Skip to content

EuGH: Regelungen der PNR-Richtlinie sind eng auszulegen - Erhebung und Verarbeitung von Fluggastdaten sind auf das absolut Notwendige zu beschränken

EuGH
Urteil vom 21.06.2022
C-817/19
Ligue des droits humains gegen Conseil des ministres


Der EuGH hat entschieden, dass die Regelungen der PNR-Richtlinie eng auszulegen sind und sich die Erhebung und Verarbeitung von Fluggastdaten auf das absolut Notwendige beschränken muss.

Die Pressemitteilung des EuGH:
Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige

Besteht keine reale und aktuelle oder vorhersehbare terroristische Bedrohung eines Mitgliedstaats, steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die eine Übermittlung und Verarbeitung von PNR-Daten bei EU-Flügen sowie bei Beförderungen mit anderen Mitteln innerhalb der Union vorsehen.

Die PNR-Richtlinie schreibt zur Bekämpfung von Terrorismus und schwerer Kriminalität die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.

Die Ligue des droits humains (Liga für Menschenrechte, LDH) ist ein gemeinnütziger Verein, der im Juli 2017 beim belgischen Verfassungsgerichtshof eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 erhoben hat, mit dem die PNR-Richtlinie, die API-Richtlinie2 und die Richtlinie 2010/653 in belgisches Recht umgesetzt wurden. Die LDH macht geltend, dieses Gesetz verletze das im belgischen Recht und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Sie rügt den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des „PNR-Systems“ auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden. Im Oktober 2019 hat der belgische Verfassungsgerichtshof dem Gerichtshof zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit der PNR-Richtlinie sowie die Vereinbarkeit des Gesetzes vom 25. Dezember 2016 mit dem Unionsrecht betreffen.

In seinem heutigen Urteil stellt der Gerichtshof erstens fest, dass die Prüfung der vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie berühren könnte, da seine Auslegung ihrer Bestimmungen im Licht der Grundrechte, die in den Art. 7, 8 und 21 sowie in Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankert sind, die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln gewährleistet.

Zunächst weist der Gerichtshof darauf hin, dass ein Rechtsakt der Union so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Dabei müssen die Mitgliedstaaten darauf achten, dass sie sich nicht auf eine Auslegung des Rechtsakts stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert. Zur PNR-Richtlinie führt der Gerichtshof aus, dass eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen eine solche Auslegung erfordern, und hebt die Bedeutung hervor, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in der Charta verankerten Grundrechte beimisst.

Der Gerichtshof stellt fest, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Flugreisen unternehmen. Er weist darauf hin, dass die Möglichkeit für die Mitgliedstaaten, einen solchen Eingriff zu rechtfertigen, zu beurteilen ist, indem seine Schwere bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung dazu in angemessenem Verhältnis steht.

Der Gerichtshof kommt zu dem Schluss, dass die in der PNR-Richtlinie vorgesehene Übermittlung, Verarbeitung und Speicherung von PNR-Daten als auf das für die Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt angesehen werden kann, sofern die in der Richtlinie vorgesehenen Befugnisse eng ausgelegt werden. Hierzu enthält das heutige Urteil unter anderem folgende Ausführungen:

- Das durch die PNR-Richtlinie eingeführte System darf sich nur auf die in den Rubriken ihres Anhangs I aufgeführten, klar identifizierbaren und umschriebenen Informationen erstrecken, die in Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen. Dies bedeutet bei einigen Rubriken dieses Anhangs, dass nur die dort ausdrücklich genannten Angaben erfasst werden.

- Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems muss auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Sie darf sich nicht auf strafbare Handlungen erstrecken, die zwar das in der Richtlinie vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen und in ihrem Anhang II aufgeführt sind, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur gewöhnlichen Kriminalität gehören.

- Die etwaige Ausdehnung der Anwendung der PNR-Richtlinie auf alle oder einen Teil der EU-Flüge aufgrund der den Mitgliedstaaten in der Richtlinie eingeräumten Befugnis muss sich auf das absolut Notwendige beschränken. Sie muss Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Hierzu führt der Gerichtshof aus:

- Nur in einer Situation, in der es nach der Einschätzung des betreffenden Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum auf alle EU-Flüge aus oder nach diesem Mitgliedstaat angewandt wird.

- Ohne eine solche terroristische Bedrohung darf die Anwendung der Richtlinie nicht auf alle EU-Flüge ausgedehnt werden, sondern muss sich auf EU-Flüge beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es nach der Einschätzung des betreffenden Mitgliedstaats Anhaltspunkte gibt, die eine Anwendung der Richtlinie rechtfertigen können. Die absolute Notwendigkeit ihrer Anwendung auf die ausgewählten EU-Flüge muss nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig überprüft werden.

- Für die Zwecke der Vorabüberprüfung der PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, und deren erster Schritt in automatisierten Verarbeitungen besteht, darf die PNR-Zentralstelle diese Daten zum einen nur mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, abgleichen. Diese Datenbanken müssen frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden. Zum anderen darf die PNR-Zentralstelle bei der Vorabüberprüfung anhand im Voraus festgelegter Kriterien keine Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme („machine learning“) heranziehen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können. Die genannten Kriterien sind so festzulegen, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an
terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte, und dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden; sie dürfen nicht zu unmittelbaren oder mittelbaren Diskriminierungen führen.

- Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl „falsch positiver“ Ergebnisse, die in den Jahren 2018 und 2019 bei ihrer Anwendung auftraten, hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab, die von der PNR-Zentralstelle in einem zweiten Schritt mit nicht-automatisierten Mitteln vorgenommen wird. Insoweit müssen die Mitgliedstaaten klare und präzise Regeln vorsehen, die Leitlinien und einen Rahmen für die von den Bediensteten der PNR-Zentralstelle, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten. Insbesondere müssen sie sich vergewissern, dass die PNR-Zentralstelle Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer (hit) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt ist, und zum anderen, ob die automatisierten Verarbeitungen keinen diskriminierenden Charakter haben. Dabei müssen sich die zuständigen Behörden vergewissern, dass der Betroffene die Funktionsweise der im Voraus festgelegten Prüfkriterien und der Programme zu ihrer Anwendung verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem Recht auf Einlegung von Rechtsbehelfen Gebrauch macht. Desgleichen müssen im Rahmen eines solchen Rechtsbehelfs das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraute Gericht sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können,
einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.

- Nachträglich, d. h. nach der Ankunft oder dem Abflug der betreffenden Person, darf eine Zurverfügungstellung und Überprüfung der PNR-Daten nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die entweder geeignet sind, den begründeten Verdacht einer Beteiligung dieser Person an schwerer Kriminalität, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, zu wecken, oder den Schluss zulassen, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung terroristischer Straftaten, die einen solchen Zusammenhang aufweisen, leisten könnten. Die Zurverfügungstellung der PNR-Daten zum Zweck einer solchen nachträglichen Überprüfung muss grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle im Anschluss an einen mit Gründen versehenen Antrag der zuständigen Behörden unterworfen werden, unabhängig davon, ob der Antrag vor oder nach Ablauf der Frist von sechs Monaten ab der Übermittlung dieser Daten an die PNRZentralstelle gestellt wurde.

Zweitens stellt der Gerichtshof fest, dass die PNR-Richtlinie im Licht der Charta nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.

Drittens entscheidet der Gerichtshof in Bezug auf die Speicherfrist der PNR-Daten, dass Art. 12 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta nationalen Rechtsvorschriften entgegensteht, die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist dieser Daten von fünf Jahren vorsehen.

Dazu führt der Gerichtshof aus, dass sich nach Ablauf der ursprünglichen sechsmonatigen Speicherfrist die Speicherung von PNR-Daten nicht auf das absolut Notwendige beschränkt, wenn sie sich auf Fluggäste bezieht, bei denen weder die Vorabüberprüfung noch etwaige Überprüfungen während der ursprünglichen sechsmonatigen Speicherfrist oder irgendein anderer Umstand objektive Anhaltspunkte – wie die Tatsache, dass die PNR-Daten der betreffenden Fluggäste im Rahmen der Vorabüberprüfung zu einem überprüften Treffer führten – geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können. Während des ursprünglichen Zeitraums von sechs Monaten überschreitet die Speicherung der PNR-Daten aller Fluggäste, für die das durch die PNR-Richtlinie geschaffene System gilt, dagegen grundsätzlich nicht die Grenzen des absolut Notwendigen.
Viertens entscheidet der Gerichtshof, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den
Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Überdies steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.


Den Volltext der Entscheidung finden Sie hier:


OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden

OLG Schleswig-Holstein
Urteil vom 03.06.2022
17 U 5/22


Das OLG Schleswig-Holstein hat abermals entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden. Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:

Der 17. Zivilsenat hält daran fest, dass dem Insolvenzschuldner regelmäßig ein Löschungsanspruch gegen die Schufa Holding AG zusteht, wenn diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Auch bei der Berechnung eines Score-Wertes darf die Schufa die Daten zum Insolvenzverfahren danach nicht mehr berücksichtigen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und am 25. März 2020 wurde das Verfahren durch Beschluss des Amtsgerichts aufgehoben. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa pflegte diese Daten von dort in ihren Datenbestand ein, um diese ihren Vertragspartnern bei laufenden Vertragsbeziehungen und Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte Ende 2020 die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne u.a. nur noch gegen Vorkasse bestellen und keine neue Wohnung anmieten.

Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Schufa und ihre Vertragspartner von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Unterlassung der Verarbeitung der Informationen zu seinem Insolvenzverfahren sechs Monate nach Aufhebung des Insolvenzverfahrens verlangen. Nach Ablauf dieser Frist überwiegen die Interessen und Grundrechte des Klägers gegenüber den berechtigten Interessen der Schufa und ihrer Vertragspartner an einer Verarbeitung, so dass sich die Verarbeitung nicht mehr als rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung darstellt.

Es ist eine konkrete Abwägung zwischen den Interessen der Schufa und ihrer Vertragspartner an der Verarbeitung der Daten und den durch die Verarbeitung berührten Grundrechten und Interessen des Klägers anzustellen. Der Kläger hat ein Interesse daran, möglichst ungehindert am wirtschaftlichen Leben teilnehmen zu können, nachdem die Informationen über sein Insolvenzverfahren aus dem Insolvenzbekanntmachungsportal gelöscht worden sind. Dieses Interesse geht dem eigenen wirtschaftlichen Interesse der Schufa als Anbieterin von bonitätsrelevanten Informationen vor. Auch gegenüber typisierend zu betrachtenden Interessen der Vertragspartner sind die Interessen des Klägers vorrangig, da keine besonderen Umstände in der Person des Klägers oder seines Insolvenzverfahrens erkennbar sind, die eine Vorratsdatenspeicherung bei der Schufa über den Zeitraum der Veröffentlichung im Insolvenzbekanntmachungsportal hinaus rechtfertigen könnten.

Die Schufa kann sich nicht auf die in den Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien genannte Speicherfrist von drei Jahren berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers. Sie vermögen auch keine Abwägung der Interessen vorzuzeichnen oder zu ersetzen. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 3. Juni 2022, Az. 17 U 5/22, Revision ist zugelassen)



BGH: EncroChat-Daten können zur Aufklärung schwerer Straftaten als Beweismittel verwendet werden und unterliegen keinem Beweisverwertungsverbot

BGH
Beschluss vom 02.03.2022
5 StR 457/21


Auch der 5. Strafsenat des BGH hat entschieden, dass EncroChat-Daten zur Aufklärung schwerer Straftaten als Beweismittel verwendet werden können und keinem Beweisverwertungsverbot unterliegen.

Die Pressemitteilung des BGH:
EncroChat-Daten zur Aufklärung schwerer Straftaten verwertbar

Der in Leipzig ansässige 5. Strafsenat des Bundesgerichtshofs hat die Revision des Angeklagten gegen ein Urteil des Landgerichts Hamburg vom 15. Juli 2021 verworfen.

