BECKMANN UND NORDA - Rechtsanwälte Bielefeld

VG Hannover
Urteil vom 30.11.2022
10 A 1195/21

Das VG Hannover hat entschieden, dass die Selbstständige Evangelisch-lutherische Kirche den Vorgaben der DSGVO und der Aufsicht durch die Landesdatenschutzbehörde unterliegt.

SELK unterliegt der Datenschutz-Grundverordnung (DSGVO) und der Aufsicht durch die Nds. Landesdatenschutzbeauftragte

10. KAMMER WEIST KLAGE EINER KIRCHE GEGEN LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ NIEDERSACHSEN AB

Die 10. Kammer hat auf die mündliche Verhandlung vom heutigen Tage die auf die Feststellung gerichtete Klage, dass die Klägerin zum einen nicht der Datenschutzgrundverordnung unterfalle, sondern eigene Datenschutzvorschriften erlassen dürfe, und zum anderen nicht der Aufsicht durch die Landesdatenschutzbeauftragte in Niedersachsen unterliege, abgewiesen.

Die Klägerin ist eine Kirche in der Rechtsform einer Körperschaft des öffentlichen Rechts. Bundesweit gehören ihr 150 Kirchengemeinden mit ca. 32.000 Mitgliedern an.

Bereits 1993 setzte sie die "Richtlinie über den Datenschutz in der Selbstständigen Evangelisch-Lutherischen Kirche" mit Teilregelungen zum Datenschutz in Kraft. 2018 beschloss die Klägerin eine neue Richtlinie, die im Wesentlichen dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland entspricht.

In der Folgezeit kam es zu Meinungsverschiedenheiten über die Anwendbarkeit der eigenen Datenschutzregeln und die Datenschutzaufsicht zwischen den Beteiligten, infolge derer die Klägerin Feststellungsklage vor dem Verwaltungsgericht erhob.

Die Klägerin begründete ihre Klage damit, dass sie aufgrund von Art. 91 Abs. 1 DSGVO berechtigt sei, eigene Datenschutzvorschriften in Kraft zu setzen und daher nicht der Anwendung der DSGVO unterliege. Infolgedessen sei sie nach Art. 91 Abs. 2 DSGVO berechtigt, eine eigene Aufsichtsbehörde einzurichten. Die Landesdatenschutzbeauftragte sei nicht zur Aufsicht berechtigt.

Das Gericht ist dieser Argumentation nicht gefolgt. Die Voraussetzungen der Vorschrift seien nicht gegeben. Die Klägerin habe zum Zeitpunkt des Inkrafttretens der DSGVO, auf den es maßgeblich ankomme, lediglich rudimentäre Regelungen zum Datenschutz in Kraft gehabt, die die Anforderungen an umfassende Datenschutzvorschriften i.S.d. Art. 91 Abs. 1 DSGVO nicht erfüllten. Art. 91 Abs. 1 DSGVO sei als Bestandsvorschrift ausgestaltet. Angesichts des klaren Wortlaut und des Sinns und Zwecks der Norm sei sie auch abschließend zu verstehen. Darin liege kein Verstoß gegen Unionsrecht. Der EuGH habe in ständiger Rechtsprechung deutlich gemacht, dass die Anwendung der Vorschriften des Unionsrechts über den Datenschutz keinen Eingriff in die organisatorische Autonomie der Religionsgemeinschaften, Art. 17 AEUV, darstelle. Soweit die Klägerin aber bereits nach Art. 91 Abs. 1 DSGVO nicht berechtigt sei, eigene Datenschutzregeln weiter anzuwenden, sei sie nach Art. 91 Abs. 2 DSGVO auch nicht berechtigt, eine eigene Aufsichtsbehörde einzurichten. Sie unterfalle damit der Aufsicht der Beklagten.

Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg binnen eines Monats nach Vorliegen der vollständigen Entscheidungsgründe die Zulassung der Berufung beantragt werden.

Urteil vom 30.11.2022 - Az. 10 A 1195/21

BGH
Beschluss vom 10.11.2022
I ZR 186/17

Der BGH hat dem EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:
BGH legt EuGH erneut eine Frage zur Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen durch Facebook vor

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (ehemals Facebook Ireland Limited), betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 28. Mai 2020 (I ZR 86/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat dazu mit Urteil vom 28. April 2022
C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der VO (EU) 2016/679 einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat nach mündlicher Verhandlung vom 29. September 2022 das Verfahren erneut ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergibt sich aus folgenden Umständen: Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.

Der Gerichtshof der Europäischen Union hat - abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht - entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13 - CR 2015, 121

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14 - GRUR-RR 2018, 115

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: …

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; ...

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; ...

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

VG Ansbach
Urteile vom 02.11.2022
AN 14 K 22.00468 und AN 14 K 21.01431

Das VG Ansbach hat entschieden, dass das Fotografieren von Falschparkern und die Übermittlung an die Polizei bzw. Ordnungsbehörden durch Privatpersonen nicht datenschutzwidrig ist. Nach Ansicht des Gerichts liegt ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs 1 lit. f DSGVO vor.

Die Pressemitteilung des Gericht:

Verwaltungsgericht Ansbach gibt Klagen gegen Verwarnungen wegen Ablichtung von Falschparkern statt

Das Verwaltungsgericht Ansbach hat mit heute bekanntgegebenen Urteilen zwei Klagen gegen Verwarnungen des Landesamtes für Datenschutzaufsicht (LDA) stattgegeben, mit denen das LDA die Ablichtung von Falschparkern rügte.

Gegenstand der Verwarnungen waren von den Klägern angefertigte Fotoaufnahmen von ordnungswidrig geparkten Fahrzeugen, die die Kläger mitsamt Anzeigen an die zuständige Polizei übersandten. Bei den angezeigten Verstößen handelte es sich beispielsweise um Parken im absoluten Halteverbot oder ordnungswidrig auf Gehwegen.

Das Gericht hatte darüber zu entscheiden, ob die Übermittlung der Bildaufnahmen eine rechtmäßige Datenverarbeitung im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f der Datenschutz-Grundverordnung (DS-GVO) darstellte. Die Regelung setzt voraus, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Die Beteiligten stritten insbesondere um die rechtliche Frage, ob für die Rechtmäßigkeit der Datenverarbeitung eine persönliche Betroffenheit des Anzeigenerstatters durch die Parkverstöße erforderlich sei und ob nicht für eine Anzeige die bloße schriftliche oder telefonische Schilderung des Sachverhalts unter Angabe des Fahrzeugkennzeichens genüge, sodass eine Übermittlung von Bildaufnahmen nicht erforderlich sei. Problematisch sei nach Ansicht des LDA zudem, dass mit den Fotos oft Daten erhoben würden, die über den reinen Parkvorgang hinausgingen, z.B. bei Ablichtung anderer Fahrzeuge und Personen. Die Kläger verwiesen auf ihnen gegenüber ergangene Hinweise der Polizei, wonach die Parksituation zum Beweis durch Fotoaufnahmen möglichst genau dokumentiert werden sollte. Zudem würde die Verfolgung der Ordnungswidrigkeiten durch die Anfertigung von Fotos
vereinfacht.

Die 14. Kammer des Verwaltungsgerichts Ansbach gab den Klagen mit Entscheidung vom 2. November 2022 statt. Die schriftlichen Urteilsbegründungen liegen noch nicht vor.

Die Entscheidungen sind nicht rechtskräftig. Gegen die Urteile kann Antrag auf Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

(VG Ansbach, Urteile vom 2. November 2022 – AN 14 K 22.00468 und AN 14 K 21.01431)

EuGH
Urteil vom 27.10.2022
C-129/21
Proximus (Öffentliche elektronische Teilnehmerverzeichnisse)

Der EuGH hat entschieden, dass Anbieter öffentlicher Verzeichnisse bei Löschungsanträgen durch gelistete Person auch Betreiber von Suchmaschinen über das Löschungsbegehren informieren müssen.

Die Pressemitteilung des EuGH:

Der für die Verarbeitung personenbezogener Daten Verantwortliche ist verpflichtet, angemessene Maßnahmen zu ergreifen, umSuchmaschinenanbieter über einen Löschungsantrag der betroffenen Person zu informieren

Der für die Verarbeitung personenbezogener Daten Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um die anderen Verantwortlichen, die ihm diese Daten übermittelt haben bzw. denen er die Daten weitergeleitet hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Stützen sich verschiedene Verantwortliche auf ein und dieselbe Einwilligung der betroffenen Person, genügt es, wenn sich diese Person an irgendeinen der Verantwortlichen wendet, um ihre Einwilligung zu widerrufen.

Proximus, ein Anbieter von Telekommunikationsdiensten in Belgien, bietet auch Teilnehmerverzeichnisse und Telefonauskunftsdienste an. Die Verzeichnisse enthalten den Namen, die Adresse und die Telefonnummer der Teilnehmer der verschiedenen Anbieter öffentlich zugänglicher Telefondienste. Diese Kontaktdaten werden von den Telefondienstanbietern an Proximus übermittelt, es sei denn, der Teilnehmer hat den Wunsch geäußert, nicht in die Verzeichnisse aufgenommen zu werden. Proximus leitet außerdem die Kontaktdaten, die sie erhält, an einen anderen Anbieter von Teilnehmerverzeichnissen weiter.

