beschränken muss.

Die Pressemitteilung des EuGH:
Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige

Besteht keine reale und aktuelle oder vorhersehbare terroristische Bedrohung eines Mitgliedstaats, steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die eine Übermittlung und Verarbeitung von PNR-Daten bei EU-Flügen sowie bei Beförderungen mit anderen Mitteln innerhalb der Union vorsehen.

Die PNR-Richtlinie schreibt zur Bekämpfung von Terrorismus und schwerer Kriminalität die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.

Die Ligue des droits humains (Liga für Menschenrechte, LDH) ist ein gemeinnütziger Verein, der im Juli 2017 beim belgischen Verfassungsgerichtshof eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 erhoben hat, mit dem die PNR-Richtlinie, die API-Richtlinie2 und die Richtlinie 2010/653 in belgisches Recht umgesetzt wurden. Die LDH macht geltend, dieses Gesetz verletze das im belgischen Recht und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Sie rügt den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des „PNR-Systems“ auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden. Im Oktober 2019 hat der belgische Verfassungsgerichtshof dem Gerichtshof zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit der PNR-Richtlinie sowie die Vereinbarkeit des Gesetzes vom 25. Dezember 2016 mit dem Unionsrecht betreffen.

In seinem heutigen Urteil stellt der Gerichtshof erstens fest, dass die Prüfung der vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie berühren könnte, da seine Auslegung ihrer Bestimmungen im Licht der Grundrechte, die in den Art. 7, 8 und 21 sowie in Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankert sind, die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln gewährleistet.

Zunächst weist der Gerichtshof darauf hin, dass ein Rechtsakt der Union so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Dabei müssen die Mitgliedstaaten darauf achten, dass sie sich nicht auf eine Auslegung des Rechtsakts stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert. Zur PNR-Richtlinie führt der Gerichtshof aus, dass eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen eine solche Auslegung erfordern, und hebt die Bedeutung hervor, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in der Charta verankerten Grundrechte beimisst.

Der Gerichtshof stellt fest, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Flugreisen unternehmen. Er weist darauf hin, dass die Möglichkeit für die Mitgliedstaaten, einen solchen Eingriff zu rechtfertigen, zu beurteilen ist, indem seine Schwere bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung dazu in angemessenem Verhältnis steht.

Der Gerichtshof kommt zu dem Schluss, dass die in der PNR-Richtlinie vorgesehene Übermittlung, Verarbeitung und Speicherung von PNR-Daten als auf das für die Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt angesehen werden kann, sofern die in der Richtlinie vorgesehenen Befugnisse eng ausgelegt werden. Hierzu enthält das heutige Urteil unter anderem folgende Ausführungen:

- Das durch die PNR-Richtlinie eingeführte System darf sich nur auf die in den Rubriken ihres Anhangs I aufgeführten, klar identifizierbaren und umschriebenen Informationen erstrecken, die in Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen. Dies bedeutet bei einigen Rubriken dieses Anhangs, dass nur die dort ausdrücklich genannten Angaben erfasst werden.

- Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems muss auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Sie darf sich nicht auf strafbare Handlungen erstrecken, die zwar das in der Richtlinie vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen und in ihrem Anhang II aufgeführt sind, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur gewöhnlichen Kriminalität gehören.

- Die etwaige Ausdehnung der Anwendung der PNR-Richtlinie auf alle oder einen Teil der EU-Flüge aufgrund der den Mitgliedstaaten in der Richtlinie eingeräumten Befugnis muss sich auf das absolut Notwendige beschränken. Sie muss Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Hierzu führt der Gerichtshof aus:

- Nur in einer Situation, in der es nach der Einschätzung des betreffenden Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum auf alle EU-Flüge aus oder nach diesem Mitgliedstaat angewandt wird.