Das Landgericht hat den Angeklagten wegen zehn Verbrechen des Handeltreibens mit Betäubungsmitteln in nicht geringer Menge zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt und die Einziehung von Taterlösen über mehr als 70.000 Euro angeordnet. In einigen Fällen waren zentrale Beweismittel SMS-Nachrichten des Angeklagten, die dieser über den Anbieter EncroChat zur Organisation des Drogenhandels versandt hatte. Der Angeklagte hat mit seiner Revision u.a. gerügt, dass diese von französischen Behörden 2020 erlangten und der deutschen Justiz übermittelten Daten nicht als Beweismittel hätten verwertet werden dürfen.

Der Bundesgerichtshof hat die Revision des Angeklagten auf Antrag des Generalbundesanwalts verworfen. Er hat entschieden, dass die von Frankreich übermittelten Daten des Anbieters EncroChat als Beweismittel verwertbar sind, wenn sie wie im vorliegenden Fall der Aufklärung schwerer Straftaten dienen.

1. Der Entscheidung des Bundesgerichtshofs lag folgender Sachverhalt zugrunde:

a) Nach den vom Angeklagten mit seiner Revision vorgelegten umfangreichen Unterlagen gab es in Frankreich 2017 und 2018 Hinweise darauf, dass Tatverdächtige organisierten Drogenhandel (bis zu 6 kg Heroin und 436 kg Marihuana) über besonders verschlüsselte Mobiltelefone ("Kryptohandys") des Anbieters EncroChat abwickelten. Mit diesen Geräten konnte man weder telefonieren noch das Internet nutzen, sondern lediglich Chat-Nachrichten (SMS) versenden, Notizen anlegen oder Sprachnachrichten speichern und versenden. Eine Kommunikation war nur zwischen Nutzern von EncroChat möglich. Aufgrund einer besonderen Ausstattung der Telefone und einer besonderen Verschlüsselungstechnik konnten Strafverfolgungsbehörden weder auf die damit geführte Kommunikation zugreifen noch die Geräte inhaltlich auslesen oder orten. Mit diesen Merkmalen und einer Garantie der Anonymität wurden die Geräte beworben. Allerdings konnte man sie nicht von offiziellen Verkaufsstellen, sondern nur von speziellen Verkäufern über anonyme Kanäle zu einem hohen Preis von 1.610 Euro für einen Nutzungszeitraum von sechs Monaten erwerben. Ein legal existierendes Unternehmen "EncroChat" war ebenso wenig zu finden wie Verantwortliche dieser Firma oder ein Unternehmenssitz.

b) Die französischen Strafverfolgungsbehörden leiteten ein Ermittlungsverfahren u.a. wegen des Verdachts einer kriminellen Vereinigung ein und fanden heraus, dass die verschlüsselte Kommunikation zwischen EncroChat-Nutzern über einen im französischen Roubaix betriebenen Server lief. Mit Genehmigung durch ein französisches Gericht griffen sie auf die Daten auf dem Server zu. Hierbei ergab sich, dass 66.134 SIM-Karten eines niederländischen Anbieters im System eingetragen waren, die in einer Vielzahl europäischer Länder verwendet wurden. Eine Dechiffrierung mehrerer tausend "Notizen" von EncroChat-Nutzern belegte, dass diese zweifelsfrei mit illegalen Aktivitäten wie insbesondere Drogenhandel mit bis zu 60 kg Kokain in Verbindung standen.

c) Auf Antrag der französischen Staatsanwaltschaft wurde in Frankreich richterlich u.a. die Installation einer Abfangeinrichtung zu den über den französischen Server laufenden und auf den Telefonen gespeicherten Daten ab dem 1. April 2020 genehmigt. Nach ersten Erkenntnissen wurden von den in Frankreich aktiven Telefonen sicher jedenfalls 63,7 % für kriminelle Zwecke verwendet, die übrigen Geräte (36,3 %) waren entweder teils inaktiv oder noch nicht ausgewertet. Staatsanwaltschaft und Gericht gingen nach der Auswertung der im ersten Monat erlangten Daten von einer "nahezu ausschließlich kriminellen Klientel" der EncroChat-Nutzer aus.

d) Dem Bundeskriminalamt wurden über Europol Erkenntnisse zugleitet, wonach in Deutschland eine Vielzahl schwerster Straftaten von EncroChat-Nutzern begangen wurden. Die Zentralstelle zur Bekämpfung für Internetkriminalität bei der Generalstaatsanwaltschaft Frankfurt am Main leitete daraufhin ein Ermittlungsverfahren gegen Unbekannt ein. In diesem Verfahren erging am 2. Juni 2020 eine an Frankreich gerichtete Europäische Ermittlungsanordnung mit dem Antrag, die Deutschland betreffenden EncroChat-Daten zu übermitteln und deren Verwendung in deutschen Strafverfahren zu erlauben. Beides genehmigte ein französisches Gericht am 13. Juni 2020.

2. Folgende rechtlichen Erwägungen waren für den Bundesgerichtshof entscheidend:

a) Verfassungsgemäße Rechtsgrundlage für die Verwertung von Beweisen im Strafprozess ist § 261 StPO. Dies gilt auch für im Wege der Rechtshilfe erlangte Daten. Eine ausdrückliche Regelung, dass solche Beweise nur eingeschränkt verwendet werden dürfen, enthält das deutsche Recht nicht. Da eine Verwertung von wie hier erlangten Daten einen Eingriff in das von Art. 10 GG geschützte Fernmeldegeheimnis enthalten kann, muss von Verfassungs wegen der Verhältnismäßigkeitsgrundsatz besonders beachtet werden. In Anlehnung an Verwendungsbeschränkungen wie § 100e Abs. 6 Nr. 1 StPO dürfen derart erlangte Daten zur Überführung solcher besonders schwerer Straftaten verwendet werden, für deren Aufklärung die eingriffsintensivsten Ermittlungsmaßnahmen des deutschen Strafverfahrensrechts – namentlich eine Online-Durchsuchung oder eine akustische Wohnraumüberwachung – angeordnet werden dürften. Hierzu gehören regelmäßig die in Rede stehenden Verbrechen nach dem Betäubungsmittelgesetz.

b) Das von der Revision geltend gemachte Beweisverwertungsverbot besteht unter keinem rechtlichen Gesichtspunkt.

aa) Die Frage, ob ein solches Verbot besteht, richtet sich ausschließlich nach deutschem Recht. Eine Überprüfung der französischen Ermittlungsmaßnahmen am Maßstab ausländischen Rechts findet dabei nicht statt. Es kommt damit auch nicht entscheidend darauf an, ob eine wie hier in Frankreich allein nach französischem Recht durchgeführte Maßnahme auch in Deutschland hätte angeordnet werden können. Dies ist nicht Voraussetzung für einen Transfer der nach französischem Recht von französischen Behörden erlangten Beweise in ein deutsches Strafverfahren. Die unterschiedlichen Anordnungsvoraussetzungen in Frankreich und Deutschland können auf der Ebene der Beweisverwertung kompensiert werden. Deshalb gelten hierfür die unter a) genannten besonders hohen Voraussetzungen.

bb) Ein Verstoß der Beweiserhebung gegen menschen- oder europarechtliche Grundwerte oder gegen grundlegende Rechtsstaatsanforderungen im Sinne eines im Rechtshilfeverkehr zu prüfenden "ordre public" liegt nicht vor. Nach den den französischen Behörden nach dem ersten Datenzugriff vorliegenden Informationen ging es bei den Ermittlungen nicht um eine anlasslose Massenüberwachung einer Vielzahl auch unverdächtiger Handy-Nutzer. Vielmehr stellte sich EncroChat für die französischen Behörden als ein von vorneherein auf die Unterstützung krimineller Aktivitäten ausgerichtetes und im Verborgenen agierendes Netzwerk dar. Aufgrund der ersten Erkenntnisse einer nahezu ausschließlich kriminellen Nutzung solcher Telefone war ein Nutzer hiernach schon allein aufgrund des mit erheblichen Kosten einhergehenden Erwerbs eines auf normalem Vertriebsweg nicht erhältlichen EncroChat-Handys krimineller Aktivitäten aus dem Bereich der organisierten Kriminalität wie Drogen- und Waffenhandel oder Geldwäsche verdächtig.

cc) Ein möglicher Verstoß französischer Behörden gegen die Pflicht, Deutschland zeitnah über das Bundesgebiet betreffende Abhörmaßnahmen zu unterrichten, kann schon angesichts der späteren allseitigen Genehmigung der Datenverwendung kein Beweisverwertungsverbot zur Folge haben. Ungeachtet dessen ist fraglich, ob die Unterrichtungspflicht dem Individualschutz der Betroffenen vor einer Beweisverwendung im Inland dient. Jedenfalls würde aber die gebotene Abwägung der unterschiedlichen Interessen zu einem Überwiegen des staatlichen Strafverfolgungsinteresses führen. Rechtlich unbedenklich ist auch, dass die Generalstaatsanwaltschaft Frankfurt am Main einen umfassenden Beweistransfer in einem gegen Unbekannt geführten Verfahren auf einer allgemeinen, letztlich aber jeden Nutzer konkret betreffenden Verdachtslage beantragt hat.

dd) Einen etwaigen Verstoß gegen rechtshilferechtliche Vorschriften beim Datenaustausch oder der sonstigen Zusammenarbeit zwischen französischen und deutschen Polizeibehörden vor Erlass der Europäischen Ermittlungsanordnung hat die Revision nicht geltend gemacht. Es kommt deshalb nicht darauf an, dass ein durchgreifender Rechtsfehler aufgrund der nachträglichen Einholung einer Einwilligung ohnehin nicht auf der Hand liegt, zumal die grenzüberschreitende Übermittlung von Erkenntnissen zur Strafverfolgung nach den europäischen Rechtshilfevorschriften auch ohne Rechtshilfeersuchen ohne weiteres zulässig ist. An die Verwertung der aus einem solchen Informationsaustausch stammenden Daten sind jedenfalls keine höheren Anforderungen als an die Verwertung von durch eine Europäische Ermittlungsanordnung erlangten Daten zu stellen. Eine gezielte oder systematische Umgehung dem individuellen Rechtsschutz von Beschuldigten dienender Vorschriften durch französische oder deutsche Behörden ist weder nachvollziehbar dargelegt noch sonst konkret ersichtlich.

Der Beschluss wird in Kürze in der Entscheidungsdatenbank auf der Internetseite des Bundesgerichtshofs abrufbar sein.

Vorinstanz:

Landgericht Hamburg – Urteil vom 15. Juli 2021 – 632 KLs 8/21




BGH: EncroChat-Daten sind ein zulässiges Beweismittel und können im Strafverfahren verwertet werden

BGH
Beschluss vom 08.02.2022
6 StR 639/21


Der BGH hat entschieden, dass EncroChat-Daten ein zulässiges Beweismittel sind und im Strafverfahren verwertet werden können.

Aus den Entscheidungsgründen:
Die aus den in der Antragsschrift des Generalbundesanwalts genannten Gründen unzulässige Verfahrensrüge wäre auch unbegründet. Der Senat sieht im Ergebnis die aus der Überwachung der Kommunikation über den Krypto-Messengerdienst EncroChat durch französische Behörden gewonnenen
Erkenntnisse im Einklang mit der obergerichtlichen Rechtsprechung als im Strafverfahren verwertbar an (vgl. etwa KG, NStZ-RR 2021, 353 mwN).


Den Volltext der Entscheidung finden Sie hier:

LAG Köln: Unbefugte Kenntnisnahme und Weitergabe einer offensichtlich privaten E-Mail an Dritte rechtfertigt fristlose Kündigung

LAG Köln
Urteil vom 02.11.2021
4 Sa 290/21


Das LAG Köln hat entschieden, dass die unbefugte Kenntnisnahme und Weitergabe einer offensichtlich privaten E-Mail an Dritte eine fristlose Kündigung rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen der unbefugten Kenntnisnahme und Weitergabe fremder Daten

Liest eine Arbeitnehmerin, die im Rahmen ihrer Buchhaltungsaufgaben Zugriff auf den PC und das E-Mail-Konto ihres Arbeitgebers hat, unbefugt eine an ihren Vorgesetzten gerichtete Email und fertigt von dem Anhang einer offensichtlich privaten E-Mail eine Kopie an, die sie an eine dritte Person weitergibt, so rechtfertigt dies eine fristlose Kündigung. Dies hat das Landesarbeitsgericht Köln am 02.11.2021 entschieden und das anderslautende Urteil des ArbG Aachen vom 22.04.2021 -8 Ca 3432/20- aufgehoben.