Telenet, ein belgischer Telefondienstanbieter, leitet die Kontaktdaten seiner Teilnehmer an Anbieter von Teilnehmerverzeichnissen, darunter Proximus, weiter. Einer dieser Teilnehmer forderte Proximus auf, seine Kontaktdaten in den von ihr und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Daraufhin änderte Proximus den Status dieses Teilnehmers dahin gehend, dass seine Kontaktdaten nicht mehr zu veröffentlichen waren.

In der Folge erhielt Proximus jedoch von Telenet eine Aktualisierung der Daten des fraglichen Teilnehmers. Diese Daten waren nicht als vertraulich ausgewiesen. Sie wurden von Proximus nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen erschienen. Auf die erneute Aufforderung des Teilnehmers hin, seine Daten nicht zu veröffentlichen, antwortete Proximus, dass sie die betreffenden Daten aus den Teilnehmerverzeichnissen gelöscht und Google kontaktiert habe, damit die maßgeblichen Links zur Website von Proximus entfernt würden. Proximus teilte dem fraglichen Teilnehmer außerdem mit, dass sie seine Kontaktdaten an andere Anbieter von Teilnehmerverzeichnissen weitergeleitet habe, die dank der monatlichen Aktualisierungen über sein Begehren informiert worden seien.

Gleichzeitig legte der fragliche Teilnehmer bei der belgischen Datenschutzbehörde eine Beschwerde ein. Die Streitsachenkammer dieser Behörde verpflichtete Proximus zum Ergreifen von Abhilfemaßnahmen und verhängte wegen Verstoßes gegen mehrere Vorschriften der Datenschutz-Grundverordnung (DSGVO) eine Geldbuße in Höhe von 20 000 Euro gegen sie.

Gegen diese Entscheidung legte Proximus beim Appellationshof Brüssel ein Rechtsmittel ein. Sie machte geltend, die Einwilligung des Teilnehmers sei für die Veröffentlichung seiner personenbezogenen Daten in Telefonverzeichnissen nicht erforderlich. Vielmehr müssten die Teilnehmer nach einem sogenannten „Opt-out“- System selbst beantragen, in den Teilnehmerverzeichnissen nicht aufgeführt zu werden. Solange kein solcher Antrag vorliege, dürfe der betreffende Teilnehmer in den Verzeichnissen aufgeführt werden. Die Datenschutzbehörde vertrat eine gegenteilige Auffassung und machte geltend, dass nach der Datenschutzrichtlinie für elektronische Kommunikation die „Einwilligung der Teilnehmer“ im Sinne der DSGVO vorliegen müsse, damit die Anbieter von Teilnehmerverzeichnissen ihre personenbezogenen Daten verarbeiten und übermitteln dürften.

Vor dem Hintergrund, dass der Widerruf dieser Willensäußerung bzw. „Einwilligung“ durch einen Teilnehmer nicht spezifisch geregelt ist, hat der Appellationshof Brüssel dem Gerichtshof mehrere Fragen zur Vorabentscheidung vorgelegt.

In seinem heute verkündeten Urteil bestätigt der Gerichtshof, dass die Einwilligung eines ordnungsgemäß unterrichteten Teilnehmers für die Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis erforderlich ist. Diese Einwilligung erstreckt sich auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die Einwilligung erfordert eine „in informierter Weise und unmissverständlich abgegebene“ Willensbekundung in Form einer Erklärung oder einer sonstigen „eindeutigen bestätigenden Handlung“, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Jedoch setzt eine solche Einwilligung nicht unbedingt voraus, dass die betroffene Person zum Zeitpunkt ihrer Erteilung die Identität aller Anbieter von Verzeichnissen kennt, die ihre personenbezogenen Daten verarbeiten werden.

Der Gerichtshof weist außerdem darauf hin, dass die Teilnehmer die Möglichkeit haben müssen, die Löschung ihrer personenbezogenen Daten aus Teilnehmerverzeichnissen zu erwirken. Er befindet, dass der Antrag eines Teilnehmers auf Entfernung seiner Daten als Ausübung des „Rechts auf Löschung“ im Sinne der DSGVO angesehen werden kann.

Sodann bestätigt der Gerichtshof, dass sich aus den in der DSGVO geregelten allgemeinen Verpflichtungen ergibt, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher wie Proximus geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Ein solcher Verantwortlicher muss außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt hat, informieren, damit dieser die Liste der personenbezogenen Daten, die er dem Anbieter von Teilnehmerverzeichnissen nach einem automatisierten Verfahren übermittelt, anpasst. Wenn sich nämlich, wie im vorliegenden Fall, verschiedene Verantwortliche auf eine einheitliche Einwilligung der betroffenen Person stützen, genügt es, dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet.

Abschließend befindet der Gerichtshof, dass ein Verantwortlicher wie Proximus nach der DSGVO angemessene Maßnahmen zu treffen hat, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.

Den Volltext der Entscheidung finden Sie hier:

LG Berlin
Beschluss vom 19.10.2022
(525 KLs) 279 Js 30/22 (8/22)

Das LG Berlin hat dem EuGH Fragen zur Verwertbarkeit von EncroChat-Daten im Strafverfahren zur Entscheidung vorgelegt.

Die Vorlagefragen:

I. Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Auslegung der Richtlinie 2014/41 (im Folgenden: RL EEA) vorgelegt:

1. Zur Auslegung des Merkmals "Anordnungsbehörde" nach Art. 6 Abs. 1 i.V.m. Art. 2 lit. c) RL EEA

a) Muss eine Europäische Ermittlungsanordnung (im Folgenden: EEA) zur Erlangung von Beweismitteln, die sich bereits im Vollstreckungsstaat (hier: Frankreich) befinden, von einem Richter erlassen werden, wenn nach dem Recht des Anordnungsstaats (hier: Deutschland) in einem vergleichbaren innerstaatlichen Fall die zugrunde liegende Beweiserhebung durch den Richter hätte angeordnet werden müssen ?

b) Gilt dies hilfsweise zumindest dann, wenn der Vollstreckungsstaat die zugrunde liegende Maßnahme auf dem Hoheitsgebiet des Anordnungsstaats durchgeführt hat mit dem Ziel, die abgeschöpften Daten anschließend den an den Daten interessierten Ermittlungsbehörden im Anordnungsstaat zum Zweck der Strafverfolgung zur Verfügung zu stellen ?

c) Muss eine EEA zur Erlangung von Beweismitteln unabhängig von den nationalen Zuständigkeitsregelungen des Anordnungsstaats immer dann von einem Richter (bzw. einer unabhängigen, nicht mit strafrechtlichen Ermittlungen befassten Stelle) erlassen werden, wenn die Maßnahme schwerwiegende Eingriffe in hochrangige Grundrechte betrifft ?

2. Zur Auslegung von Art. 6 Abs. 1 lit. a) RL EEA

a) Steht Art. 6 Abs. 1 lit. a) RL EEA einer EEA zur Übermittlung von im Vollstreckungsstaat (Frankreich) schon vorhandenen Daten aus einer Telekommunikationsüberwachung – insbesondere Verkehrs- und Standortdaten sowie Aufzeichnungen von Kommunikationsinhalten – entgegen, wenn die vom Vollstreckungsstaat durchgeführte Überwachung sich auf sämtliche Anschlussnutzer eines Kommunikationsdienstes erstreckte, mit der EEA die Übermittlung der Daten sämtlicher auf dem Hoheitsgebiet des Anordnungsstaates genutzten Anschlüsse begehrt wird und weder bei der Anordnung und Durchführung der Überwachungsmaßnahme noch bei Erlass der EEA konkrete Anhaltspunkte für die Begehung von schweren Straftaten durch diese individuellen Nutzer bestanden ?

b) Steht Art. 6 Abs. 1 lit. a) RL EEA einer solchen EEA entgegen, wenn die Integrität der durch die Überwachungsmaßnahme abgeschöpften Daten wegen umfassender Geheimhaltung durch die Behörden im Vollstreckungsstaat nicht überprüft werden kann ?

3. Zur Auslegung von Art. 6 Abs. 1 lit. b) RL EEA

a) Steht Art. 6 Abs. 1 lit. b) RL EEA einer EEA zur Übermittlung von im Vollstreckungsstaat (Frankreich) schon vorhandenen Telekommunikationsdaten entgegen, wenn die der Datenerhebung zugrunde liegende Überwachungsmaßnahme des Vollstreckungsstaats nach dem Recht des Anordnungsstaats (Deutschland) in einem vergleichbaren innerstaatlichen Fall unzulässig gewesen wäre ?

b) Hilfsweise: Gilt dies jedenfalls dann, wenn der Vollstreckungsstaat die Überwachung auf dem Hoheitsgebiet des Anordnungsstaats und in dessen Interesse durchgeführt hat ?