- Ohne eine solche terroristische Bedrohung darf die Anwendung der Richtlinie nicht auf alle EU-Flüge ausgedehnt werden, sondern muss sich auf EU-Flüge beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es nach der Einschätzung des betreffenden Mitgliedstaats Anhaltspunkte gibt, die eine Anwendung der Richtlinie rechtfertigen können. Die absolute Notwendigkeit ihrer Anwendung auf die ausgewählten EU-Flüge muss nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig überprüft werden.

- Für die Zwecke der Vorabüberprüfung der PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, und deren erster Schritt in automatisierten Verarbeitungen besteht, darf die PNR-Zentralstelle diese Daten zum einen nur mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, abgleichen. Diese Datenbanken müssen frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden. Zum anderen darf die PNR-Zentralstelle bei der Vorabüberprüfung anhand im Voraus festgelegter Kriterien keine Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme („machine learning“) heranziehen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können. Die genannten Kriterien sind so festzulegen, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an
terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte, und dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden; sie dürfen nicht zu unmittelbaren oder mittelbaren Diskriminierungen führen.

- Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl „falsch positiver“ Ergebnisse, die in den Jahren 2018 und 2019 bei ihrer Anwendung auftraten, hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab, die von der PNR-Zentralstelle in einem zweiten Schritt mit nicht-automatisierten Mitteln vorgenommen wird. Insoweit müssen die Mitgliedstaaten klare und präzise Regeln vorsehen, die Leitlinien und einen Rahmen für die von den Bediensteten der PNR-Zentralstelle, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten. Insbesondere müssen sie sich vergewissern, dass die PNR-Zentralstelle Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer (hit) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt ist, und zum anderen, ob die automatisierten Verarbeitungen keinen diskriminierenden Charakter haben. Dabei müssen sich die zuständigen Behörden vergewissern, dass der Betroffene die Funktionsweise der im Voraus festgelegten Prüfkriterien und der Programme zu ihrer Anwendung verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem Recht auf Einlegung von Rechtsbehelfen Gebrauch macht. Desgleichen müssen im Rahmen eines solchen Rechtsbehelfs das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraute Gericht sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können,
einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.

- Nachträglich, d. h. nach der Ankunft oder dem Abflug der betreffenden Person, darf eine Zurverfügungstellung und Überprüfung der PNR-Daten nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die entweder geeignet sind, den begründeten Verdacht einer Beteiligung dieser Person an schwerer Kriminalität, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, zu wecken, oder den Schluss zulassen, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung terroristischer Straftaten, die einen solchen Zusammenhang aufweisen, leisten könnten. Die Zurverfügungstellung der PNR-Daten zum Zweck einer solchen nachträglichen Überprüfung muss grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle im Anschluss an einen mit Gründen versehenen Antrag der zuständigen Behörden unterworfen werden, unabhängig davon, ob der Antrag vor oder nach Ablauf der Frist von sechs Monaten ab der Übermittlung dieser Daten an die PNRZentralstelle gestellt wurde.

Zweitens stellt der Gerichtshof fest, dass die PNR-Richtlinie im Licht der Charta nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.

Drittens entscheidet der Gerichtshof in Bezug auf die Speicherfrist der PNR-Daten, dass Art. 12 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta nationalen Rechtsvorschriften entgegensteht, die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist dieser Daten von fünf Jahren vorsehen.

Dazu führt der Gerichtshof aus, dass sich nach Ablauf der ursprünglichen sechsmonatigen Speicherfrist die Speicherung von PNR-Daten nicht auf das absolut Notwendige beschränkt, wenn sie sich auf Fluggäste bezieht, bei denen weder die Vorabüberprüfung noch etwaige Überprüfungen während der ursprünglichen sechsmonatigen Speicherfrist oder irgendein anderer Umstand objektive Anhaltspunkte – wie die Tatsache, dass die PNR-Daten der betreffenden Fluggäste im Rahmen der Vorabüberprüfung zu einem überprüften Treffer führten – geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können. Während des ursprünglichen Zeitraums von sechs Monaten überschreitet die Speicherung der PNR-Daten aller Fluggäste, für die das durch die PNR-Richtlinie geschaffene System gilt, dagegen grundsätzlich nicht die Grenzen des absolut Notwendigen.
Viertens entscheidet der Gerichtshof, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den
Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Überdies steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.