Die Klägerin ist bei der Arbeitgeberin, einer evangelischen Kirchengemeinde, seit 23 Jahren als Verwaltungsmitarbeiterin beschäftigt. Soweit für ihre Buchhaltungsaufgaben erforderlich hatte sie Zugriff auf den Dienstcomputer des Pastors. In diesem Dienstcomputer nahm die Klägerin eine E-Mail zur Kenntnis, die den Pastor auf ein gegen ihn gerichtetes Ermittlungsverfahren wegen des Verdachts sexueller Übergriffe auf eine im Kirchenasyl der Gemeinde lebende Frau hinwies. Im E-Mail-Konto fand sie als Anhang einer privaten E-Mail einen Chatverlauf zwischen dem Pastor und der betroffenen Frau, den sie auf einem USBStick speicherte und eine Woche später anonym an eine ehrenamtliche Mitarbeiterin der Gemeinde weiterleitete. Die Klägerin gab an, sie habe die im Kirchenasyl lebende Frau schützen und Beweise sichern wollen. Nach Bekanntwerden der Vorkommnisse kündigte die Kirchengemeinde das Arbeitsverhältnis fristlos.

Erstinstanzlich hatte die Klägerin mit ihrer Kündigungsschutzklage vor dem ArbG Aachen Erfolg. Das Gericht erkannte in ihrem Verhalten zwar einen an sich wichtigen Grund für eine fristlose Kündigung, hielt diese jedoch aufgrund des langen und bisher unbelastet verlaufenen Arbeitsverhältnisses und mangels Wiederholungsgefahr für unverhältnismäßig.

Die gegen dieses Urteil eingelegte Berufung der Kirchengemeinde hatte Erfolg. Das Landesarbeitsgericht Köln sah das für die Aufgaben der Klägerin notwendige Vertrauensverhältnis als unwiederbringlich zerstört an. In der unbefugten Kenntnisnahme und Weitergabe fremder Daten lag für das Gericht auch wegen der damit einhergehenden Verletzung von Persönlichkeitsrechten ein schwerwiegender Verstoß gegen die arbeitsvertragliche Rücksichtnahmepflicht. Dieser sei auch nicht durch die von der Klägerin vorgetragenen Beweggründe, die im Kirchenasyl lebende Frau schützen und Beweise
sichern zu wollen, gerechtfertigt gewesen. Denn mit ihrer Vorgehensweise habe die Klägerin keines der angegebenen Ziele erreichen können. Angesichts der Schwere der Pflichtverletzung überwiege das Lösungsinteresse der Gemeinde das
Beschäftigungsinteresse der Klägerin deutlich. Selbst die erstmalige Hinnahme dieser Pflichtverletzung sei der Gemeinde nach objektiven Maßstäben unzumutbar und damit offensichtlich - auch für die Klägerin erkennbar – ausgeschlossen.
Das Landesarbeitsgericht hat die Revision nicht zugelassen.


LG Berlin: Irreführende Werbung mit "Immobilienbewertung in zwei Minuten" im Internet wenn Nutzer nach Eingabe der Daten auf Telefonat mit Immobilienmakler verwiesen wird

LG Berlin
Urteil vom 14.09.2021
103 O 69/20


Das LG Berlin hat entschieden, dass ein Irreführende Werbung mit "Immobilienbewertung in zwei Minuten" im Internet vorliegt, wenn der Nutzer nach Eingabe der Daten in einen "Immobilien-Bewertungsrechner" nicht etwa das Bewertungsergebnis erhält, sondern auf ein Telefonat mit dem werbenden Immobilienmakler verwiesen wird. Es handelt sich um einen Fall der Wettbewerbszentrale.


OLG Karlsruhe: EncroChat-Daten sind ein zulässiges Beweismittel und können im Strafverfahren verwertet werden

OLG Karlsruhe
Beschluß vom 10.11.2021
2 Ws 261/21; HEs 2 Ws 311/21


Das OLG Karlsruhe hat entschieden, dass EncroChat-Daten ein zulässiges Beweismittel sind und im Strafverfahren verwertet werden können.

Aus den Entscheidungsgründen:

Hinsichtlich des dringenden Tatverdachts und der Beweislage wird zunächst auf die Anklageschrift vom 9.8.2021 verwiesen. Der dringende Tatverdacht gründet sich dabei im Wesentlichen auf die Erkenntnisse aus der zwischen den Tatbeteiligten über EncroChat geführten Kommunikation, die den deutschen Ermittlungsbehörden von den französischen Ermittlungsbehörden zur Verfügung gestellt wurden.

Entgegen der von der Verteidigung insoweit erhobenen Einwendungen sind diese Erkenntnisse nach vorläufiger Bewertung auf der Grundlage des Akteninhalts verwertbar.

1. Dabei ist unter Berücksichtigung der in anderen obergerichtlichen Entscheidungen (KG, Beschluss vom 30.8.2021 – 2 Ws 93/21 - 161 AR 134/21, juris; OLG Brandenburg, Beschluss vom 3.8.2021 – 2 Ws 102/21 [S]; 2 Ws 96/21, juris; OLG Düsseldorf, Beschluss vom 21.7.2021 – III 2 Ws 96/21; OLG Rostock, Beschluss vom 11.5.2021 – 20 Ws 121/21BeckRS 2021, 11981 = NJ 2021, 372-374; OLG Schleswig SchlHA 2021, 197; OLG Rostock, Beschluss vom 23.3.2021 – 20 Ws 70/21, juris; OLG Hamburg, Beschluss vom 29.1.2021 – 1 Ws 2/21 –, juris; OLG Bremen NStZ-RR 2021, 158) mitgeteilten Erkenntnisse von folgendem Verfahrensgang auszugehen:

Den in Frankreich durchgeführten und aufeinander aufbauenden Ermittlungsmaßnahmen lag folgender Sachverhalt zugrunde:

Im Rahmen von sieben nicht im Zusammenhang stehenden Ermittlungsverfahren - in fünf Fällen handelte es sich ausschließlich um Betäubungsmitteldelikte (436 kg Cannabisharz / 100 kg Cannabisharz / 30 kg Cannabisharz / 30 kg Cannabisharz / 12 kg Cannabiskraut, 6 kg Heroin, 1 kg Crack), in einem Fall um ein Betäubungsmitteldelikt (6 kg Cannabisharz) sowie um eine Diebstahlsserie von Luxuskraftfahrzeugen und in einem weiteren Fall um bandenmäßig organisierten Kraftfahrzeugdiebstahl - der französischen Behörden in den Jahren 2017 und 2018 wurden verschlüsselte Telefone unter „EncroChat-Lizenz“ sichergestellt.

Weitere Recherchen ergaben, dass diese Telefone auf einer frei zugänglichen Internetseite mit folgenden Produktmerkmalen beworben wurden: „Garantie der Anonymität, personalisierte Android Plattform, doppeltes Betriebssystem, allerneueste Technik, automatische Löschung von Nachrichten, schnelles Löschen, Unantastbarkeit, Kryptografie-Hardwaremodul“. Folgende Anwendungen waren auf dieser Art von Telefonen verfügbar: „EncroChat (lnstant-Secure Messaging Kunde), EncroTalk (Chiffrierung der Sprachkonversationen auf IP), EncroNotes (Chiffrierung der lokal auf dem Gerät gespeicherten Notizen)“. Ein Erwerb solcher Endgeräte war jedoch nicht über die offizielle Webseite dieses Unternehmens möglich.

Auf der Verkaufsplattform eBay wurden derartige Geräte für 1.610 EUR angeboten, wobei dieser Preis eine Nutzerlizenz für die Dauer von (nur) sechs Monaten beinhaltete. Personen, die sich nach außen als Verantwortliche der Firma EncroChat präsentierten, existierten nicht. Einen offiziellen Sitz eines Unternehmens EncroChat gab es ebenfalls nicht.

Anhand der Auswertung eines der beschlagnahmten Mobiltelefone konnten die Ermittlungsbehörden aufgrund der aus- und eingehenden Datenströme feststellen, dass eine Datenverbindung zu einem in Roubaix (Frankreich) betriebenen Server bestand. Dieser Server war von der Gesellschaft „Virtue Imports“ mit Sitz in Vancouver/Kanada angemietet.

Nach Einholung eines richterlichen Beschlusses wurden am 21.12.2018 die Daten des vorgenannten Servers kopiert und in der Folgezeit ausgewertet. Die Ermittlungen wurden zu diesem Zeitpunkt wegen des Verdachts der Bildung einer „kriminellen Vereinigung zur Begehung von Straftaten oder Verbrechen, die mit zehn Jahren Haft bestraft werden“, (und insbesondere Verbrechen des Betäubungsmittel-/Drogenhandels laut Artikel 222-37 des französischen Strafgesetzbuches) sowie wegen weiteren Tatbeständen im Zusammenhang mit der Lieferung, dem Transfer und dem Import eines Verschlüsselungsmittels geführt.

Die kopierten Serverdaten förderten unter anderem zutage, dass die verwendeten SIM-Karten von einem niederländischen Betreiber stammten und im System insgesamt 66.134 SIM-Karten eingetragen waren. Es konnten knapp 3.500 Dateien mit Notizen entschlüsselt werden, die nach Lage der Dinge in Verbindung mit illegalen Aktivitäten, insbesondere dem Drogenhandel, standen. So zeigten beispielsweise die Notizen eines Nutzers hochwahrscheinlich dessen Einbindung in den Drogenhandel über Häfen und dessen Möglichkeiten zur Geldwäsche in Paris durch Zahlungsströme in Richtung Marokko.

Aufgrund richterlicher Genehmigungen des Gerichts in Lille vom 30.1.2020 für den Einsatz einer Computerdaten-Abfangeinrichtung erfolgte sowohl auf dem Server als auch auf den mit diesem Server verbundenen Endgeräten die Installation einer „Trojanersoftware“ und schließlich mangels anderweitiger Ermittlungsmöglichkeiten – ebenfalls mit richterlicher Genehmigung desselben Gerichts vom 20.3.2020 – eine Umleitung aller Datenströme (DNS-Umleitung) des vorgenannten Servers in Roubaix ab dem 1.4.2020. Dabei wurde bekannt, dass von der Datenabfangmaßnahme 32.477 Nutzer in 121 Ländern betroffen waren. Hiervon befanden sich 380 Nutzer ganz oder teilweise im französischen Hoheitsgebiet, von denen nach Einschätzung der französischen Behörden mindestens 242 Personen – mithin über 60 % – das verschlüsselte Kommunikationssystem zu kriminellen Zwecken nutzten. Das Nutzungsverhalten der übrigen Personen war zu diesem Zeitpunkt noch nicht ausgewertet oder diese waren inaktiv.

Am 7.4.2020 wurden die Ermittlungen auf Transport, Besitz, Erwerb, Anbieten oder Abgabe von Drogen/Betäubungsmitteln und den Besitz und Erwerb von Waffen ohne Genehmigung ausgedehnt, nachdem nähere Informationen zum Netzwerk der Händler der EncroChat-Telefone bekannt geworden waren. In einem an einen australischen Händler versandten „Leitfaden“ zur Vermarktung der chiffrierten Telefone, der den Ablauf der unterschiedlichen Kaufphasen bis hin zum endgültigen Verkauf an die Nutzer schilderte, wurde unter anderem auch erklärt, dass die Zahlung vorzugsweise in Kryptowährung (Bitcoin) erfolgen solle, dass man sich gegenüber der Polizei verdeckt halten und insbesondere vermeiden müsse, durch mengenmäßig zu große Lieferungen aufzufallen. Dem Händler, dessen Hauptaktivität der Kokainhandel gewesen sein soll, wurde auch versichert, dass die Geräte weder „abgehört“ noch unrechtmäßig genutzt werden könnten, wenn sie „in schlechte Hände“ fielen. Insbesondere wurde darauf hingewiesen, dass der Polizei eine Lokalisierung nicht möglich sei, wenn diese an die IMEI und die SIM des Telefons gelange.