4. Zur Auslegung von Art. 31 Abs. 1, Abs. 3 RL EEA

a) Handelt es sich bei einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes um eine Überwachung des Telekommunikationsverkehrs im Sinne von Art. 31 RL EEA ?

b) Muss die Unterrichtung nach Art. 31 Abs. 1 RL EEA stets an einen Richter gerichtet werden oder gilt dies zumindest dann, wenn die vom überwachenden Staat (Frankreich) geplante Maßnahme nach dem Recht des unterrichteten Staats (Deutschland) in einem vergleichbaren innerstaatlichen Fall nur durch einen Richter angeordnet werden könnte ?

c) Soweit Art. 31 RL EEA auch dem Individualschutz der betroffenen Telekommunikationsnutzer dient, erstreckt sich dieser auch auf die Verwendung der Daten zur Strafverfolgung im unterrichteten Staat (Deutschland) und ist gegebenenfalls dieser Zweck gleichwertig mit dem weiteren Zweck, die Souveränität des unterrichteten Mitgliedsstaats zu schützen ?

5. Rechtsfolgen einer unionsrechtswidrigen Beweiserlangung

a) Kann sich bei einer Beweismittelerlangung durch eine unionsrechtswidrige EEA unmittelbar aus dem unionsrechtlichen Effektivitätsgrundsatz ein Beweisverwertungsverbot ergeben ?

b) Führt bei einer Beweismittelerlangung durch eine unionsrechtswidrige EEA der unionsrechtliche Äquivalenzgrundsatz zu einem Beweisverwertungsverbot, wenn die der Beweisgewinnung im Vollstreckungsstaat zugrunde liegende Maßnahme in einem vergleichbaren innerstaatlichen Fall im Anordnungsstaat nicht hätte angeordnet werden dürfen und die durch eine solche rechtswidrige innerstaatliche Maßnahme gewonnenen Beweise nach dem Recht des Anordnungsstaats nicht verwertbar wären ?

c) Verstößt es gegen Unionsrecht, insbesondere den Grundsatz der Effektivität, wenn die strafprozessuale Verwertung von Beweismitteln, deren Erlangung gerade wegen eines fehlenden Tatverdachts unionsrechtswidrig war, im Rahmen einer Interessenabwägung mit der Schwere der erstmals durch die Auswertung der Beweismittel bekannt gewordenen Taten gerechtfertigt wird ?

d) Hilfsweise: Ergibt sich aus dem Unionsrecht, insbesondere dem Grundsatz der Effektivität, dass Unionsrechtsverstöße bei der Beweismittelerlangung in einem nationalen Strafverfahren auch bei schweren Straftaten nicht vollständig ohne Folge bleiben dürfen und daher zumindest auf der Ebene der Beweiswürdigung oder der Strafzumessung zugunsten des Beschuldigten berücksichtigt werden müssen ?

Aus den Entscheidungsgründen:
Die zu den EncroChat-Daten bisher ergangenen höchstrichterlichen und obergerichtlichen Entscheidungen gehen sämtlich von der Verwertbarkeit der EncroChat-Daten aus. Soweit Verstöße gegen Unionsrecht angenommen oder zumindest in Betracht gezogen werden, wird im Rahmen der Abwägung unter Hinweis auf die Schwere der anhand der EncroChat-Daten ermittelten Straftaten den Strafverfolgungsinteressen der Vorrang eingeräumt (zu Art. 31 RL EEA: BGH aaO. Rn. 44; vgl. auch – wohl zu Art. 6 RL EEA –: KG, Beschluss vom 30. August 2021 – juris Rn. 55). Auch eine Berücksichtigung an anderer Stelle – insbesondere der Beweiswürdigung oder der Strafzumessung – wird, soweit ersichtlich, den Tatgerichten nicht abverlangt; die strafmildernde Berücksichtigung des Verstoßes gegen Art. 31 RL EEA hat der Bundesgerichtshof sogar ausdrücklich als fehlerhaft beanstandet (BGH, Urteil vom 3. August 2022 – 5 StR 203/22 –, juris Rn. 19).

Die Kammer hat Zweifel, ob dies mit dem Unionsrecht vereinbar ist.

a) Nach ständiger Rechtsprechung des Europäischen Gerichtshofs ist es grundsätzlich Sache des nationalen Rechts, die Rechtsfolgen von Verstößen gegen Unionsrecht zu regeln. Die Verfahrensautonomie der Mitgliedstaaten wird jedoch begrenzt durch den Grundsatz der Effektivität (Gerichtshof, Urteil vom 2. März 2021 – C-746/18 –, juris Rn. 42 m.w.N.). Danach muss das nationale Recht Sorge dafür tragen, dass der Beschuldigte in einem Strafverfahren durch rechtswidrig erlangte Informationen und Beweise keine unangemessenen Nachteile erleidet (Gerichtshof aaO. Rn. 43).

Dies kann grundsätzlich nicht nur durch ein Beweisverwertungsverbot erreicht werden, sondern auch durch eine Berücksichtigung der Rechtsverstöße bei der Beweiswürdigung oder im Rahmen der Strafzumessung (Gerichtshof, Urteile vom 2. März 2021, aaO. Rn. 43, und vom 6. Oktober 2020, La Quadrature du Net u.a – C-511/18 u.a. –, juris Rn. 225). Gleichwohl kann nach der Rechtsprechung des Gerichtshofs der Effektivitätsgrundsatz im Einzelfall das nationale Gericht verpflichten, rechtswidrig erlangte Beweise vom Verfahren auszuschließen (Gerichtshof, Urteile vom 20. September 2022 – C-339/20 u.a. –, juris Rn. 106, vom 2. März 2021, aaO. Rn. 44 und vom 6. Oktober 2020, aaO. Rn. 226 f.; grundlegend Urteil vom 10. April 2003, Steffensen – C-276/01 –, juris Rn. 77 ff. im Anschluss an EGMR, Urteil vom 18. März 1997, Mantovanelli/Frankreich Tz. 36). Die Kammer versteht diese Rechtsprechung dahin, dass der Rechtsverstoß in einem solchen Fall qua Unionsrecht stets den Ausschluss der Beweise zur Folge haben muss und es auf eine Abwägung mit den nationalen Strafverfolgungsinteressen und insbesondere auf die Schwere der in Rede stehenden Straftaten nicht mehr ankommt.

Es spricht einiges dafür, ein solches unmittelbar aus dem unionsrechtlichen Effektivitätsgrundsatz hergeleitetes Verwertungsverbot auch hier anzunehmen. Denn der Grundsatz des fairen Verfahrens ist in mehrerlei Hinsicht beeinträchtigt worden:

Bereits der Umstand, dass die mit der EEA angeforderten Daten wegen der französischen Geheimhaltung nicht durch einen technischen Sachverständigen überprüft werden können, dürfte die vom Gerichtshof in der Entscheidung vom 10. April 2003 (Steffensen) entwickelten Voraussetzungen erfüllen, unter denen das Gericht Beweise ausschließen muss. Hinzu kommen die oben zu I. bis III. angesprochenen mehrfachen Missachtungen formeller und materieller Sicherungsmechanismen nach Art. 31 und Art. 6 RL EEA, die entweder unmittelbar von den deutschen Strafverfolgungsbehörden zu verantworten sind oder vor denen sie zumindest die Augen verschlossen haben. Wären alle diese Vorgaben des Unionsrechts beachtet worden, wären die Daten der deutschen Nutzer weder erhoben noch bei Europol gespeichert und schon gar nicht an die deutschen Behörden zum Zweck der Strafverfolgung übermittelt worden.

Weiter hinzu tritt schließlich, dass die europäischen Agenturen und die deutschen Strafverfolgungsbehörden die Sachaufklärung und die Verteidigung durch die Verweigerung der Herausgabe von für die Verteidigung erheblichen Aktenbestandteilen und die Weigerung, verfahrensrelevante Dokumente überhaupt in die Akten aufzunehmen, im Nachgang weiter erschwert haben. Besonders gravierend wirkt sich dabei die Weigerung aus, die über das SIENA-System ausgetauschten Nachrichten zur Akte zu bringen (die wenigen im vorliegenden Verfahren bekannt gewordenen SIENA-Nachrichten wurden von der Verteidigung eingereicht und stammen mutmaßlich aus dem Ausland). Dadurch lässt sich etwa nicht überprüfen, ob es – was angesichts der SIENA-Nachricht vom 20. August 2020 naheliegt – Mitteilungen zu technischen Auffälligkeiten gab, die für die Bewertung der Chat-Nachrichten von Bedeutung sein könnten. Die ohnehin schon mit der französischen Geheimhaltung verbundene Beschränkung der Verteidigungsmöglichkeiten wurde dadurch weiter vertieft; ein von Art. 7 Abs. 4 RL 2012/13 gedeckter Rechtfertigungsgrund ist dafür nicht ersichtlich. Auch das in dem BKA-Schreiben vom 13. Mai 2020 angekündigte Verschweigen wesentlicher Informationen gegenüber dem Ermittlungsrichter passt in diesen Zusammenhang, da die aus dem Rechtsstaatsprinzip folgende Aufgabe des Ermittlungsrichters, die Ermittlungen eigenverantwortlich zu prüfen, unterlaufen wurde (vgl. zum Gebot der Aktenvollständigkeit im Ermittlungsverfahren BGH NStZ 2022, 561 f.). Insgesamt wurde damit in sämtlichen Verfahrensabschnitten eine unabhängige externe Überprüfung der Datengewinnung und -weiterverwendung verhindert.