Den Volltext der Entscheidung finden Sie hier:


OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden

OLG Schleswig-Holstein
Urteil vom 03.06.2022
17 U 5/22


Das OLG Schleswig-Holstein hat abermals entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden. Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:

Der 17. Zivilsenat hält daran fest, dass dem Insolvenzschuldner regelmäßig ein Löschungsanspruch gegen die Schufa Holding AG zusteht, wenn diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Auch bei der Berechnung eines Score-Wertes darf die Schufa die Daten zum Insolvenzverfahren danach nicht mehr berücksichtigen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und am 25. März 2020 wurde das Verfahren durch Beschluss des Amtsgerichts aufgehoben. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa pflegte diese Daten von dort in ihren Datenbestand ein, um diese ihren Vertragspartnern bei laufenden Vertragsbeziehungen und Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte Ende 2020 die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne u.a. nur noch gegen Vorkasse bestellen und keine neue Wohnung anmieten.

Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Schufa und ihre Vertragspartner von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Unterlassung der Verarbeitung der Informationen zu seinem Insolvenzverfahren sechs Monate nach Aufhebung des Insolvenzverfahrens verlangen. Nach Ablauf dieser Frist überwiegen die Interessen und Grundrechte des Klägers gegenüber den berechtigten Interessen der Schufa und ihrer Vertragspartner an einer Verarbeitung, so dass sich die Verarbeitung nicht mehr als rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung darstellt.

Es ist eine konkrete Abwägung zwischen den Interessen der Schufa und ihrer Vertragspartner an der Verarbeitung der Daten und den durch die Verarbeitung berührten Grundrechten und Interessen des Klägers anzustellen. Der Kläger hat ein Interesse daran, möglichst ungehindert am wirtschaftlichen Leben teilnehmen zu können, nachdem die Informationen über sein Insolvenzverfahren aus dem Insolvenzbekanntmachungsportal gelöscht worden sind. Dieses Interesse geht dem eigenen wirtschaftlichen Interesse der Schufa als Anbieterin von bonitätsrelevanten Informationen vor. Auch gegenüber typisierend zu betrachtenden Interessen der Vertragspartner sind die Interessen des Klägers vorrangig, da keine besonderen Umstände in der Person des Klägers oder seines Insolvenzverfahrens erkennbar sind, die eine Vorratsdatenspeicherung bei der Schufa über den Zeitraum der Veröffentlichung im Insolvenzbekanntmachungsportal hinaus rechtfertigen könnten.

Die Schufa kann sich nicht auf die in den Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien genannte Speicherfrist von drei Jahren berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers. Sie vermögen auch keine Abwägung der Interessen vorzuzeichnen oder zu ersetzen. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 3. Juni 2022, Az. 17 U 5/22, Revision ist zugelassen)



BGH: EncroChat-Daten können zur Aufklärung schwerer Straftaten als Beweismittel verwendet werden und unterliegen keinem Beweisverwertungsverbot

BGH
Beschluss vom 02.03.2022
5 StR 457/21


Auch der 5. Strafsenat des BGH hat entschieden, dass EncroChat-Daten zur Aufklärung schwerer Straftaten als Beweismittel verwendet werden können und keinem Beweisverwertungsverbot unterliegen.

Die Pressemitteilung des BGH:
EncroChat-Daten zur Aufklärung schwerer Straftaten verwertbar

Der in Leipzig ansässige 5. Strafsenat des Bundesgerichtshofs hat die Revision des Angeklagten gegen ein Urteil des Landgerichts Hamburg vom 15. Juli 2021 verworfen.