Aufgrund dieser Erkenntnisse wurden die aufgrund der richterlichen Anordnung zeitlich begrenzten technischen Maßnahmen zunächst für einen Monat ab 1.5.2020 und darauffolgend für weitere vier Monate ab 1.6.2020 – jeweils mit richterlichem Beschluss – verlängert und die Deliktstatbestände, derentwegen ermittelt wurde, erweitert. Die Maßnahmen endeten in Frankreich jedoch bereits mit der Einstellung des Geschäftsbetriebs des Unternehmens EncroChat nach ihrem Bekanntwerden am 28.6.2020.

Zu einer Unterrichtung der Bundesrepublik Deutschland - als zu unterrichtender Mitgliedstaat - durch die Republik Frankreich - als überwachender Mitgliedsstaat im Sinne von Art. 31 Abs. 1 der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3.4.2014 (ABl. L 130/1) - RL-EEA - dahingehend, dass sich die Zielperson der Überwachung auf deutschem Hoheitsgebiet befindet oder befunden hat, kam es zunächst nicht. Ebenso unterblieb auch eine Mitteilung der Bundesrepublik Deutschland nach Art. 31 Abs. 3 RL-EEA, dass die Überwachung durchzuführen oder zu beenden sei.

In der Folgezeit wurden die EncroChat-Daten dem BKA in der Zeit vom 3.4. bis zum 28.6.2020 übermittelt und dort aufbereitet. Von der Generalstaatsanwaltschaft Frankfurt am Main wurden sodann getrennte Ermittlungsverfahren gegen die ermittelten Nutzer eingeleitet und den örtlich zuständigen Staatsanwaltschaften über die jeweiligen Landeskriminalämter zugeleitet.

Vorangegangen war eine Mitteilung Frankreichs über die gewonnenen Erkenntnisse nach Art. 7 des Rahmenbeschlusses 2006/960/JI des Rates vom 18.12.2006 über die Vereinfachung des Austausches von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (ABl. 386/89). Hiernach stellen nationale Strafverfolgungsbehörden den Strafverfolgungsbehörden anderer Mitgliedstaaten Informationen und Erkenntnissen unaufgefordert zur Verfügung stellen, wenn konkrete Gründe für die Annahme bestehen, dass diese dazu beitragen könnten, Straftaten nach Art. 2 Abs. 2 des Rahmenbeschlusses 2002/584/JI des Rates vom 13.6.2002 über den Europäischen Haftbefehl und die Übergabeverfahren zwischen den Mitgliedstaaten aufzudecken, zu verhüten oder aufzuklären.

Am 2.6.2020 erließ die Generalstaatsanwaltschaft Frankfurt am Main auf der Grundlage der Art. 5 ff. RL-EEA eine Europäische Ermittlungsanordnung, welche nach Art. 1 der Richtlinie auch auf die Erlangung von Beweismitteln, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaates befinden, erlassen werden kann. In Anhang A, Abschnitt C (Sonderheft Rechtshilfe, Bl. 1), in welchem die erbetenen Maßnahmen mitgeteilt werden, heißt es: Das BKA sei über Europol informiert worden, dass in Deutschland eine Vielzahl schwerster Straftaten (insbesondere Einfuhr und Handeltreiben mit Betäubungsmitteln in nicht geringer Menge) unter Nutzung von Mobiltelefonen mit der Verschlüsselungssoftware EncroChat begangen werden. In diesem Zusammenhang wurden die französischen Justizbehörden ersucht, die unbeschränkte Verwendung der betreffenden Daten bezüglich der über EncroChat ausgetauschten Kommunikation in Strafverfahren gegen die Täter zu genehmigen.

Diese Genehmigung ist am 13.6.2020 durch die Ermittlungsrichterin in Lille erteilt und sodann die Fortsetzung der – zuvor ohne Ersuchen erfolgten – Übermittlung der nunmehr ersuchten Daten über Europol angeordnet worden. Die französischen Behörden haben einer Verwendung der Daten im Rahmen eines jeden Ermittlungsverfahrens im Hinblick auf jedwedes Gerichts-, Strafverfolgungs- oder Untersuchungsverfahren zugestimmt.

In Bezug auf die Angeklagten im vorliegenden Verfahren erließ die Staatsanwaltschaft Freiburg am 26.4.2021 und am 31.5.2021 (bezüglich des mutmaßlich vom Mitangeklagten H. genutzten EncroChat-Accounts) sowie am 27.5.2021 (bezüglich des mutmaßlich vom Angeklagten L. genutzten EncroChat-Accounts) Europäische Ermittlungsanordnungen. Die entsprechenden Genehmigungen zur umfassenden Verwertung in deutschen Strafverfahren wurden von der Ermittlungsrichterin in Lille am 4.6./5.7.2021 (bezüglich H.) und am 18.6.2021 (bezüglich L.) erteilt.

2. Die jedenfalls die Grundlage der Verwertung im vorliegenden Verfahren bildenden Europäischen Ermittlungsanordnungen der Staatsanwaltschaft Freiburg sind rechtmäßig erlassen worden.
4
Außer den in § 91j Abs. 1 IRG enthaltenen formalen Vorgaben genügen diese Ermittlungsanordnungen auch den sich aus Art. 6 Abs. 1 RL-EEA ergebenden materiellen Anforderungen (vgl. Schomburg/Lagodny, Internationale Rechtshilfe in Strafsachen, 6. Aufl., § 91j IRG Rn. 3). Danach darf eine Europäische Ermittlungsanordnung nur erlassen werden, wenn die im Ausland durchzuführende Maßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können (Art. 6 Abs. 1 lit. b RL-EEA). Zudem muss der Erlass der EEA auch dem Grundsatz der Verhältnismäßigkeit genügen, d.h. für die Zwecke des ihr zugrunde liegenden Strafverfahrens unter Berücksichtigung der Rechte der betroffenen Person notwendig und verhältnismäßig sein (Art. 6 Abs. 1 lit. a RL-EEA).

Ob sich die Prüfung dabei bloß auf die Frage der Genehmigung der Verwertung der bereits erhobenen Beweismittel beschränkt oder sich weitergehend auch auf die Rechtmäßigkeit der Erhebung der Beweise erstreckt, kann letztlich dahinstehen, nachdem bereits die Beweiserhebung auch nach deutschem Recht zulässig gewesen wäre.

a) Bei der Prüfung der Rechtmäßigkeit des Zugriffs auf die Endgeräte ist dabei im Blick zu behalten, dass sich die Ermittlungen jedenfalls auch gegen die Vertreiber der Endgeräte richteten. Danach findet der Zugriff auf die von den Angeklagten genutzten Endgeräte und die darauf gespeicherten Daten seine Grundlage jedenfalls in § 100b StPO. Auf der Grundlage der zu Vertrieb und Nutzung der mit der EncroChat-Software versehenen Endgeräte bekannt gewordenen Besonderheiten - konspirativer Vertrieb hochpreisiger mit Verschlüsselungstechnik versehener Endgeräte, die für eine konventionelle Nutzung nicht eingesetzt werden können - bestand der Anfangsverdacht gegen die Vertreiber der Geräte, damit bewusst die Begehung schwerer Straftaten der organisierten Kriminalität, die zum Katalog der in § 100b Abs. 2 StPO aufgeführten Taten gehören, zu unterstützen (vgl. KG a.a.O., Rn. 48 bei juris). Der Zugriff auf die Endgeräte war dabei gemäß § 100b Abs. 3 Nr. 2 StPO zulässig, weil direkte Ermittlungsmaßnahmen gegen die namentlich nicht bekannten Vertreiber nicht möglich waren und deshalb nur der Zugriff auf die mit den vertriebenen Endgeräten geführte Kommunikation weiteren Aufschluss über die Verwendung für die Begehung strafbarer, dem Katalog des § 100b Abs. 2 StPO unterfallender Handlungen erwarten ließ. Allein der Zugriff auf den Server, über den die Kommunikation geleitet wurde, erlaubte wegen der vorherigen Verschlüsselung bereits auf dem Endgerät keinen Zugriff auf die Kommunikationsinhalte.

b) Die Auswertung der auf den Endgeräten gespeicherten Kommunikationsinhalte, die die Beteiligung der Angeklagten an Betäubungsmittelstraftaten gemäß § 29a Nr. 2 BtMG und damit einer Katalogtat gemäß § 100a Abs. 2 Nr. 7 lit. b StPO belegten, hätten sodann auch nach deutschem Recht die Überwachung der laufenden Kommunikation gemäß § 100a Abs. 1 StPO gerechtfertigt, nachdem wegen des im Übrigen konspirativen Vorgehens der Beteiligten andere Ermittlungsmaßnahmen keinen Erfolg versprachen.

3. Soweit bei der Erhebung der Beweise durch die französischen Behörden nicht alle dafür maßgeblichen Rechtsvorschriften beachtet worden sind, führt dies im Ergebnis nicht zu einer Unverwertbarkeit der gewonnenen Beweismittel.

a) Ob das Vorgehen der französischen Behörden innerhalb des französischen Staatsgebiets den Vorgaben des französischen Rechts entsprach, ist grundsätzlich der Prüfung durch den Senat entzogen (BGHSt 58, 32); Verstöße gegen den ordre public sind insoweit nicht ersichtlich.

b) Der Zugriff auf die Endgeräte der Angeklagten in Deutschland ist aber an den rechtlichen Vorgaben der Art. 30, 31 RL-EEA zu messen (vgl. auch §§ 59 Abs. 3, 91c Abs. 2 Nr. 2 lit. c dd IRG). Die Unterrichtung der deutschen Behörden, zu der die französischen Behörden nach Art. 31 Abs. 1 RL-EEA jedenfalls ab dem Zeitpunkt verpflichtet waren, ab dem sie Kenntnis davon hatten, dass die von der Überwachung betroffenen Personen sich auf deutschem Staatsgebiet aufhielten, ist vorliegend jedoch nicht erfolgt, so dass eine - gemäß Art. 6 Abs. 1 lit. b RL-EEA zwingend durchzuführende - Prüfung der Zulässigkeit der Maßnahme nach deutschem Recht durch die zuständige Behörde nicht erfolgen konnte.

c) Dieser Verstoß führt jedoch nicht zu einem Beweisverwertungsverbot.