All dies zusammen genommen dürfte in mehrfacher Hinsicht im Widerspruch zu den Wertungen der Art. 7 Abs. 2 RL 2012/13, Art. 47, 48 GRCh, Art. 6 Abs. 1 EMRK stehen und stellt die Fairness des Verfahrens in seiner Gesamtheit in Frage.

b) Die Autonomie der Mitgliedstaaten bei der Regelung der Rechtsfolgen von Verstößen gegen Unionsrecht wird weiter begrenzt durch den Grundsatz der Äquivalenz. Danach dürfen Verstöße gegen Unionsrecht nicht in geringerem Maße sanktioniert werden als vergleichbare Verstöße gegen innerstaatliches Recht (Urteil des Gerichtshofs vom 2. März 2021, aaO. Rn. 42).

Auch unter diesem Aspekt könnte man hier an ein zwingendes Verwertungsverbot denken. Denn nach dem deutschen Strafprozessrecht hätten bei einer Abhörmaßnahme sowohl der Verstoß gegen den Richtervorbehalt als auch der fehlende konkrete Verdacht einer Katalogtat jeweils die Unverwertbarkeit der Daten zur Folge. Es ist nicht ersichtlich, weshalb für vergleichbare Verstöße im Zusammenhang mit dem Erlass einer EEA etwas anderes gelten sollte.

c) Sofern sich demgegenüber aus dem Unionsrecht kein zwingendes Verwertungsverbot ergibt, kommt es nach dem deutschen Strafprozessrecht auf eine umfassende Interessenabwägung an. Der Bundesgerichtshof und die Obergerichte stellen maßgeblich auf das Gewicht der aufzuklärenden Straftaten ab und folgern daraus, dass das staatliche Strafverfolgungsinteresse gegenüber dem Individualschutz der betroffenen EncroChat-Nutzer den Vorrang genieße (vgl. BGH, Beschluss vom 2. März 2022, aaO. Rn. 36, 44, 57; OLG Karlsruhe, Beschluss vom 10. November 2021 – 2 Ws 261/21 –, juris Rn. 33). Die Kammer hat Zweifel, ob diese Argumentation mit dem Unionsrecht vereinbar ist.

Der Gerichtshof hat mehrfach entschieden, dass das Ziel, schwere Straftaten zu bekämpfen, eine allgemeine unterschiedslose Vorratsdatenspeicherung nicht rechtfertigen kann (Urteile vom 6. Oktober 2020, La Quadrature du Net, aaO. Rn. 141, vom 2. März 2021, aaO. Rn. 50 und vom 5. April 2022, aaO. Rn. 65). Solche rechtswidrig anlasslos gespeicherten Vorratsdaten sind dem anschließenden Zugriff der Strafverfolgungsbehörden auch dann entzogen, wenn sie im konkreten Fall der Aufklärung schwerer Taten dienen sollen. Dies gilt umso mehr, wenn – wie hier – mit einiger Wahrscheinlichkeit von der Datenabschöpfung auch Berufsgeheimnisträger – wie etwa Rechtsanwälte und Journalisten – betroffen sind (vgl. zu diesen Gesichtspunkt Gerichtshof, Urteil vom 20. September 2022, Spacenet u.a. – C-793/19 u.a. –, juris Rn. 82) und auch Kommunikationsinhalte erfasst werden.

Zu dieser Wertung und dem Grundsatz der Effektivität könnte es im Widerspruch stehen, wenn ein Rechtsverstoß, der unmittelbar an den fehlenden Tatverdacht anknüpft, unter Verweis auf nachträgliche Erkenntnisse aus den rechtswidrig erlangten Daten ohne Sanktion bleibt. Die Kammer neigt danach zu der Ansicht, dass bei der Abwägung, ob ohne ausreichenden Tatverdacht erlangte Daten trotz des Verstoßes gegen Art. 6 Abs. 1 lit. a) und b) RL EEA verwertbar sind, das Gewicht der konkret in Rede stehenden Straftaten nur mit verringertem Gewicht berücksichtigt werden darf mit der Folge, dass bei einem Eingriff in hochrangige Grundrechte allein dieser Gesichtspunkt den Rechtsverstoß nicht aufwiegen und damit die Verwertung nicht rechtfertigen kann.

Vergleichbar lässt sich zu Art. 31 Abs. 1 RL EEA argumentieren: Die Schwere dieses Verstoßes ergibt sich maßgeblich daraus, dass das zuständige deutsche Gericht die Maßnahme wegen fehlenden Tatverdachts untersagt hätte. Auch hier erscheint es widersprüchlich und mit dem Grundsatz der Effektivität schwer zu vereinbaren, wenn bei der Abwägung dem Gewicht der nachträglich ermittelten Straftaten der Vorrang eingeräumt wird.

d) Hilfsweise entnimmt die Kammer den Entscheidungen des Gerichtshofs vom 10. April 2003 (Steffensen, aaO. Rn. Rn. 78 ff.), vom 2. März 2021 (aaO. Rn. 43) und vom 6. Oktober 2020 (La Quadrature du Net, aaO. Rn. 225) zumindest, dass ein grundrechtsrelevanter Verstoß gegen Unionsrecht nicht vollständig ohne Auswirkungen auf das nationale Strafverfahren bleiben darf. Danach gebietet es der Grundsatz der Effektivität nach dem Verständnis der Kammer jedenfalls, die Rechtsverstöße entweder bei der Beweiswürdigung oder als Milderungsgrund im Rahmen der Strafzumessung zu berücksichtigen. Mit Blick auf die Behinderung der Verteidigung durch die fehlende Überprüfbarkeit der Datengewinnung wäre dabei insbesondere an einen geminderten Beweiswert zu denken mit der Folge, dass allein auf die Daten eine Verurteilung nicht gestützt werden darf (vgl. – zur vorenthaltenen Befragung von Zeugen – EGMR, Urteil vom 23. April 1997, van Mechelen u.a. vs. Niederlande, Tz. 56 ff.; BVerfG, Beschluss vom 20. Dezember 2000 – 2 BvR 591/00 –, juris Rn. 44 m.w.N.). Auch die Ansicht des 5. Strafsenats des Bundesgerichtshofs (Urteil vom 3. August 2022 – 5 StR 203/22 –, juris Rn. 19), der Verstoß gegen Art. 31 RL EEA dürfe nicht strafmildernd berücksichtigt werden, erscheint mit Blick auf den Effektivitätsgrundsatz problematisch.

Den Volltext der Entscheidung finden Sie hier:

Das Bundesministeriums der Justiz (BMJ) versucht sich abermals an einer unionsrechtskonformen Regelung zur Vorratsdatenspeicherung und hat den Referentenentwurf eines Gesetzes zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
Mit Urteil vom 20. September 2022 – C-793/19 und C-794/19 – hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass die Vorschriften des deutschen Rechts zur sogenannten Vorratsdatenspeicherung nicht mit dem Unionsrecht vereinbar sind. Diese Entscheidung fügt sich in die bisherige Rechtsprechung des Gerichtshofs seit dem Jahr 2014 ein, wonach eine generelle und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Nutzer auch zur Bekämpfung schwerer Kriminalität nicht mit dem Unionsrecht vereinbar ist.

Schon zuvor liefen die im Jahr 2015 eingeführten Regelungen zur „Vorratsdatenspeicherung“ in den §§ 175 bis 181 des Telekommunikationsgesetzes (TKG) und in § 100g Absatz 2 der Strafprozessordnung (StPO) weitgehend leer. Nachdem das Oberverwaltungsgericht Nordrhein-Westfalen im Juni 2017 im Eilverfahren die Speicherpflicht gegenüber den klagenden Telekommunikationsdienste-Anbietern einstweilig ausgesetzt hatte, verzichtete die Bundesnetzagentur nämlich bis zur endgültigen Klärung, ob diese Vorschriften europarechtskonform sind, auf jegliche Maßnahmen zur Durchsetzung der gesetzlich nach wie vor bestehenden Speicherpflicht.

Diese Klärung hat der EuGH nunmehr vorgenommen. Aus seinem Urteil folgt, dass der Versuch einer unionsrechtskonformen Ausgestaltung einer anlasslosen „Vorratsdatenspeicherung“ zu Strafverfolgungszwecken im nationalen Recht gescheitert ist; eine Neuauflage der allgemeinen und unterschiedslosen „Vorratsdatenspeicherung“ aller Verkehrsdaten ist aufgrund der höchstrichterlichen Vorgaben nicht möglich.