Das Landgericht hat den Angeklagten wegen zehn Verbrechen des Handeltreibens mit Betäubungsmitteln in nicht geringer Menge zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt und die Einziehung von Taterlösen über mehr als 70.000 Euro angeordnet. In einigen Fällen waren zentrale Beweismittel SMS-Nachrichten des Angeklagten, die dieser über den Anbieter EncroChat zur Organisation des Drogenhandels versandt hatte. Der Angeklagte hat mit seiner Revision u.a. gerügt, dass diese von französischen Behörden 2020 erlangten und der deutschen Justiz übermittelten Daten nicht als Beweismittel hätten verwertet werden dürfen.

Der Bundesgerichtshof hat die Revision des Angeklagten auf Antrag des Generalbundesanwalts verworfen. Er hat entschieden, dass die von Frankreich übermittelten Daten des Anbieters EncroChat als Beweismittel verwertbar sind, wenn sie wie im vorliegenden Fall der Aufklärung schwerer Straftaten dienen.

1. Der Entscheidung des Bundesgerichtshofs lag folgender Sachverhalt zugrunde:

a) Nach den vom Angeklagten mit seiner Revision vorgelegten umfangreichen Unterlagen gab es in Frankreich 2017 und 2018 Hinweise darauf, dass Tatverdächtige organisierten Drogenhandel (bis zu 6 kg Heroin und 436 kg Marihuana) über besonders verschlüsselte Mobiltelefone ("Kryptohandys") des Anbieters EncroChat abwickelten. Mit diesen Geräten konnte man weder telefonieren noch das Internet nutzen, sondern lediglich Chat-Nachrichten (SMS) versenden, Notizen anlegen oder Sprachnachrichten speichern und versenden. Eine Kommunikation war nur zwischen Nutzern von EncroChat möglich. Aufgrund einer besonderen Ausstattung der Telefone und einer besonderen Verschlüsselungstechnik konnten Strafverfolgungsbehörden weder auf die damit geführte Kommunikation zugreifen noch die Geräte inhaltlich auslesen oder orten. Mit diesen Merkmalen und einer Garantie der Anonymität wurden die Geräte beworben. Allerdings konnte man sie nicht von offiziellen Verkaufsstellen, sondern nur von speziellen Verkäufern über anonyme Kanäle zu einem hohen Preis von 1.610 Euro für einen Nutzungszeitraum von sechs Monaten erwerben. Ein legal existierendes Unternehmen "EncroChat" war ebenso wenig zu finden wie Verantwortliche dieser Firma oder ein Unternehmenssitz.

b) Die französischen Strafverfolgungsbehörden leiteten ein Ermittlungsverfahren u.a. wegen des Verdachts einer kriminellen Vereinigung ein und fanden heraus, dass die verschlüsselte Kommunikation zwischen EncroChat-Nutzern über einen im französischen Roubaix betriebenen Server lief. Mit Genehmigung durch ein französisches Gericht griffen sie auf die Daten auf dem Server zu. Hierbei ergab sich, dass 66.134 SIM-Karten eines niederländischen Anbieters im System eingetragen waren, die in einer Vielzahl europäischer Länder verwendet wurden. Eine Dechiffrierung mehrerer tausend "Notizen" von EncroChat-Nutzern belegte, dass diese zweifelsfrei mit illegalen Aktivitäten wie insbesondere Drogenhandel mit bis zu 60 kg Kokain in Verbindung standen.

c) Auf Antrag der französischen Staatsanwaltschaft wurde in Frankreich richterlich u.a. die Installation einer Abfangeinrichtung zu den über den französischen Server laufenden und auf den Telefonen gespeicherten Daten ab dem 1. April 2020 genehmigt. Nach ersten Erkenntnissen wurden von den in Frankreich aktiven Telefonen sicher jedenfalls 63,7 % für kriminelle Zwecke verwendet, die übrigen Geräte (36,3 %) waren entweder teils inaktiv oder noch nicht ausgewertet. Staatsanwaltschaft und Gericht gingen nach der Auswertung der im ersten Monat erlangten Daten von einer "nahezu ausschließlich kriminellen Klientel" der EncroChat-Nutzer aus.