Ein allgemein geltender Grundsatz, demzufolge jeder Verstoß gegen Beweiserhebungsvorschriften ein strafprozessuales Verwertungsverbot nach sich zieht, ist dem Strafverfahrensrecht fremd und auch weder von Verfassungs wegen noch durch die Europäische Menschenrechtskonvention oder das Recht der Europäischen Union geboten (BVerfG NJW 2008, 3053; 2011, 2417; BVerfGE 130, 1; KG a.a.O., jew. m.w.N.). Auch wenn die Strafprozessordnung nicht auf Wahrheitserforschung "um jeden Preis" gerichtet ist, schränkt die Annahme eines Verwertungsverbotes eines der wesentlichen Prinzipien des Strafverfahrensrechts ein, nämlich den Grundsatz, dass das Gericht die Wahrheit zu erforschen und dazu die Beweisaufnahme von Amts wegen auf alle Tatsachen und Beweismittel zu erstrecken hat, die von Bedeutung sind. Das Rechtsstaatsprinzip gestattet und verlangt die Berücksichtigung der Belange einer funktionstüchtigen Strafrechtspflege, ohne die der Gerechtigkeit nicht zum Durchbruch verholfen werden kann. Der Rechtsstaat kann sich nur verwirklichen, wenn ausreichende Vorkehrungen dafür getroffen sind, dass Straftäter im Rahmen der geltenden Gesetze verfolgt, abgeurteilt und einer gerechten Bestrafung zugeführt werden. Daran gemessen bedeutet ein Beweisverwertungsverbot eine begründungsbedürftige Ausnahme, die nur nach ausdrücklicher gesetzlicher Vorschrift oder aus übergeordneten wichtigen Gründen im Einzelfall anzuerkennen ist (BVerfGE 33, 367, 383; 46, 214, 222; 122, 248, 272 f.; BGHSt 40, 211, 217; 44, 243, 249; 51, 285, 290; st. Rspr.). Ein Beweisverwertungsverbot ist aber zumindest bei schwerwiegenden, bewussten oder willkürlichen Verfahrensverstößen, bei denen die grundrechtlichen Sicherungen planmäßig oder systematisch außer Acht gelassen worden sind, geboten (vgl. BVerfGE 113, 29, 61; NJW 1999, 273; NJW 2006, 2684). Ein absolutes Beweisverwertungsverbot unmittelbar aus den Grundrechten hat das Bundesverfassungsgericht nur in den Fällen anerkannt, in denen der absolute Kernbereich privater Lebensgestaltung berührt ist (vgl. BVerfGE 34, 238, 245 f.; 80, 367, 374 f.; 109, 279, 320). Im Übrigen bedarf es einer Abwägung der für und gegen die Verwertung sprechenden Gesichtspunkte im Einzelfall. Für die Verwertbarkeit spricht stets das staatliche Aufklärungsinteresse, dessen Gewicht im konkreten Fall vor allem unter Berücksichtigung der Verfügbarkeit weiterer Beweismittel, der Intensität des Tatverdachts und der Schwere der Straftat bestimmt wird. Auf der anderen Seite muss berücksichtigt werden, welches Gewicht der Rechtsverstoß hat. Dieses wird im konkreten Fall vor allem dadurch bestimmt, ob der Rechtsverstoß gutgläubig, fahrlässig oder vorsätzlich begangen wurde, welchen Schutzzweck die verletzte Vorschrift hat, ob der Beweiswert beeinträchtigt wird, ob die Beweiserhebung hätte rechtmäßig durchgeführt werden können und wie schutzbedürftig der Betroffene ist (BVerfGE 130, 1 m.w.N.).

Im vorliegenden Fall ist dabei in die Abwägung einzustellen, dass bei Beachtung der rechtlichen Vorgaben der Überwachung aller Voraussicht nach von der zuständigen Behörde nicht widersprochen worden wäre (vgl. dazu Art. 31 Abs. 3 RL-EEA), nachdem die Beweiserhebung - wie gezeigt - auch nach deutschem Recht zulässig gewesen wäre. Zudem dienen die gewonnenen Beweise der Aufklärung und Verfolgung schwerer Straftaten der organisierten Kriminalität, die auf andere Weise nicht zu bewerkstelligen wäre. Weder sind mit der Beweisgewinnung durch die französischen Behörden Zuständigkeitsvorgaben umgangen worden (sog. Befugnis-Shopping) noch ist eine gezielte Missachtung der komplexen rechtshilferechtlichen Vorschriften erkennbar. Umgekehrt ist zwar zu berücksichtigen, dass mit den Ermittlungsmaßnahmen in die besonders sensiblen Bereiche des Fernmeldegeheimnisses (Art. 10 GG) bzw. des Schutzes der Integrität informationstechnischer Systeme als Teil des ebenfalls grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG, vgl. dazu BVerfGE 120, 274) eingegriffen wurde. Dies wird allerdings dadurch relativiert, dass die Angeklagten diesen Schutz bewusst zur Begehung schwerer Straftaten missbraucht haben und nach den gesamten Umständen, insbesondere der fehlenden Möglichkeit, die überwachten Geräte für konventionelle Kommunikation zu verwenden, von vornherein nicht zu erwarten war, dass mit der Überwachung schutzbedürftige sensible Daten gesammelt werden würden. In der Zusammenschau wiegt der Rechtsverstoß danach vorliegend nicht so schwer, dass deswegen ein Beweisverwertungsverbot geboten wäre (ebenso OLG Hamburg a.a.O.; OLG Brandenburg a.a.O.; KG a.a.O.).

II. Es besteht der Haftgrund der Fluchtgefahr (§ 112 Abs. 2 Nr. 2 StPO), die nicht durch die Erteilung von Auflagen und Weisungen nach § 116 StPO in ausreichendem Maße gemindert werden kann.

Die im Falle einer Verurteilung unter Heranziehung der gesetzlichen Strafrahmen, auch unter Berücksichtigung anzurechnender Untersuchungshaft und einer möglichen, wenn auch angesichts der Schwere der vorgeworfenen Straftaten, die ihrem gesamten Gepräge nach dem Bereich der schweren, organisierten Kriminalität zuzuordnen sind, durchaus nicht selbstverständlichen vorzeitigen Entlassung, bestehende hohe Straferwartung in dem hier anhängigen Verfahren begründet für den Beschuldigten einen erheblichen Fluchtanreiz, dem keine ausreichenden fluchthemmenden Umstände entgegenstehen.

Dabei wird nicht verkannt, dass nicht allein aus der Straferwartung auf das Bestehen von Fluchtgefahr geschlossen werden kann (Meyer-Goßner/Schmitt, StPO, 64. Aufl., § 112 Rn. 24 m.w.N.; KK-Graf, StPO, 8. Aufl., § 112 Rn. 19) und dass bei der Beurteilung der Fluchtgefahr jede schematische Beurteilung anhand genereller Maßstäbe ausscheidet, insbesondere die Annahme unzulässig ist, dass bei einer Straferwartung in bestimmter Höhe stets (oder nie) ein rechtlich beachtlicher Fluchtanreiz bestehe (KG Berlin, StV 2017, 450). Vielmehr ist eine umfassende Abwägung aller für und gegen eine bevorstehende Flucht sprechenden Umstände des konkreten Einzelfalles vorzunehmen, wobei eine hohe Straferwartung erfahrungsgemäß einen höheren Fluchtanreiz bietet (vgl. OLG Karlsruhe - Senat - StV 2010, 31). Die für eine Fluchtgefahr sprechenden „bestimmten Tatsachen“ brauchen dabei aber nicht zur vollen Überzeugung des Gerichts festzustehen; es genügt derselbe Wahrscheinlichkeitsgrad wie beim dringenden Tatverdacht. Bei der Beurteilung der Fluchtgefahr ist zudem nicht nur auf äußerlich zutage liegende Tatsachen abzustellen, sondern auch auf Erfahrungssätze und innere Tatsachen, auf die nach der Lebenserfahrung oder aufgrund äußerer Umstände geschlossen werden kann (vgl. OLG Celle, Beschluss vom 8.4.2019 - 3 Ws 102/19 -, BeckRS 2019, 7771).

Gemessen hieran sind in dem hier zu beurteilenden Fall folgende Umstände zu berücksichtigen: Der Angeklagte hat im Falle seiner Verurteilung angesichts der ganz erheblichen gehandelten Mengen unterschiedlicher Betäubungsmittel (mindestens 5 Kilogramm Kokain, 335 Kilogramm Marihuana) ungeachtet des noch nicht feststehenden Wirkstoffgehalts, der teilweisen Sicherstellung der Betäubungsmittel und des Fehlens von Vorstrafen mit der Verhängung einer erheblichen, mehrjährigen Gesamtfreiheitsstrafe zu rechnen, die weit oberhalb des bewährungsfähigen Bereichs liegen dürfte. Die gesetzliche Mindeststrafe für die in Täterschaft begangenen Delikte beträgt jeweils ein Jahr. Die Annahme minder schwerer Fälle erscheint nach gegenwärtigem Erkenntnisstand angesichts der Menge der gehandelten Betäubungsmittel, darunter auch solche mit hohem Suchtpotential, aber auch wegen des sonstigen Tatbildes (Verwendung von Krypto-Handys, teilweise wöchentlicher Umsatz großer Betäubungsmittelmengen unter Einsatz erheblicher finanzieller Mittel) eher fernliegend.

Aus der Höhe der im Falle einer Verurteilung drohenden Straferwartung ergibt sich für den Angeklagten ein so erheblicher Fluchtanreiz, sei es eine Flucht ins europäische Ausland oder ein Untertauchen im Inland, dass den vorhandenen familiären und beruflichen Bindungen kein ausreichendes fluchthemmendes Gewicht beigemessen werden kann. Hierbei ist zu berücksichtigen, dass die Fortführung des vom Angeklagten betriebenen Gewerbes im Hinblick auf die längere Inhaftierung, aber auch die im Raum stehende Einziehung von Wertersatz von mehr als 1,6 Millionen Euro erheblich in Frage gestellt ist. Allein die Beziehungen zu seiner Ehefrau und den beiden gemeinsamen Kindern sowie zu einem Sohn aus einer früheren Verbindung sind vor diesem Hintergrund nicht geeignet, die Fluchtgefahr ausreichend zu mindern, zumal es wahrscheinlich erscheint, dass er aufgrund der über einen längeren Zeitraum betriebenen Betäubungsmittelgeschäfte über Kontakte ins kriminelle Milieu, auch im Ausland - nach den vorliegenden Erkenntnissen wurde jedenfalls das Marihuana aus Spanien bezogen - verfügt, die ihm eine Flucht erleichtern.

Dass es dem Angeklagten gewisse Schwierigkeiten bereiten dürfte, dauerhaft unterzutauchen, und er bei einer Flucht ins Ausland mit seiner Auslieferung rechnen müsste, gilt für den Angeklagten in gleicher Weise wie für jeden anderen einer Straftat Verdächtigen. Mit dieser Argumentation lässt sich eine Fluchtgefahr jedoch nicht grundsätzlich verneinen, zumal es für die Annahme von Fluchtgefahr genügt, wenn der Beschuldigte sich dem Verfahren zumindest für eine gewisse Dauer zu entziehen sucht (vgl. KK-Graf, StPO, a.a.O., § 112 Rn. 17 m.w.N.).

III. Dem in Haftsachen zu beachtenden Beschleunigungsgebot (Art. 5 Abs. 3 Satz 1 Halbsatz 2 MRK, § 121 Abs. 1 StPO) wurde entsprochen. Vermeidbare, den Strafverfolgungsorganen anzulastende Verzögerungen liegen nicht vor.

Wegen des Ablaufs des Ermittlungsverfahrens wird Bezug genommen auf den Zuleitungsbericht der Staatsanwaltschaft vom 20.10.2021, der den Beteiligten bekannt gemacht wurde.

Angesichts des Schweigens des Angeklagten und der weiteren Tatbeteiligten waren komplexe Ermittlungen zur Identifizierung der hinter den benutzten EncroChat-Accounts stehenden Personen erforderlich. Obwohl der Vorsitzende der inzwischen zuständigen großen Strafkammer alsbald nach Anklageerhebung Anstrengungen unternahm, mit den Beteiligten Termine für eine Hauptverhandlung abzustimmen, ist ein Beginn der Hauptverhandlung vor allem wegen der Verhinderung des Verteidigers des Angeklagten erst ab dem 13.1.2022 möglich. Da die Termine aber mit den Beteiligten abgestimmt sind, kann danach von einem zügigen Fortgang des Verfahrens und dessen zeitnahem Abschluss ausgegangen werden.

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf: EncroChat-Daten sind ein zulässiges Beweismittel und können im Strafverfahren verwertet werden

OLG Düsseldorf
Beschluss vom 21.07.2021
III-2 WS 96/21


Auch das OLG Düsseldorf hat entschieden, dass EncroChat-Daten ein zulässiges Beweismittel sind und im Strafverfahren verwertet werden können.

Die Pressemitteilung des Gerichts:

EncroChat: Daten aus verschlüsselten Geräten sind zulässige Beweismittel

Die von den Krypto-Handys der Firma EncroChat gewonnenen Daten können in deutschen Strafverfahren verwertet werden. Dies hat der 2. Strafsenat des Oberlandesgerichts Düsseldorf unter der Leitung des Vorsitzenden Richters am Oberlandesgericht Dr. Frank Schreiber entschieden (Beschluss vom 21.07.2021, Az. III-2 WS 96/21).