Zur effektiven Erlangung von digitalen Beweismitteln steht aber eine Alternative zur Verfügung. Der EuGH hat in seinem Urteil vom 20. September 2022 ausdrücklich ausgeführt, dass mit einer anlassbezogenen Sicherung von Verkehrsdaten für einen festgelegten Zeitraum, die einer wirksamen richterlichen Kontrolle unterliegt, ein grundrechtsschonenderes und effektives Ermittlungsinstrument vorhanden ist, welches einer unionsrechtskonformen Regelung im Strafverfahrensrecht zugänglich ist. Diese Vorgaben des Gerichtshofs zu einer unionsrechtskonformen, anlassbezogenen Verkehrsdatenspeicherung sollen mit diesem Gesetz umgesetzt werden.

B. Lösung
Mit diesem Gesetz werden zum einen als zwingende Folge des Urteils des EuGH vom 20. September 2022 – C-793/19 und C-794/19 – die gegen das Unionsrecht verstoßenden Regelungen der „Vorratsdatenspeicherung“ in § 100g Absatz 2 StPO und in den §§ 175 bis 181 TKG aufgehoben.

Zugleich wird in einem neu gefassten § 100g Absatz 5 StPO das Ermittlungsinstrument einer Sicherungsanordnung bereits vorhandener und künftig anfallender Verkehrsdaten eingeführt. Deren Sicherung soll anlassbezogen zur Verfolgung von erheblichen Straftaten zulässig sein, soweit die Verkehrsdaten für die Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsorts eines Beschuldigten von Bedeutung sein können. Die Maßnahme soll im Grundsatz nur auf Anordnung eines Richters zulässig sein. Damit wird die Menge der zu speichernden Daten auf das notwendige Maß begrenzt, da nur die bei den Anbietern von Telekommunikationsdiensten aus geschäftlichen Gründen ohnehin bereits vorhandenen und künftig anfallenden Verkehrsdaten gesichert werden dürfen („Einfrieren“). Diese Daten stehen den Strafverfolgungsbehörden für eine begrenzte Zeit für eine spätere Erhebung und Auswertung zur Verfügung, die freilich einer erneuten richterlichen Anordnung bedarf („Auftauen“).

Die vorgeschlagene Regelung – auch „Quick-Freeze-Regelung“ genannt – steht im Einklang mit den Anforderungen, die der EuGH in seiner Rechtsprechung zur „Vorratsdatenspeicherung“ seit 2014 formuliert hat. Auch das von der Bundesrepublik Deutschland unterzeichnete und ratifizierte Übereinkommen des Europarats über Computerkriminalität, die sogenannte Budapest-Konvention, enthält in Artikel 16 eine Verpflichtung der Vertragsstaaten, die zuständigen Behörden zu ermächtigen, die umgehende Sicherung von Verkehrsdaten anzuordnen.

Es handelt sich also um eine neue Ausgestaltung der verpflichtenden Verkehrsdatenspeicherung, die einerseits den Grundrechtsschutz der Nutzer von Telekommunikationsdiensten gewährleistet. Andererseits wird den Strafverfolgungsbehörden ein rechtssicheres und effektives Ermittlungsinstrument zur Bekämpfung schwerer Kriminalität im digitalen Raum an die Hand gegeben. Damit trägt der Entwurf zur Erreichung von Ziel 16 „Frieden, Gerechtigkeit und starke Institutionen“ der Agenda 2030 für nachhaltige Entwicklung bei. Die Folgeänderungen im TKG und in der Telekommunikations-Überwachungsverordnung (TKÜV) dienen dazu, auch die dortigen Vorschriften zur „Vorratsdatenspeicherung“ aufzuheben und die aus der neuen Sicherungsanordnung folgenden Speicherungs-, Abfragungs- , Übermittlungs- und Löschungspflichten für die Telekommunikationsdienste-Anbieter zu regeln. Neben weiteren Folgeänderungen im Bundespolizeigesetz (BPolG), BSI-Gesetz, Bundeskriminalamtgesetz (BKAG), Zollfahndungsdienstgesetz (ZFdG) und im Einführungsgesetz zur Strafprozessordnung (EGStPO) soll durch Änderungen im Justizvergütungsund -entschädigungsgesetz (JVEG) sichergestellt werden, dass die verpflichteten Unternehmen auch für ihren im Einzelfall im Rahmen der Sicherungsanordnung nach § 100g Absatz 5 StPO-E anfallenden Aufwand angemessen entschädigt werden.

Sie finden den Entwurf hier:

In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.

BAG
Urteil vom 25.08.2022
2 AZR 225/20

Das BAG hat entschieden, dass der Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG nicht gegen die Vorgaben der DSGVO verstößt. Damit setzt das BAG die Entscheidung des EuGH um (siehe dazu EuGH: Vorgaben der DSGVO stehen deutscher Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegen).

Aus den Entscheidungsgründen:

I. Die von der Beklagten ausgesprochene ordentliche Kündigung ist gemäß § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG, § 134 BGB nichtig. Der Klägerin konnte als zum Zeitpunkt des Kündigungszugangs verpflichtend bestellte Datenschutzbeauftragte der Beklagten nur außerordentlich aus wichtigem Grund gekündigt werden. Der durch das BDSG normierte Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten ist mit Unionsrecht und nationalem Verfassungsrecht vereinbar.

1. Die Voraussetzungen des Sonderkündigungsschutzes nach § 6 Abs. 4 Satz 2 BDSG liegen vor. Die Klägerin war im Zeitpunkt des Kündigungszugangs verpflichtend bestellte Datenschutzbeauftragte der Beklagten iSv. § 38 Abs. 1 Satz 1 und Abs. 2 BDSG. Für das Eingreifen des Sonderkündigungsschutzes ist es ohne Bedeutung, dass die Kündigung während der im Arbeitsvertrag vereinbarten Probezeit von sechs Monaten sowie der Wartezeit (§ 1 Abs. 1 KSchG) zugegangen ist (vgl. zur Probezeit: ErfK/Franzen 22. Aufl. BDSG § 38 Rn. 10; zur Wartezeit: Schaub ArbR-HdB/Rinck 19. Aufl. § 145 Rn. 7). Anderes wäre weder mit dem Wortlaut der Regelung vereinbar, der insoweit keine Einschränkungen vorsieht, noch mit dem Zweck des Sonderkündigungsschutzes, durch den die „Position“ des Datenschutzbeauftragten gestärkt werden soll (vgl. BT-Drs. 16/12011 S. 30 zu § 4f Abs. 3 Satz 5 BDSG aF).

2. Aufgrund der teilweisen Rücknahme der Revision durch die Beklagte im Termin vom 30. Juli 2020 steht inzwischen rechtskräftig fest, dass die Stellung der Klägerin als Datenschutzbeauftragte nicht aufgrund der Abberufung durch die Beklagte am 13. Juli 2018 beendet wurde, was von der Klägerin ebenfalls mit ihrer Klage angegriffen worden war. Unabhängig davon könnte sich die Klägerin anderenfalls auf den nachwirkenden Kündigungsschutz gemäß § 6 Abs. 4 Satz 3 BDSG berufen.

3. Dem durch § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG bewirkten Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten steht Art. 38 Abs. 3 Satz 2 DSGVO, der nur ein Abberufungs- und Benachteiligungsverbot des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“ vorsieht, nicht entgegen.

a) Der Gerichtshof der Europäischen Union hat mit Urteil vom 22. Juni 2022 (- C-534/20 – [Leistritz]) aufgrund des Vorlagebeschlusses des Senats vom 30. Juli 2020 (- 2 AZR 225/20 (A) -) entschieden, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

b) Durch die Kündigungsschutzbestimmungen in § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG wird die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

aa) Ziel des Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem Erwägungsgrund 97 zur DSGVO, dass die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit „ausüben können sollten“ (EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 26 f.). Es soll im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 28). Dabei steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 34). Diese führen dann zu einer unzulässigen Beeinträchtigung der mit der DSGVO verfolgten Ziele, wenn ein strengerer nationaler Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35).

bb) Durch § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG werden die Ziele der DSGVO nicht beeinträchtigt. Die Kündigung – wie auch die Abberufung – des Datenschutzbeauftragten ist nach nationalem Recht zwar an besondere Anforderungen geknüpft, da jeweils die Schwelle des „wichtigen Grundes“ erreicht werden muss. Damit werden die Voraussetzungen, unter denen der Verantwortliche das Arbeitsverhältnis mit einem verpflichtend benannten Datenschutzbeauftragten beenden kann, erhöht, jedoch ist ihm dies weder unmöglich noch unzumutbar erschwert. Insbesondere ist auch nach nationalem Recht nicht „jede“ Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (so ausdrücklich EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35), verboten. Die personen- oder verhaltensbedingten Gründe müssen nur die Erheblichkeitsschwelle des „wichtigen Grundes“ erreichen. Die Möglichkeit eines Abberufungsverlangens durch die Aufsichtsbehörden der Länder nach § 40 Abs. 6 Satz 2 BDSG unterstreicht, dass Datenschutzbeauftragte, die ihre Aufgaben nicht im Einklang mit der DSGVO erfüllen, nach nationalem Recht nicht vor jedem Verlust ihrer Rechtsstellung geschützt werden. Zur Sicherung der Ziele der DSGVO wird es im Übrigen in der Regel – neben der Abberufung des Datenschutzbeauftragten – nicht erforderlich sein, dessen Arbeitsverhältnis zu kündigen (vgl. APS/Greiner 6. Aufl. DSGVO Art. 38 Rn. 30).