d) Dem Bundeskriminalamt wurden über Europol Erkenntnisse zugleitet, wonach in Deutschland eine Vielzahl schwerster Straftaten von EncroChat-Nutzern begangen wurden. Die Zentralstelle zur Bekämpfung für Internetkriminalität bei der Generalstaatsanwaltschaft Frankfurt am Main leitete daraufhin ein Ermittlungsverfahren gegen Unbekannt ein. In diesem Verfahren erging am 2. Juni 2020 eine an Frankreich gerichtete Europäische Ermittlungsanordnung mit dem Antrag, die Deutschland betreffenden EncroChat-Daten zu übermitteln und deren Verwendung in deutschen Strafverfahren zu erlauben. Beides genehmigte ein französisches Gericht am 13. Juni 2020.

2. Folgende rechtlichen Erwägungen waren für den Bundesgerichtshof entscheidend:

a) Verfassungsgemäße Rechtsgrundlage für die Verwertung von Beweisen im Strafprozess ist § 261 StPO. Dies gilt auch für im Wege der Rechtshilfe erlangte Daten. Eine ausdrückliche Regelung, dass solche Beweise nur eingeschränkt verwendet werden dürfen, enthält das deutsche Recht nicht. Da eine Verwertung von wie hier erlangten Daten einen Eingriff in das von Art. 10 GG geschützte Fernmeldegeheimnis enthalten kann, muss von Verfassungs wegen der Verhältnismäßigkeitsgrundsatz besonders beachtet werden. In Anlehnung an Verwendungsbeschränkungen wie § 100e Abs. 6 Nr. 1 StPO dürfen derart erlangte Daten zur Überführung solcher besonders schwerer Straftaten verwendet werden, für deren Aufklärung die eingriffsintensivsten Ermittlungsmaßnahmen des deutschen Strafverfahrensrechts – namentlich eine Online-Durchsuchung oder eine akustische Wohnraumüberwachung – angeordnet werden dürften. Hierzu gehören regelmäßig die in Rede stehenden Verbrechen nach dem Betäubungsmittelgesetz.

b) Das von der Revision geltend gemachte Beweisverwertungsverbot besteht unter keinem rechtlichen Gesichtspunkt.

aa) Die Frage, ob ein solches Verbot besteht, richtet sich ausschließlich nach deutschem Recht. Eine Überprüfung der französischen Ermittlungsmaßnahmen am Maßstab ausländischen Rechts findet dabei nicht statt. Es kommt damit auch nicht entscheidend darauf an, ob eine wie hier in Frankreich allein nach französischem Recht durchgeführte Maßnahme auch in Deutschland hätte angeordnet werden können. Dies ist nicht Voraussetzung für einen Transfer der nach französischem Recht von französischen Behörden erlangten Beweise in ein deutsches Strafverfahren. Die unterschiedlichen Anordnungsvoraussetzungen in Frankreich und Deutschland können auf der Ebene der Beweisverwertung kompensiert werden. Deshalb gelten hierfür die unter a) genannten besonders hohen Voraussetzungen.

bb) Ein Verstoß der Beweiserhebung gegen menschen- oder europarechtliche Grundwerte oder gegen grundlegende Rechtsstaatsanforderungen im Sinne eines im Rechtshilfeverkehr zu prüfenden "ordre public" liegt nicht vor. Nach den den französischen Behörden nach dem ersten Datenzugriff vorliegenden Informationen ging es bei den Ermittlungen nicht um eine anlasslose Massenüberwachung einer Vielzahl auch unverdächtiger Handy-Nutzer. Vielmehr stellte sich EncroChat für die französischen Behörden als ein von vorneherein auf die Unterstützung krimineller Aktivitäten ausgerichtetes und im Verborgenen agierendes Netzwerk dar. Aufgrund der ersten Erkenntnisse einer nahezu ausschließlich kriminellen Nutzung solcher Telefone war ein Nutzer hiernach schon allein aufgrund des mit erheblichen Kosten einhergehenden Erwerbs eines auf normalem Vertriebsweg nicht erhältlichen EncroChat-Handys krimineller Aktivitäten aus dem Bereich der organisierten Kriminalität wie Drogen- und Waffenhandel oder Geldwäsche verdächtig.