Französischen Behörden war gemeinsam mit belgischen Ermittlern die Entschlüsselung der über die Plattform von EncroChat geführten konspirativen Kommunikation gelungen. Dies hat zu hunderten Verhaftungen in ganz Europa geführt. In Deutschland sehen die Oberlandesgerichte, die damit bislang befasst waren, kein Beweisverwertungsverbot. Auch das Oberlandesgericht Düsseldorf nimmt ein solches nicht an.

Aus den aus Frankreich übermittelten Daten ergaben sich konkreten Hinweise auf schwere Straftaten, die von in Deutschland ansässigen Personen begangen wurden. Dem müssen die deutschen Strafverfolgungsbehörden nachgehen. Im konkreten Fall wird dem inhaftierten Beschuldigten von der Staatsanwaltschaft Duisburg vorgeworfen, bewaffnet und bandenmäßig mit erheblichen Mengen von Betäubungsmitteln unerlaubt Handel getrieben zu haben. Einer Verwendung der ausländischen Ermittlungsergebnisse in deutschen Strafverfahren stehen bei dem Tatvorwurf derart schwerer Straftaten unter den gegebenen Umständen im Ergebnis keine (Beweis-) Verwertungsverbote entgegen, weder nach deutschem Recht noch nach den europarechtlichen Regelungen für grenzüberschreitende Ermittlungshandlungen ausländischer Strafverfolgungsbehörden.



KG Berlin: EncroChat-Daten sind ein zulässiges Beweismittel und können im Strafverfahren verwertet werden

KG Berlin
Beschluss vom 30.08.2021
2 Ws 79/21, 2 Ws 93/21


Das Kammergericht Berlin hat entschieden, dass EncroChat-Daten ein zulässiges Beweismittel sind und im Strafverfahren verwertet werden können.

Die Pressemitteilung des Kammergerichts:

Kammergericht lässt in einem Rechtsstreit über die Eröffnung eines Hauptverfahrens „EncroChat“-Daten als Beweismittel zu.

Der 2. Strafsenat des Kammergerichts hat mit Beschluss vom 30. August 2021 die durch französische Ermittlungsbehörden erhobenen „EncroChat“-Daten als zulässiges Beweismittel in einem deutschen Strafverfahren gewertet und eine auf diesen Daten basierende Anklage der Staatsanwaltschaft Berlin zur Hauptverhandlung zugelassen.

Der Entscheidung lag folgender Verfahrensgang zugrunde:

Die Staatsanwaltschaft Berlin hatte am 6. Mai 2021 Anklage zum Landgericht Berlin gegen einen 32-jährigen Mann erhoben und diesem zur Last gelegt, in mehreren Fällen unerlaubt mit Betäubungsmitteln (vor allem Cannabisprodukte, MDMA-Tabletten und Amfetamin) in nicht geringer Menge (d.h. im Kilobereich) Handel getrieben zu haben. Der Angeklagte soll sich für die Absprachen mit seinen Lieferanten und Abnehmern sowie mehreren Mittätern des als besonders abhörsicher beworbenen niederländischen Kommunikationsdienstes „EncroChat“ bedient haben.

Mit Beschluss vom 1. Juli 2021 lehnte die 25. Strafkammer des Landgerichts Berlin die Eröffnung des Hauptverfahrens ab. Die Chatnachrichten des Angeklagten seien in einem deutschen Strafverfahren als Beweismittel nicht verwertbar.

Die Chatnachrichten des Angeklagten stammten ursprünglich von einem durch französische Ermittlungsbehörden unter Beteiligung von Eurojust und Europol geführten Ermittlungsverfahren gegen die „EncroChat“-Betreiber. Im Verlauf des französischen Ermittlungsverfahrens wurde mit Genehmigung eines französischen Gerichts u.a. ein sich in Frankreich befindlicher Server mit einer Überwachungssoftware infiltriert und die Daten von insgesamt 32.477 „EncroChat“-Nutzern in 121 Ländern, u.a. in Frankreich und Deutschland, abgefangen. Zu einer Unterrichtung der Bundesrepublik Deutschland über die Überwachung sei es, so die 25. Kammer des Landgerichts, entgegen der einschlägigen Rechtshilfevorschriften nicht gekommen.

In seinem umfangreichen Beschluss hatte die Kammer entschieden, dass die sichergestellten „EncroChat“-Nachrichten als Beweismittel nicht verwertbar seien. Zur Begründung hatten die Richter ausgeführt, dass die Erhebung der Daten durch die französischen Ermittlungsbehörden sowohl gegen europäische Rechtshilfevorschriften (Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen) als auch gegen deutsche Vorschriften zur Überwachung der Telekommunikation verstoßen habe. Insbesondere sei die Überwachung des Mobiltelefons des Angeklagten ohne konkreten Tatverdacht gegen den Angeklagten erfolgt. Es habe daher an einer grundlegenden Eingriffsvoraussetzung gemangelt, so dass die Überwachung insgesamt nicht mehr als rechtsstaatlich angesehen werden könne. Die Rechtsverstöße seien so schwerwiegend, dass sie zu einem Beweisverwertungsverbot führten.

Die Staatsanwaltschaft hatte gegen den Beschluss der Kammer Beschwerde erhoben. Das Kammergericht hat nun in der Beschwerdeinstanz mit Entscheidung vom 30. August 2021 den Beschluss des Landgerichts Berlin aufgehoben und das Verfahren vor einer anderen Strafkammer des Landgerichts Berlin eröffnet. Aus Sicht des Strafsenats handele es sich bei den Daten um sogenannte „Zufallsfunde“. Die Verwendung von solchen Zufallsfunden sei nach den einschlägigen deutschen Vorschriften zur Überwachung der Telekommunikation (§ 100e Abs. 6 Nr. 1 StPO) zulässig. Es gelte zudem aufgrund des in Europa geltenden Grundsatzes der gegenseitigen Anerkennung gerichtlicher Urteile und Entscheidungen ein eingeschränkter Prüfungsmaßstab. Dies führe im Ergebnis dazu, dass die nach französischem Recht gewonnenen Erkenntnisse im deutschen Strafverfahren verwendet werden dürften.

Az.: 2 Ws 79/21, 2 Ws 93/21
Az. der Vorinstanz: 525 KLs 10/21


Den Volltext der Entscheidung finden Sie hier:



OLG Stuttgart: Herausgabe von auf Server gespeicherten Daten eines Dritten und Verpflichtung zur Verschwiegenheit keine Onlinedurchsuchung nach § 100b StPO und unzulässig

OLG Stuttgart
Beschluss vom 19.05.2021
2 Ws 75/21


Das OLG Stuttgart hat entschieden, dass die Aufforderung zur Herausgabe von auf Server gespeicherten Daten eines Dritten und Verpflichtung zur Verschwiegenheit keine Onlinedurchsuchung nach § 100b StPO. Eine derartige Emittlungsmaßnahme gegen einen IT-Dienstleister ist mangels Befugnisnorm unzulässig.

Aus den Entscheidungsgründen:

Die von der Staatsanwaltschaft Mannheim beantragte Ermittlungsmaßnahme entspricht nicht einer in § 100b StPO normierten Onlinedurchsuchung, sondern stellt sich im Hinblick auf den mitbetroffenen IT-Servicedienstleister als Maßnahme sui generis dar, die der Gesetzgeber (bislang) nicht vorgesehen hat. Insbesondere besteht keine Rechtsgrundlage dafür, den IT-Servicebetreiber zu einer Mitwirkung (1.) an einer gegenüber dem Beschuldigten heimlichen Ausforschung des IT-Systems und zum Stillschweigen (2.) darüber zu verpflichten.

1. § 100b StPO regelt den verdeckten Zugriff der Ermittlungsbehörden auf ein vom Beschuldigten genutztes informationstechnisches System mit technischen Mitteln und sieht keine heimlich auszuübende Mitwirkungsverpflichtung eines Dritten vor.

Bereits vor Normerlass war nach der Rechtsprechung des BGH die Beschlagnahme und Auswertung eines Computers und dessen vollständigen Datenbestandes nach §§ 94 ff., 102 ff. StPO mit den entsprechenden Herausgabepflichten aus § 95 StPO möglich; eine verdeckte Online-Durchsuchung war demgegenüber wegen der damit aufgrund der Heimlichkeit der Maßnahme gesteigerten Eingriffsintensität und mangels gesetzlicher Grundlage nicht zulässig (vgl. BGH, Beschluss vom 31.01.2007 - StB 18/06). Mit Einführung der Onlinedurchsuchung gemäß § 100b StPO wollte der Gesetzgeber die diesbezüglich erkannte Regelunglücke schließen und den Ermittlungsbehörden verdeckte Durchsuchungsmaßnahmen unter bestimmten, einschränkenden Voraussetzungen mit technischen Mitteln ermöglichen, wie sich der Gesetzesbegründung (BT-Drucksache 18/12785) entnehmen lässt. Die Gesetzesmotive (aaO, Seite 54) verdeutlichen, dass der Gesetzgeber eine Online-Durchsuchung im Sinne eines verdeckten, d.h. heimlichen, staatlichen Zugriffs auf ein fremdes informationstechnisches System mit dem Ziel, dessen Nutzung zu überwachen und gespeicherte Inhalte auszuleiten, verstanden wissen wollte. Da er nach der damaligen Rechtslage eine „offene“ Durchsuchung und Beschlagnahme der auf informationstechnischen Geräten gespeicherten Daten nach den §§ 94 ff., 102 ff. StPO jedoch bereits als grundsätzlich legitimiert ansah, stellte er mit der Schaffung des § 100b StPO einerseits die Heimlichkeit der Maßnahme in den Mittelpunkt und wollte zur Wahrung derselben den Einsatz technischer Instrumentarien erlauben. Er wollte staatlichen Ermittlungsbehörden ermöglichen, das IT-System eines Beschuldigten ohne dessen Wissen zu infiltrieren. Zwar lässt sich der Gesetzesbegründung nicht entnehmen, wie hiernach zum Einsatz kommende technische Mittel ausgestaltet sein sollten; die Gesetzesbegründung geht jedoch erkennbar davon aus, dass solche Mittel angewendet werden müssen, um die heimliche Datenerhebung zu erreichen. Deutlich wird in den Gesetzesmaterialien auch, dass die Informationsbeschaffung im Rahmen des § 100b StPO deutlich weiter reichen sollte, als dies bis dahin auf Grundlage einer - ausschließlich Kommunikationsinhalte umfassenden - Telekommunikationsüberwachung nach § 100a StPO möglich war; nicht nur neu hinzukommende Kommunikationsinhalte, sondern alle auf einem informationstechnischen System gespeicherten Inhalte sowie das gesamte Nutzungsverhalten einer Person sollten überwacht werden können.

Vor diesem Hintergrund setzt sich die Gesetzesbegründung auch intensiv mit der Frage auseinander, dass die Ausforschung und Untersuchung aller Daten und Aktivitäten eines IT-Systems über die reinen Kommunikationsinhalte hinaus den von Art. 1 i.V.m. Art. 2 Abs. 2 GG verfassungsrechtlich besonders geschützten Kernbereich der privaten Lebensführung betreffen kann. Dementsprechend hat der Gesetzgeber sich hinsichtlich der Eingriffsvoraussetzungen und der verfahrensrechtlichen Sicherungen des § 100b StPO an den Regelungen zur akustischen Wohnraumüberwachung orientiert. Nach den Vorstellungen des Gesetzgebers sollte von der Online-Durchsuchung den verfassungsrechtlichen Vorgaben folgend restriktiv Gebrauch gemacht werden, was auch durch die Subsidiaritätsklausel in § 100b Abs. 1 Nr. 3 StPO zum Ausdruck kommt.