cc) Eine Beeinträchtigung der Ziele der DSGVO durch die Sonderkündigungsschutznorm des § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG ist auch vorliegend nicht gegeben. Der dazu gehaltene pauschale Vortrag der Beklagten, wonach es sich nach kurzer Zeit herausgestellt habe, dass die anfallenden Aufgaben von einer internen Datenschutzbeauftragten nicht hätten erledigt werden können, viele Aufgaben unbearbeitet geblieben seien und diese auch nicht zeitnah und termingerecht „von einer einzigen Datenschutzbeauftragten“ hätten erbracht werden können, ist nicht geeignet, eine unzulässige Beeinträchtigung der Ziele der DSGVO allein durch den Fortbestand des Arbeitsverhältnisses aufgrund der nationalen Kündigungsschutzregelung aufzuzeigen.

4. Entgegen der von der Beklagten zuletzt vertieften Auffassung verstößt die normative Ausgestaltung des Sonderkündigungsschutzes von betrieblichen Datenschutzbeauftragten nicht gegen ihre Grundrechte aus Art. 12 Abs. 1, Art. 14 Abs. 1 sowie Art. 3 Abs. 1 GG.

a) Eine grundrechtliche Prüfung der Sonderkündigungsschutznorm für den betrieblichen Datenschutzbeauftragten gemäß § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG und ihrer Anwendung ist primär am Maßstab der Grundrechte des Grundgesetzes vorzunehmen (vgl. BVerfG 6. November 2019 – 1 BvR 16/13 – [Recht auf Vergessen I] Rn. 42, BVerfGE 152, 152). Es handelt sich hierbei um unionsrechtlich nicht vollständig determiniertes innerstaatliches Recht. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union bestehen hinsichtlich datenschutzrechtlicher Regelungen und den diese ergänzenden arbeitsrechtlichen Regelungen „geteilte Zuständigkeiten“ der Union und der Mitgliedstaaten (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 30 ff.). Die DSGVO enthält zahlreiche Öffnungsklauseln, mit denen sie die Normsetzungskompetenz ausdrücklich auf die Mitgliedstaaten überträgt, wodurch sie sich von einer klassischen Verordnung unterscheiden und in die Nähe einer Richtlinie rücken lässt (so ausdrücklich die Schlussanträge des Generalanwalts de la Tour vom 27. Januar 2022 – C-534/20 – [Leistritz] Fn. 28).

b) In Bezug auf das Grundrecht aus Art. 14 Abs. 1 GG ist schon der Schutzbereich nicht berührt. Die Eigentumsgarantie schützt das Erworbene, also die Ergebnisse geleisteter Arbeit, Art. 12 Abs. 1 GG dagegen den Erwerb, mithin die Betätigung selbst. Da sich die Beklagte gegen Regelungen wendet, die ihre Erwerbs- und Leistungstätigkeit als Unternehmerin beeinträchtigen (können), ist allein der Schutzbereich der Berufsfreiheit berührt (vgl. BVerfG 30. Juli 2008 – 1 BvR 3262/07 ua. – zu B I 1 a der Gründe, BVerfGE 121, 317). Die Begrenzung der Innehabung und Verwendung vorhandener Vermögensgüter, für die der Schutz des Art. 14 GG grundsätzlich in Betracht kommt, sind dabei nur mittelbare Folgen der angegriffenen Handlungsbeschränkung; Art. 14 Abs. 1 GG wird daher von Art. 12 Abs. 1 GG als dem sachnäheren Grundrecht verdrängt (vgl. BVerfG 8. Juni 2010 – 1 BvR 2011/07 ua. – zu B II 1 der Gründe, BVerfGE 126, 112).

c) Hinsichtlich des Eingriffs in den Schutzbereich von Art. 12 Abs. 1 GG (vgl. BVerfG 30. Juli 2003 – 1 BvR 792/03 – zu B II 1 a der Gründe) ist die gesetzliche Regelung gemessen an der Regelungsabsicht eine geeignete, erforderliche wie auch angemessene Einschränkung der Berufsfreiheit, die im Wesentlichen dem Sonderkündigungsschutz für Betriebsräte (§ 15 Abs. 1 KSchG) oder Immissionsschutzbeauftragte (§ 58 Abs. 2 BImSchG) entspricht.

aa) Der Sonderkündigungsschutz ist dazu geeignet, dass betriebliche Datenschutzbeauftragte ihre sich aus § 7 BDSG ergebenden Aufgaben und Befugnisse selbstbewusst gegenüber dem Arbeitgeber durchführen und einfordern sowie ihre Unabhängigkeit im Interesse eines effektiven Datenschutzes zu stärken (vgl. BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 45 f., BAGE 169, 59; zu den Zielen des Sonderkündigungsschutzes nach dem BDSG aF, die der Gesetzgeber in der Neufassung der Sache nach fortgeschrieben hat, vgl. BT-Drs. 18/11325 S. 82). Soweit die Beklagte diese Zielsetzung unter Bezugnahme auf die Entscheidung des Gerichtshofs der Europäischen Union vom 22. Juni 2022 (- C-534/20 – [Leistritz] Rn. 31) nicht mehr für maßgeblich hält, verkennt sie, dass der Gerichtshof nicht zur Auslegung des nationalen Rechts berufen ist (vgl. EuGH 6. März 2018 – C-52/16 und C-113/16 – [SEGRO und Horváth] Rn. 98).

(1) Das verfassungsrechtliche Geeignetheitsgebot verlangt keine vollständige Zielerreichung, sondern lediglich eine Eignung zur Förderung des legislativen Ziels. Der Gesetzgeber verfügt in der Beurteilung der Eignung einer Regelung über eine Einschätzungsprärogative. Verfassungsrechtlich genügt es grundsätzlich, wenn die Möglichkeit der Zweckerreichung besteht. Eine Regelung ist erst dann nicht mehr geeignet, wenn sie die Erreichung des Gesetzeszwecks in keiner Weise fördern kann oder sich sogar gegenläufig auswirkt (vgl. BVerfG 7. April 2022 – 1 BvL 3/18 ua. – Rn. 300; 8. Juli 2021 – 1 BvR 2237/14 ua. – Rn. 131 mwN, BVerfGE 158, 282).

(2) Durch den Sonderkündigungsschutz wird der Datenschutzbeauftragte vor einem Arbeitsplatzverlust bewahrt, der ihm – und sei es in verschleierter Form – wegen der Ausübung seiner Tätigkeit drohen kann. Durch den besonderen Kündigungsschutz wird seine Unabhängigkeit bei der Erledigung der gesetzlichen Aufgaben geschützt, was der Durchsetzung der Ziele des BDSG und der DSGVO zugutekommt. Eine solche Sicherstellung der Amtsausübung hält sich jedenfalls im Rahmen der gesetzgeberischen Einschätzungsprärogative.

bb) Der besondere Kündigungsschutz des betrieblichen Datenschutzbeauftragten ist für die vom Gesetzgeber erstrebten Ziele erforderlich.

(1) Grundrechtseingriffe dürfen nicht weitergehen, als es der Schutz des Gemeinwohls erfordert. Daran fehlt es, wenn ein gleich wirksames Mittel zur Erreichung des Gemeinwohlziels zur Verfügung steht, das den Grundrechtsträger weniger und Dritte und die Allgemeinheit nicht stärker belastet. Dem Gesetzgeber steht grundsätzlich auch für die Beurteilung der Erforderlichkeit ein Einschätzungsspielraum zu (vgl. BVerfG 23. März 2022 – 1 BvR 1187/17 – Rn. 125; 19. November 2021 – 1 BvR 781/21 ua. – Rn. 204).