cc) Ein möglicher Verstoß französischer Behörden gegen die Pflicht, Deutschland zeitnah über das Bundesgebiet betreffende Abhörmaßnahmen zu unterrichten, kann schon angesichts der späteren allseitigen Genehmigung der Datenverwendung kein Beweisverwertungsverbot zur Folge haben. Ungeachtet dessen ist fraglich, ob die Unterrichtungspflicht dem Individualschutz der Betroffenen vor einer Beweisverwendung im Inland dient. Jedenfalls würde aber die gebotene Abwägung der unterschiedlichen Interessen zu einem Überwiegen des staatlichen Strafverfolgungsinteresses führen. Rechtlich unbedenklich ist auch, dass die Generalstaatsanwaltschaft Frankfurt am Main einen umfassenden Beweistransfer in einem gegen Unbekannt geführten Verfahren auf einer allgemeinen, letztlich aber jeden Nutzer konkret betreffenden Verdachtslage beantragt hat.

dd) Einen etwaigen Verstoß gegen rechtshilferechtliche Vorschriften beim Datenaustausch oder der sonstigen Zusammenarbeit zwischen französischen und deutschen Polizeibehörden vor Erlass der Europäischen Ermittlungsanordnung hat die Revision nicht geltend gemacht. Es kommt deshalb nicht darauf an, dass ein durchgreifender Rechtsfehler aufgrund der nachträglichen Einholung einer Einwilligung ohnehin nicht auf der Hand liegt, zumal die grenzüberschreitende Übermittlung von Erkenntnissen zur Strafverfolgung nach den europäischen Rechtshilfevorschriften auch ohne Rechtshilfeersuchen ohne weiteres zulässig ist. An die Verwertung der aus einem solchen Informationsaustausch stammenden Daten sind jedenfalls keine höheren Anforderungen als an die Verwertung von durch eine Europäische Ermittlungsanordnung erlangten Daten zu stellen. Eine gezielte oder systematische Umgehung dem individuellen Rechtsschutz von Beschuldigten dienender Vorschriften durch französische oder deutsche Behörden ist weder nachvollziehbar dargelegt noch sonst konkret ersichtlich.

Der Beschluss wird in Kürze in der Entscheidungsdatenbank auf der Internetseite des Bundesgerichtshofs abrufbar sein.

Vorinstanz:

Landgericht Hamburg – Urteil vom 15. Juli 2021 – 632 KLs 8/21




BGH: EncroChat-Daten sind ein zulässiges Beweismittel und können im Strafverfahren verwertet werden

BGH
Beschluss vom 08.02.2022
6 StR 639/21


Der BGH hat entschieden, dass EncroChat-Daten ein zulässiges Beweismittel sind und im Strafverfahren verwertet werden können.

Aus den Entscheidungsgründen:
Die aus den in der Antragsschrift des Generalbundesanwalts genannten Gründen unzulässige Verfahrensrüge wäre auch unbegründet. Der Senat sieht im Ergebnis die aus der Überwachung der Kommunikation über den Krypto-Messengerdienst EncroChat durch französische Behörden gewonnenen
Erkenntnisse im Einklang mit der obergerichtlichen Rechtsprechung als im Strafverfahren verwertbar an (vgl. etwa KG, NStZ-RR 2021, 353 mwN).