Diesem gesetzgeberischen Willen und den verfassungsrechtlichen Anforderungen entsprechend ist bei der Anwendung und Auslegung der Norm nach Ansicht des Senats Zurückhaltung geboten. Die vom Gesetzgeber vorgenommene Typisierung der einzelnen Ermittlungsmaßnahmen und der ihnen jeweils innewohnende Charakter muss im Blick behalten werden: Im Ausgangspunkt erfährt daher eine Onlinedurchsuchung gemäß § 100b StPO im Gegensatz zur Durchsuchung und Beschlagnahme nach §§ 94 ff., 102 ff. StPO ihre spezifische Prägung durch die Heimlichkeit der Maßnahme. Daher sind in § 100b StPO anders als bei der Telefonüberwachung nach § 100a StPO, der Bestandsdatenauskunft nach § 100j StPO oder der Erhebung von Nutzungsdaten bei Telemediendiensten gem. § 100k StPO gerade keine Mitwirkungspflichten von Providern vorgesehen. Das Fehlen einer vergleichbaren Ermächtigungsnorm im Bereich des § 100b StPO zeigt, dass der Fall einer offenen Maßnahme gegenüber dem Diensteanbieter gerade nicht geregelt ist.

Die Anordnung einer Onlinedurchsuchung durch das Gericht erlaubt den Ermittlungsbehörden, ein bestimmtes IT-System des Beschuldigten oder eines Dritten, dessen IT-System der Beschuldigte nutzt, zu infiltrieren, um Daten aus diesem System zu erheben. Die Ausführung der Maßnahme obliegt zwar der Staatsanwaltschaft und ihren Ermittlungspersonen. Dabei ist es nach allgemeinen Grundsätzen grundsätzlich auch denkbar, dass die Staatsanwaltschaft als „Herrin des Ermittlungsverfahrens“ eine gerichtlich angeordnete Ermittlungsmaßnahme nicht oder nur teilweise ausführen lässt, etwa, wenn der Vollzug der angeordneten Maßnahme aufgrund von aktuellen Entwicklungen nicht (mehr) zweckmäßig erscheint. Auch ist es zulässig, eine gerichtlich angeordnete Maßnahme nur teilweise auszuführen, wenn sich eine in der Anordnung vorgesehene Zwangsmaßnahme durch die freiwillige Mitwirkung der betroffenen Person erübrigt.

Für nicht zulässig hält es der Senat allerdings, im Wege eines Erst-Recht-Schlusses - wie die Staatsanwaltschaft in ihrer Beschwerde argumentiert - die Verpflichtung eines Dritten zur Mitwirkung als vermeintlich milderes Mittel gegenüber einer technischen Infiltration auf Grundlage von § 100b StPO anzuordnen; hierin ist kein Minus, sondern vielmehr ein Aliud zu sehen. Die Vorschrift des § 100b StPO behandelt nämlich nur das Verhältnis von staatlichen Ermittlungsbehörden gegenüber Beschuldigten und nicht auch gegenüber Dritten. Hätte der Gesetzgeber über das in § 100b Abs. 3 S. 2 StPO bereits vorgesehene Maß hinaus in Rechte Dritter eingreifen und sie etwa zur Mitwirkung verpflichten wollen, hätte dies bereits aus verfassungsrechtlichen Gründen einer ausdrücklichen Regelung bedurft.

Denn eine offene, den Diensteanbieter verpflichtende Maßnahme nach § 100b StPO würde neben dem Eingriff in den Schutzbereich des Grundrechts auf Integrität und Vertraulichkeit informationstechnischer Systeme und dem Eingriff in das Fernmeldegeheimnis auch einen Eingriff in die Berufsausübungsfreiheit des Diensteanbieters darstellen, der nach Art. 12 Abs.1 S.2 GG einer besonderen gesetzlichen Grundlage bedürfte (vgl. BGH, Beschluss vom 20. August 2015 – StB 7/15 –, juris zu § 100a und 100b Abs. 3 S.1 a.F.). Insoweit stellt auch § 95 StPO mit der dort normierten Herausgabepflicht keine ausreichende Ermächtigungsgrundlage dar, da dieser allein die Herausgabe von (beschlagnahmefähigen) Gegenständen betrifft, worunter zwar grds. die vorliegend zu erhebenden (Bestands-) Daten fallen, nicht aber die auch dem § 100b StPO unterfallende laufende Kommunikation nebst Überwachung des Nutzungsverhaltens.

Eine gegenüber dem Diensteanbieter - und nicht einem Beschuldigten - als Eingriffsadressaten nach § 100b Abs. 3 S. 2 StPO offene Maßnahme nach § 100b StPO käme darüber hinaus vor dem Hintergrund der Subsidiaritätsklausel des § 100b Abs. 1 Nr. 3 StPO nicht in Betracht. Insoweit stellt die im vorliegenden Fall zur Erhebung von Bestandsdaten ausreichende analoge Durchsuchung und Beschlagnahme nach §§ 102 ff., 94 ff. StPO den geringeren Eingriff bei gleichem Erfolg der Maßnahme (einmalige Erhebung der zum Zeitpunkt der Durchsuchung vorhandenen Daten) dar.

2. Darüber hinaus ergibt sich aus § 100b i.V.m. § 101 Abs. 4 S. 3 u. 4 StPO, genauso wenig wie (bislang) aus den §§ 94 ff. StPO, eine Ermächtigung, den betroffenen Diensteanbieter zur Verschwiegenheit gegenüber seinem Kunden, dem Beschuldigten, zu verpflichten. Die durch § 101 Abs. 4 S. 3 u. 4 StPO ermöglichte Zurückstellung der Benachrichtigung des Betroffenen stellt lediglich eine Ausnahme von der ansonsten nach § 35 StPO spätestens mit Beginn einer Maßnahme durch die staatlichen Organe vorzunehmende Benachrichtigung dar; keinesfalls kann hierüber ein Dritter - noch dazu in Bezug auf seine Berufsausübung - zum Stillschweigen verpflichtet werden. Eine Stillschweigeverpflichtung ergibt sich für (deutsche) Diensteanbieter allein aus § 113 Abs. 6 S. 2 TKG (bzw. § 17 G 10), der aber seinerseits keine Ermächtigungsnorm für die Strafverfolgungsbehörden darstellt und dessen Reichweite sich überdies auf den Anwendungsbereich des TKG beschränkt, das auf den vorliegend in Rede stehenden Anbieter von Cloud-Diensten keine Anwendung findet.

3. Soweit die Generalstaatsanwaltschaft in ihrer Zuschrift zu bedenken gibt, dass der Einsatz qualifizierter technischer Mittel (Überwachungssoftware) im Rahmen der sog. Quellen-TKÜ auf praktische Probleme stoße und die Ermittlungsbehörden darauf angewiesen seien, auf andere Art Zugriff auf Kommunikationsplattformen oder Cloud-Dienste zu nehmen, bedarf es vorliegend keiner Entscheidung darüber, ob die Ausnutzung solcher Zugangsdaten sich als Einsatz technischer Mittel im Sinne des § 100b StPO darstellt. Da sich weder aus dem Gesetz noch aus den Gesetzesmaterialien konkrete Festlegungen zur Ausgestaltung der technischen Mittel entnehmen lassen, erscheint es nach Ansicht des Senats jedenfalls nicht von vorneherein ausgeschlossen, dass andere Eingriffe - etwa durch Verwendung eines heimlich erlangten Zugangspassworts -, die sich aus Sicht eines Systembetreibers jedenfalls als systemfremder Zugriff von außen darstellen dürften, unter § 100b StPO bzw. § 100a Abs. 1 Satz 2 StPO fallen können. In diesem Fall würden sich, solange die Maßnahme durch die Ermittlungsbehörden selbst vorgenommen wird, die in der vorliegend zu entscheidenden Konstellation maßgeblichen Probleme der mangelnden Heimlichkeit sowie der Mitwirkungspflicht eines Dritten nicht stellen.


Den Volltext der Entscheidung finden Sie hier:



OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden dürfen

OLG Schleswig-Holstein
Urteil vom 02.07.2021
17 U 15/21


Das OLG Schleswig-Holstein hat entschieden, dass ein Verstoß gegen die DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet, als sie im Insolvenzbekanntmachungsportal nach der InsoBekVO veröffentlicht werden dürfen

Die Pressemitteilung des Gerichts:

Die Schufa darf Daten eines Insolvenzschuldners nicht länger verwerten als sie im "Insolvenzbekanntmachungsportal" veröffentlicht sein dürfen

Ein Insolvenzschuldner hat einen Löschungsanspruch gegen die Schufa Holding AG, wenn sie diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und schließlich wurde ihm am 11. September 2019 durch das Amtsgericht die Restschuldbefreiung erteilt. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa kopierte die Daten von dort und pflegte sie in ihren Datenbestand ein, um Vertragspartnern diese Daten bei Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne aufgrund des Eintrags kein Darlehen aufnehmen, keinen Mietkauf tätigen und keine Wohnung anmieten. Derzeit könne er nicht einmal ein Bankkonto eröffnen. Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Vertragspartner der Schufa von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Löschung der Daten sechs Monate nach Rechtskraft der Entscheidung des Amtsgerichts über die Restschuldbefreiung verlangen. Nach Ablauf dieser Frist steht die weitere Verarbeitung durch die Schufa im Widerspruch zu § 3 Abs. 2 InsoBekVO und ist daher nicht mehr rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung. Werden die Daten des Klägers unrechtmäßig verarbeitet, kann er die Löschung dieser Information nach Art. 17 Abs. 1 lit. d) Datenschutz-Grundverordnung von der Schufa verlangen und hat einen Anspruch auf künftige Unterlassung dieser Datenverarbeitung.

Die Schufa kann sich nicht darauf berufen, dass die Datenverarbeitung rechtmäßig sei, da sie ihren oder den berechtigten Interessen von Dritten diene. Ein Interesse kann nur dann berechtigt sein, wenn es nicht im Widerspruch zur Rechtsordnung oder den Grundsätzen von Treu und Glauben steht. Die Verarbeitung durch die Schufa steht aber nach Ablauf der gesetzlichen Löschungsfrist im Widerspruch zur gesetzlichen Wertung von § 3 Abs. 2 InsoBekVO, wonach die Information zur Entscheidung über die Restschuldbefreiung nur sechs Monate im Internetportal zu veröffentlichen ist. Die Verarbeitung und Weitergabe dieser Information an eine breite Öffentlichkeit durch die Beklagte kommt einer Veröffentlichung im Internet gleich und ist daher nach Ablauf der gesetzlichen Löschungsfrist zu unterlassen.

Die Schufa kann sich nicht auf die Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers und stehen im Widerspruch zur gesetzlichen Wertung.

(Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021, Az. 17 U 15/21, Revision ist zugelassen)



LG Rostock: Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl entspricht nicht den Vorgaben der DSGVO

LG Rostock
Urteil vom 15.09.2020
3 O 762/19


Das LG Rostock hat wenig überraschend entschieden, dass die Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl nicht den Vorgaben der DSGVO entspricht.

Auch wir weisen bei der Beratung von Website-Betreibern schon immer darauf hin, dass nahezu alle der in der Praxis üblichen Cookie-Banner nicht rechtskonform sind.

Aus den Entscheidungsgründen:

(2) Die Beklagte verwendet auf ihrer Internetseite Technologien, die Drittanbieter-Cookies auf Endgeräten der Nutzer ablegen. Die Verwendung der in den Anlagen K11 - K13 bezeichneten Cookies ist unstreitig.

Der Kläger hat unter namentlicher Nennung verschiedener Tracking-Cookies weiter vorgetragen, es erfolge eine websiteübergreifende Übertragung personengebundener Daten, wie z.B. der IP-Adresse. Die Beklagte hat zwar in Bezug auf das implementierte Tool .Google Analytics“ be stritten, dass dieses die IP-Adresse an den Drittanbieter weiterleitet. Im Übrigen hat sie jedoch le diglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.

Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt (vgl BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art 5, Rn. 39 m.w.N.). Nachdem die vom Kläger konkret benannten Tracking-Technologien (vgl. Schriftsatz vom 04.OG.2020, S. 7) nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.

Zudem hat die Beklagte in ihrer Datenschutzerklärung (Anlagen K11 - K13) in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.