(2) Der Gesetzgeber hat sich mit der Frage der Erforderlichkeit des Sonderkündigungsschutzes für Datenschutzbeauftragte ausdrücklich beschäftigt und angenommen, dass sich das bis zum Jahr 2009 bestehende gesetzliche Benachteiligungsverbot sowie die erschwerte Möglichkeit der Abberufung des Datenschutzbeauftragten als in der Praxis nicht ausreichend erwiesen habe, vor allem dann, wenn die Aufgabe des Datenschutzbeauftragten – was der Regelfall sei – nur als Teilaufgabe wahrgenommen werde (vgl. BT-Drs. 16/12011 S. 30). Dass eine das Grundrecht der Beklagten aus Art. 12 Abs. 1 GG weniger belastende, aber sachlich in jeder Hinsicht gleichwertige Regelung zur Zweckerreichung des gesetzgeberischen Ziels möglich wäre, ist – auch angesichts des Einschätzungsspielraums des Gesetzgebers – nicht zu erkennen. Insbesondere ist nicht offensichtlich, dass ein Sonderkündigungsschutz, der – ähnlich wie das Benachteiligungsverbot – allein an die „Erfüllung der Aufgaben des Datenschutzbeauftragten“ anknüpfte, dieselbe Wirksamkeit hätte.

cc) Der Sonderkündigungsschutz für Datenschutzbeauftragte ist auch verhältnismäßig im engeren Sinne.

(1) Die Angemessenheit und damit die Verhältnismäßigkeit im engeren Sinne erfordert, dass der mit der Maßnahme verfolgte Zweck und die zu erwartende Zweckerreichung nicht außer Verhältnis zu der Schwere des Eingriffs stehen. Es ist Aufgabe des Gesetzgebers, die entgegenstehenden verfassungsrechtlich geschützten Rechtsgüter unter Ausnutzung seines Einschätzungs-, Wertungs- und Gestaltungsspielraums gegeneinander abzuwägen und in einen Ausgleich zu bringen (vgl. BVerfG 27. April 2022 – 1 BvR 2649/21 – Rn. 203; 23. März 2022 – 1 BvR 1187/17 – Rn. 134 mwN).

(2) Der Eingriff in das durch Art. 12 Abs. 1 GG geschützte Interesse der Beklagten, in ihrem Unternehmen nur Mitarbeiter zu beschäftigen, die ihren Vorstellungen entsprechen, und deren Zahl auf das von ihr bestimmte Maß zu beschränken, ist durchaus erheblich. Die Möglichkeit einer ordentlichen Kündigung des Arbeitsverhältnisses wird dem Arbeitgeber genommen, selbst wenn der Kündigungssachverhalt nichts mit der Tätigkeit als Datenschutzbeauftragter zu tun hat. Hinzu kommt, dass der Arbeitgeber der Sache nach an das einmal gewählte Konzept eines betriebsinternen Datenschutzbeauftragten gebunden bleibt, da auch die Abberufung nach § 6 Abs. 4 Satz 1 BDSG nur in entsprechender Anwendung des § 626 BGB zulässig ist. Eine organisatorische Änderung, nach der der betriebliche Datenschutz zukünftig durch einen externen statt durch einen internen Datenschutzbeauftragten gewährleistet werden soll, rechtfertigt den Widerruf der Bestellung aus wichtigem Grund nicht (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 18 ff.). Dadurch wird die Kündigung des Arbeitsverhältnisses in besonderer Weise erschwert und zwar bereits in der Wartezeit (§ 1 Abs. 1 KSchG), während der das Arbeitsverhältnis regelmäßig unter erleichterten Bedingungen beendet werden kann.

(3) Dem stehen aber die vom Gesetzgeber als besonders wichtig angesehenen Ziele des Datenschutzes gegenüber, dessen Effizienz von einem unabhängigen Datenschutzbeauftragten besonders gefördert werden kann. Das BDSG dient der Umsetzung der DSGVO und soll ein reibungsloses Zusammenspiel mit ihr ermöglichen (vgl. BT-Drs. 18/11325 S. 1). Die DSGVO hebt in Erwägungsgrund 1 hervor, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist (vgl. Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und Art. 16 Abs. 1 AEUV). Angesichts dieser Bedeutung des Datenschutzes, die sich der deutsche Gesetzgeber zu eigen gemacht hat, können auch erhebliche Eingriffe in die Berufsausübungsfreiheit von Grundrechtsträgern als verhältnismäßig angesehen werden. Dabei ist es von besonderer Bedeutung, dass von dem Verantwortlichen nichts Unzumutbares verlangt wird. Die Kündigung (und auch die Abberufung) des Datenschutzbeauftragten ist zwar erschwert, aber an den Maßstab des § 626 Abs. 1 BGB („wichtiger Grund“) gebunden, der gerade auf die Unzumutbarkeit der Beschäftigung bis zum Ablauf der (ordentlichen) Kündigungsfrist abstellt.

(a) Insoweit geht die Beklagte zu Unrecht davon aus, sie könne einem internen Datenschutzbeauftragten „auf Lebenszeit“ nicht mehr betriebsbedingt kündigen. Vielmehr kommt nach der Senatsrechtsprechung eine auf betriebliche Gründe gestützte außerordentliche Kündigung in Betracht, wenn die Möglichkeit einer ordentlichen Kündigung ausgeschlossen ist und dies dazu führt, dass der Arbeitgeber den Arbeitnehmer anderenfalls trotz Wegfalls der Beschäftigungsmöglichkeit noch für Jahre vergüten müsste, ohne dass dem eine entsprechende Arbeitsleistung gegenüberstünde (vgl. BAG 27. Juni 2019 – 2 AZR 50/19 – Rn. 13; 18. Juni 2015 – 2 AZR 480/14 – Rn. 30, BAGE 152, 47).

(b) Darüber hinaus hat sich die Beklagte freiwillig dafür entschieden, ihre gesetzlichen Aufgaben auf einen betrieblichen Datenschutzbeauftragten zu übertragen, dessen Arbeitsverhältnis während dieser Zeit einem besonderen Kündigungsschutz unterliegt. Bei der erstmaligen Benennung eines Datenschutzbeauftragten kann eine nichtöffentliche Stelle frei entscheiden, ob sie einen internen oder externen Datenschutzbeauftragten benennen will (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 19). Davon unterscheidet sich der ähnlich starke Sonderkündigungsschutz eines Betriebsratsmitglieds in § 15 Abs. 1 KSchG (der durch das Erfordernis der Zustimmung des Betriebsrats nach § 103 BetrVG sogar noch verstärkt wird). Wenn der Arbeitgeber hingegen von seinem Wahlrecht Gebrauch macht und sich für einen internen Datenschutzbeauftragten entscheidet, ist der in diesem Zusammenhang bereits feststehende Sonderkündigungsschutz nach § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nicht unverhältnismäßig, sondern beruht ebenso auf einer freien Entscheidung des Verantwortlichen wie die Benennung eines Arbeitnehmers zum internen Datenschutzbeauftragten, der sich noch in der gesetzlichen Wartezeit nach § 1 Abs. 1 KSchG befindet.

d) Die Beklagte beruft sich ohne Erfolg auf einen Verstoß gegen Art. 3 Abs. 1 GG. Der Gesetzgeber hat mit dem Kündigungsschutz aus § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nicht gegen den allgemeinen Gleichheitssatz verstoßen (vgl. zu Letzterem BVerfG 8. Juni 2016 – 1 BvR 3634/13 – Rn. 16 mwN; 26. Januar 1993 – 1 BvL 38/92 ua. – zu B I 1 der Gründe, BVerfGE 88, 87). Selbst wenn wegen des Rechts der Beklagten aus Art. 12 Abs. 1 GG vorliegend nicht nur eine bloße Willkürkontrolle, sondern eine Verhältnismäßigkeitsprüfung durchzuführen wäre (vgl. dazu BVerfG 21. März 2015 – 1 BvR 2031/12 – Rn. 6 ff.), läge keine Verletzung des allgemeinen Gleichheitssatzes des Art. 3 Abs. 1 GG vor.

aa) Soweit die Beklagte auf eine ungleiche Behandlung von Arbeitgebern, die (interne) Datenschutzbeauftragte beschäftigen und solchen, die (interne) Immissionsschutzbeauftragte (vgl. § 58 Abs. 2 BImSchG; sh. zB auch Gewässerschutzbeauftragte (§ 66 WHG iVm. § 58 Abs. 2 BImSchG), Störfallbeauftragte (§ 58d iVm. § 58 Abs. 2 BImSchG) oder Abfallbeauftragte (§ 60 Abs. 3 KrWG iVm. § 58 Abs. 2 BImSchG)) beschäftigen, abstellt, liegt eine „wesentlich ungleiche“ Behandlung der betroffenen Arbeitgebergruppen hinsichtlich der Beachtung eines Sonderkündigungsschutzes der jeweiligen „Beauftragten“ nicht vor. Vielmehr ist der Sonderkündigungsschutz sogar „gleich“ ausgestaltet. Es kommt nach § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG ebenso wie nach § 58 Abs. 2 Satz 1 BImSchG nur eine außerordentliche Kündigung des Arbeitsverhältnisses aus wichtigem Grund iSv. § 626 Abs. 1 BGB in Betracht.