Den Volltext der Entscheidung finden Sie hier:

LAG Köln: Unbefugte Kenntnisnahme und Weitergabe einer offensichtlich privaten E-Mail an Dritte rechtfertigt fristlose Kündigung

LAG Köln
Urteil vom 02.11.2021
4 Sa 290/21


Das LAG Köln hat entschieden, dass die unbefugte Kenntnisnahme und Weitergabe einer offensichtlich privaten E-Mail an Dritte eine fristlose Kündigung rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen der unbefugten Kenntnisnahme und Weitergabe fremder Daten

Liest eine Arbeitnehmerin, die im Rahmen ihrer Buchhaltungsaufgaben Zugriff auf den PC und das E-Mail-Konto ihres Arbeitgebers hat, unbefugt eine an ihren Vorgesetzten gerichtete Email und fertigt von dem Anhang einer offensichtlich privaten E-Mail eine Kopie an, die sie an eine dritte Person weitergibt, so rechtfertigt dies eine fristlose Kündigung. Dies hat das Landesarbeitsgericht Köln am 02.11.2021 entschieden und das anderslautende Urteil des ArbG Aachen vom 22.04.2021 -8 Ca 3432/20- aufgehoben.

Die Klägerin ist bei der Arbeitgeberin, einer evangelischen Kirchengemeinde, seit 23 Jahren als Verwaltungsmitarbeiterin beschäftigt. Soweit für ihre Buchhaltungsaufgaben erforderlich hatte sie Zugriff auf den Dienstcomputer des Pastors. In diesem Dienstcomputer nahm die Klägerin eine E-Mail zur Kenntnis, die den Pastor auf ein gegen ihn gerichtetes Ermittlungsverfahren wegen des Verdachts sexueller Übergriffe auf eine im Kirchenasyl der Gemeinde lebende Frau hinwies. Im E-Mail-Konto fand sie als Anhang einer privaten E-Mail einen Chatverlauf zwischen dem Pastor und der betroffenen Frau, den sie auf einem USBStick speicherte und eine Woche später anonym an eine ehrenamtliche Mitarbeiterin der Gemeinde weiterleitete. Die Klägerin gab an, sie habe die im Kirchenasyl lebende Frau schützen und Beweise sichern wollen. Nach Bekanntwerden der Vorkommnisse kündigte die Kirchengemeinde das Arbeitsverhältnis fristlos.

Erstinstanzlich hatte die Klägerin mit ihrer Kündigungsschutzklage vor dem ArbG Aachen Erfolg. Das Gericht erkannte in ihrem Verhalten zwar einen an sich wichtigen Grund für eine fristlose Kündigung, hielt diese jedoch aufgrund des langen und bisher unbelastet verlaufenen Arbeitsverhältnisses und mangels Wiederholungsgefahr für unverhältnismäßig.

Die gegen dieses Urteil eingelegte Berufung der Kirchengemeinde hatte Erfolg. Das Landesarbeitsgericht Köln sah das für die Aufgaben der Klägerin notwendige Vertrauensverhältnis als unwiederbringlich zerstört an. In der unbefugten Kenntnisnahme und Weitergabe fremder Daten lag für das Gericht auch wegen der damit einhergehenden Verletzung von Persönlichkeitsrechten ein schwerwiegender Verstoß gegen die arbeitsvertragliche Rücksichtnahmepflicht. Dieser sei auch nicht durch die von der Klägerin vorgetragenen Beweggründe, die im Kirchenasyl lebende Frau schützen und Beweise
sichern zu wollen, gerechtfertigt gewesen. Denn mit ihrer Vorgehensweise habe die Klägerin keines der angegebenen Ziele erreichen können. Angesichts der Schwere der Pflichtverletzung überwiege das Lösungsinteresse der Gemeinde das
Beschäftigungsinteresse der Klägerin deutlich. Selbst die erstmalige Hinnahme dieser Pflichtverletzung sei der Gemeinde nach objektiven Maßstäben unzumutbar und damit offensichtlich - auch für die Klägerin erkennbar – ausgeschlossen.
Das Landesarbeitsgericht hat die Revision nicht zugelassen.