(3) Die für eine Verwendung dieser Cookies notwendige Einwilligung konnte zum Zeitpunkt der Abmahnung mit dem durch die Beklagte verwendeten Cookie-Banner (Anlage K6) nicht wirksam erteilt werden.

aa) Die Verwendung der hier im Streit stehenden Cookies ist einwilligungsbedürftig. Die Notwendigkeit der Einwilligung ergibt sich aus § 15 Abs. 3 TMG, der angesichts der Regelung in Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG (E-Privacy-Richtlinie) dahin richtlinienkonform aus zulegen ist, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II).

bb) Eine wirksame Einwilligung in die hier konkret beanstandete Datenverarbeitung konnten die Nutzer mit dem durch die Beklagte zur Verfügung gestellten Cookie-Banner (Anlage K6) aufgrund der gewählten Vorbelegung - alle Cookies ausgewählt (sog. Opt-Out) - nicht erteilen. Mit der Entscheidung des BGH vom 28.05.2020 zur Notwendigkeit und zur Ausgestaltung der wirksamen Einwilligung bei der Verwendung von Cookies (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II) steht fest dass die durch die Beklagte gewählte Opt-Out-Variante dazu nicht geeignet ist.

b) Die aufgrund des festzustellenden Rechtsverstoßes bestehende Vermutung für das Vorliegen einer Wiederholungsgefahr ist nicht durch die vorgetragene Änderung des Banners widerlegt Die Kammer hat ihren insoweit zunächst mit der Ladungsverfügung vom 14.04.2020 erteilten Hinweis in der mündlichen Verhandlung entsprechend korrigiert. Denn die Beklagte hat nach Ansicht der Kammer den Vertsoß nicht beseitigt. Auch das nunmehr von der Beklagten verwendete Cookie-Banner erfüllt die Voraussetzungen für eine wirksamen Einwilligung der Nutzer nicht.

(1) "Einwilligung“ der betroffenen Person ist gemäß Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden per-
sonenbezogenen Daten einverstanden ist.

Der BGH hat in der vorgenannten Entscheidung dazu ausführt:

Nach Art. 4 Nr. 11 der Verordnung (EU) 2016/679 ist Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Erwägungsgrund 32 der Verordnung (EU) 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Für den bestimmten Fall ist eine Einwilligung abgegeben, wenn Inhalt, Zweck und Tragweite der Erklärung hinreichend konkretisiert sind (vgl. DeckOK.DatonschutzR/Schild, 31. Edition (Stand 1. Februar 2020], Art. 4 DS-GVO Rn. 125; Buchner/Kühling in Kühling/Buchner, DS-GVO BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8).

(2) Eine wirksame Einwilligung Ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten "Cookie Zulassen“-Buttons aktiviert. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.

Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden' seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden "Cookie zulassen"-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert" werden.


Den Volltext der Entscheidung finden Sie hier:



EuGH: Keine wirksame datenschutzrechtliche Einwilligung durch bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf Vertragsformular

EuGH
Urteil vom 11.11.2020
C-61/19
Orange România SA / Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)


Der EuGH hat entschieden, dass keine wirksame datenschutzrechtliche Einwilligung durch ein bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf dem Vertragsformular vorliegt.

Die Pressemitteilung des EuGH:

Mit einem Vertrag über Telekommunikationsdienste, der die Klausel enthält, dass der Kunde in die Sammlung und Aufbewahrung einer Kopie seines Ausweisdokuments eingewilligt hat, kann nicht nachgewiesen werden, dass dieser seine Einwilligung gültig erteilt hat, wenn das betreffende Kästchen von dem für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt wurde

Gleiches gilt, wenn der Verbraucher über die Möglichkeit, den Vertrag auch bei Verweigerung dieser Datenverarbeitung abzuschließen, irregeführt wird oder wenn die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, beeinträchtigt wird, indem ein zusätzliches Formular verlangt wird, in dem diese Weigerung zum Ausdruck kommt Die Orange România SA bietet Mobiltelekommunikationsdienste auf dem rumänischen Markt an.

Am 28. März 2018 verhängte die Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Nationale Behörde zur Überwachung der Verarbeitung personenbezogener Daten) gegen Orange România eine Geldbuße, weil sie Kopien der Ausweisdokumente ihrer Kunden ohne deren ausdrückliche Einwilligung aufbewahrt hatte.

Nach den Angaben dieser Behörde hatte Orange România im Zeitraum vom 1. März 2018 bis zum 26. März 2018 Verträge über Mobiltelekommunikationsdienste geschlossen, die die Klausel enthielten, dass die Kunden informiert wurden und in die Sammlung und Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion einwilligten. Das diese Klausel betreffende Kästchen wurde vom für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt.

Vor diesem Hintergrund hat das Tribunalul București (Landgericht Bukarest, Rumänien) den Gerichtshof ersucht, klarzustellen, unter welchen Voraussetzungen die Einwilligung von Kunden in die Verarbeitung personenbezogener Daten als gültig angesehen werden kann.

Mit seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass das Unionsrecht eine abschließende Aufzählung der Fälle vorsieht, in denen die Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Konkret muss die Einwilligung der betreffenden Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen.
Die Einwilligung wird bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit nicht gültig erteilt.

Zudem muss, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, diese Erklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Zur Sicherstellung einer echten Wahlfreiheit für die betroffene Person dürfen die
Vertragsbestimmungen diese nicht über die Möglichkeit irreführen, den Vertrag abschließen zu können, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen.

Der Gerichtshof erläutert, da Orange România die für die Verarbeitung personenbezogener Daten Verantwortliche ist, muss sie in der Lage sein, die Rechtmäßigkeit der Verarbeitung dieser Daten nachzuweisen, im vorliegenden Fall also das Vorliegen einer gültigen Einwilligung ihrer Kunden. Da die betroffenen Kunden das Kästchen in Bezug auf die Sammlung und die Aufbewahrung von Kopien ihres Ausweisdokuments anscheinend nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden nachzuweisen. Es ist Sache des nationalen Gerichts, die dafür erforderlichen Feststellungen zu treffen.

Es ist ebenfalls Sache des nationalen Gerichts, zu prüfen, ob die in Rede stehenden Vertragsbestimmungen die betroffenen Kunden mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten. Zudem führt der Gerichtshof aus, dass Orange
România für den Fall, dass ein Kunde die Einwilligung in die Verarbeitung seiner Daten verweigert hat, verlangt hat, dass dieser schriftlich erklärt, weder in die Sammlung noch in die Aufbewahrung der Kopie seines Ausweisdokuments einzuwilligen. Nach Ansicht des Gerichtshofs ist eine solche zusätzliche Anforderung geeignet, die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, ungebührlich zu beeinträchtigen. Da es jedenfalls Orange România obliegt, nachzuweisen, dass ihre Kunden ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet haben, kann sie nicht von ihnen verlangen, dass sie ihre Weigerung aktiv bekunden.

Der Gerichtshof kommt daher zu dem Ergebnis, dass ein Vertrag über die Erbringung von Telekommunikationsdiensten, der die Klausel enthält, dass die betroffene Person über die Sammlung und die Aufbewahrung einer Kopie ihres Ausweisdokuments mit
Identifikationsfunktion informiert worden ist und darin eingewilligt hat, nicht als Nachweis dafür geeignet ist, dass diese Person ihre Einwilligung in die Sammlung und Aufbewahrung dieser Dokumente gültig erteilt hat, wenn a) das Kästchen, das sich auf diese Klausel bezieht, von dem für die Verarbeitung der Daten Verantwortlichen vor Unterzeichnung dieses Vertrags angekreuzt worden ist oder wenn b) die Vertragsbestimmungen dieses Vertrags die betroffene Person über die Möglichkeit, den Vertrag abzuschließen, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen, irreführen können oder wenn c) die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, von diesem Verantwortlichen ungebührlich beeinträchtigt wird, indem verlangt wird, dass die betroffene Person zur Verweigerung ihrer Einwilligung ein zusätzliches Formular unterzeichnet, in dem diese Weigerung zum Ausdruck kommt.


Den Volltext der Entscheidung finden Sie hier:



Volltext BGH liegt vor: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 4 Nr. 11; UKlaG § 1; BGB § 307; TMG § 15 Abs. 3


Wir hatten bereits in dem Beitrag BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss über die Entscheidung berichtet.

Leitsätze des BGH:

a) Eine wirksame Einwilligung in telefonische Werbung im Sinne von § 7 Abs. 2 Nr. 2 Fall 1 UWG liegt nicht vor, wenn der Verbraucher bei der Erklärung der Einwilligung mit einem aufwendigen Verfahren der Abwahl von in einer Liste aufgeführten Partnerunternehmen konfrontiert wird, das ihn dazu veranlassen kann, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen dem Unternehmer die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.

b) § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf. Eine elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, genügt diesem Einwilligungserfordernis nicht.

BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:



BGH: Keine wirksame Einwilligung in telefonische Werbung und Setzen technisch nicht notwendiger Cookies durch voreingestelltes Ankreuzkästchen dass vom Nutzer abgewählt werden muss

BGH
Urteil vom 28.05.2020
I ZR 7/16
Cookie-Einwilligung II

Der BGH hat entschieden, dass keine wirksame Einwilligung in telefonische Werbung und das Setzen technisch nicht notwendiger Cookies durch ein voreingestelltes Ankreuzkästchen erteilt wird, dass vom Nutzer abgewählt werden muss, wenn er die Zustimmung nicht erteilen will.

Mit dieser Entscheidung setzt der BGH nach seinem Vorlagebeschluss an den EuGH die Entscheidung des EuGH um (siehe dazu EuGH - Urteil vom 01.10.2019 - C-673/17 ).

Die Pressemitteilung des BGH:

Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung

Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

Sachverhalt:

Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.

Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:

"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."

In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.

Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Der Kläger hat außerdem Ersatz der Abmahnkosten verlangt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 1. Oktober 2019 beantwortet.

Entscheidung des Bundesgerichtshofs:

Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der "Einwilligung" richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der Verordnung (EU) 2016/679 vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.

Eine Einwilligung wird "in Kenntnis der Sachlage" im Sinne des Art. 2 Buchst. h der Richtlinie 95/46/EG erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift "für den konkreten Fall", wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung "für den bestimmten Fall" im Sinne des Art. 4 Nr. 11 der Verordnung (EU) 2016/679, die insoweit keine Rechtsänderung herbeigeführt hat.

Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage - also vor Geltung der Verordnung (EU) 2016/679 - im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.

Vorinstanzen:

LG Frankfurt am Main - Urteil vom 10. Dezember 2014 - 2/6 O 30/14

OLG Frankfurt am Main - Urteil vom 17. Dezember 2015 - 6 U 30/15

BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16, Cookie-Einwilligung I

EuGH, Urteil vom 1. Oktober 2019, C-673/17, PLANET49

Die maßgeblichen Vorschriften lauten:

§ 1 UKlaG:

Wer in Allgemeinen Geschäftsbedingungen Bestimmungen, die nach den §§ 307 bis 309 des Bürgerlichen Gesetzbuchs unwirksam sind, verwendet oder für den rechtsgeschäftlichen Verkehr empfiehlt, kann auf Unterlassung und im Fall des Empfehlens auch auf Widerruf in Anspruch genommen werden.

§ 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB:

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben benachteiligen. …

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist

§ 7 Abs. 1 Satz 1 und Abs. 2 Nr. 2 UWG:

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. …

(2) Eine unzumutbare Belästigung ist stets anzunehmen

2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.

§ 15 Abs. 3 Satz 1 TMG:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.

Art. 2 Satz 2 Buchst. f der Richtlinie 2002/58/EG:

Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck "Einwilligung" eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;

Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Art. 2 Buchst. h der Richtlinie 95/46/EG:

Im Sinne dieser Richtlinie bezeichnet der Ausdruck "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Art. 4 Nr. 11 der Verordnung (EU) 2016/679:

Im Sinne dieser Verordnung bezeichnet der Ausdruck "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Art. 94 Abs. 1 und 2 Satz 1 der Verordnung (EU) 2016/679:

(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …

Art. 95 der Verordnung (EU) 2016/679:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.