bb) Der von der Beklagten in diesem Zusammenhang in den Vordergrund gerückte, unterschiedlich ausgestaltete Abberufungsschutz von Datenschutzbeauftragten und – beispielsweise – Immissionsschutzbeauftragten, ist für die grundrechtliche Beurteilung des Sonderkündigungsschutzes ohne Bedeutung. Selbst wenn die Abberufung der Klägerin wegen einer „Unwirksamkeit“ der Regelung in § 6 Abs. 4 Satz 1 BDSG ohne jeden Grund und mit sofortiger Wirkung gleichzeitig mit der Kündigung vom 13. Juli 2018 oder sogar unmittelbar nach ihrer Bestellung möglich gewesen wäre, stünde der Klägerin der nachwirkende Sonderkündigungsschutz aus § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 3 BDSG zu, der ebenfalls nur eine außerordentliche Kündigung aus wichtigem Grund zulässt. Auch dieser ist wie für die anderen „Beauftragten“ (vgl. § 58 Abs. 2 Satz 2 BImSchG) beziehungsweise für Betriebsratsmitglieder (vgl. § 15 Abs. 1 Satz 2 KSchG) ausgestaltet, so dass insoweit keine „wesentlich ungleiche“, sondern sogar eine „wesentlich gleiche“ Behandlung vorliegt.

cc) Soweit die Beklagte eine Gruppenbildung der Datenschutzbeauftragten vornimmt (interner Datenschutzbeauftragter gegenüber externem Datenschutzbeauftragten) und ein Defizit beim Kündigungsschutz des Dienstvertrags des externen Datenschutzbeauftragten sieht, wodurch dessen Abberufungsschutz in § 6 Abs. 4 Satz 1 BDSG „unterlaufen“ werde, ist schon nicht erkennbar, welche für sie günstigen Rechtsfolgen daraus abgeleitet werden sollen. Unabhängig davon verkennt die Beklagte, dass sich das Arbeitsverhältnis eines internen Datenschutzbeauftragten gemäß § 611a BGB vom freien Dienstverhältnis eines externen Datenschutzbeauftragten nach § 611 BGB „wesentlich“ unterscheidet, wie schon die prinzipiell freie Kündbarkeit des letzteren (§ 620 Abs. 2 BGB) zeigt (vgl. zur wesentlichen Ungleichheit sogar von Arbeitnehmern und arbeitnehmerähnlichen Personen BAG 8. Mai 2007 – 9 AZR 777/06 – Rn. 25 ff.). Die Beklagte wendet sich darüber hinaus auch hier der Sache nach gegen die Abberufungsvorschriften, die sie als belastend empfindet. Deren Wirksamkeit spielt aber – wie in Rn. 37 ausgeführt – vorliegend keine Rolle.

5. § 6 Abs. 4 Satz 2 BDSG erlaubt allein eine außerordentliche Kündigung aus wichtigem Grund. Dem genügt die von der Beklagten ausgesprochene ordentliche Kündigung vom 13. Juli 2018 nicht.

a) Nach § 6 Abs. 4 Satz 2 BDSG ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Damit greift der Gesetzgeber die Formulierung aus § 15 Abs. 1 Satz 1 KSchG auf, die sich wiederum an § 626 Abs. 1 BGB anlehnt, wo der Fall einer außerordentlichen Kündigung geregelt ist.

b) Für die Wirksamkeit einer solchen außerordentlichen Kündigung reicht es nicht aus, dass ein wichtiger Grund für sie „objektiv“ vorgelegen hat, wenn nur eine ordentliche Kündigung ausgesprochen wurde (vgl. BAG 19. Juni 1980 – 2 AZR 660/78 – zu 3 a der Gründe, BAGE 33, 220). Auch zu § 15 Abs. 1 KSchG ist anerkannt, dass allein das Bestehen eines wichtigen Grundes für eine außerordentliche Kündigung nicht ausreicht, sondern eine solche auch ausgesprochen sein muss (vgl. BAG 23. April 1981 – 2 AZR 1112/78 – zu II 2 a der Gründe; 5. Juli 1979 – 2 AZR 521/77 – zu III 2 der Gründe).

c) Mit dem Schreiben vom 13. Juli 2018 hat die Beklagte nur eine ordentliche und keine außerordentliche Kündigung ausgesprochen. Das folgt nicht nur aus der gewählten Frist für eine ordentliche Kündigung, sondern aus der ausdrücklichen Bezeichnung als „ordentliche“ Kündigung in Absatz 1 des Schreibens.

d) Ob die Umdeutung der von der Beklagten erklärten ordentlichen Kündigung in eine außerordentliche Kündigung mit notwendiger oder sozialer Auslauffrist nach § 140 BGB überhaupt möglich ist, kann dahinstehen. Vorliegend kommt dies jedenfalls deshalb nicht in Betracht, weil nach den Ausführungen des Landesarbeitsgerichts kein wichtiger Grund für die Kündigung vorliegt. Dies lässt weder revisionsrechtlich erhebliche Fehler erkennen noch hat die Beklagte diesbezügliche Rügen erhoben.

Den Volltext der Entscheidung finden Sie hier:

LAG Niedersachsen
Urteil vom 06.07.2022
8 Sa 1150/20

Das LAG Niedersachsen hat entschieden, dass ein Beweisverwertungsverbot in einem Kündigungsschutzprozess für datenschutzwidrige Aufzeichnungen einer Videoüberwachungsanlage besteht.

Aus den Entscheidungsgründen:
Zu Gunsten des Klägers greift zudem ein Beweisverwertungsverbot ein. Hierauf stützt die Kammer ihre Erwägungen im Verhältnis zu den Ausführungen unter aaa) selbstständig und tragend.

Auf die hier streitgegenständliche behauptete Pflichtwidrigkeit vom 02.06.2018 – bezüglich der anderen beiden Pflichtwidrigkeiten stützt sich die Beklagte nicht auf Videoaufzeichnungen - ist das Bundesdatenschutzgesetz in der ab dem 25.05.2018 geltenden Fassung (im Folgenden nur: BDSG) sowie die Datenschutzgrundverordnung der Europäischen Union (EU-Verordnung 2016/679) anzuwenden.

Die Datenschutz-Grundverordnung (im Folgenden nur: DSGVO) ist am 24. Mai 2016 in Kraft getreten. Sie beansprucht seit dem 25.05.2018 in der gesamten Europäischen Union (EU) Geltung und hat die bisherige allgemeine Datenschutz-Richtlinie 95/46/EG ersetzt.

Die hier streitgegenständlichen Vorgänge bezieht sich auf einen Tattag, der zeitlich nach dem 25.05.2018 gelegen ist. Die Beklagte hatte bei dem Einsatz der Videoüberwachungsanlage an den betreffenden Tagen die Bestimmungen der DSGVO und des BDSG in der ab dem 25.05.2018 geltenden Fassung zu beachten.

ccc) Für ein Beweisverwertungsverbot kommt es auf die Frage an, ob ein Eingriff in das Recht des Klägers auf informationelle Selbstbestimmung vorliegt und ob dieser Eingriff zulässig ist. Sofern die Datenerhebung und -verwertung nach den Bestimmungen des BDSG erfolgen durfte, kommt ein Beweisverwertungsverbot nicht in Betracht. Ist dies nicht der Fall, muss im Einzelfall geprüft werden, ob die Verwertung der so gewonnenen Beweismittel durch das Gericht im Einzelfall einen Grundrechtsverstoß darstellt. Dies entspricht der Rechtsprechung des Zweiten Senats des Bundesarbeitsgerichts (vgl. BAG 23. August 2018 - 2 AZR 133/18 - BAGE 163, 239), der das erkennende Gericht sich anschließt.

(1) Weder die Zivilprozessordnung noch das Arbeitsgerichtsgesetz enthalten Bestimmungen, die die Verwertbarkeit von Erkenntnissen oder Beweismitteln einschränken, die eine Arbeitsvertragspartei rechtswidrig erlangt hat. Ein Verwertungsverbot kann sich allerdings aus einer verfassungskonformen Auslegung des Verfahrensrechts ergeben. Da der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 GG aber grundsätzlich gebietet, den Sachvortrag der Parteien und die von ihnen angebotenen Beweise zu berücksichtigen, kommt ein „verfassungsrechtliches Verwertungsverbot“ dann in Betracht, wenn dies wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 14 mwN, BAGE 163, 239). Dies setzt in aller Regel voraus, dass die betroffenen Schutzzwecke des verletzten Grundrechts der Verwertung der Erkenntnis oder des Beweismittels im Rechtsstreit entgegenstehen. Die prozessuale Verwertung muss selbst einen Grundrechtsverstoß darstellen. Das ist der Fall, wenn das nach Art. 1 Abs. 3 GG unmittelbar an die Grundrechte gebundene Gericht ohne Rechtfertigung in eine verfassungsrechtlich geschützte Position einer Prozesspartei eingriffe, indem es eine Persönlichkeitsrechtsverletzung durch einen Privaten perpetuierte oder vertiefte. Insofern kommt die Funktion der Grundrechte als Abwehrrechte gegen den Staat zum Tragen. Auf eine nicht gerechtfertigte Beeinträchtigung des Persönlichkeitsrechts durch einen Privaten darf kein verfassungswidriger Grundrechtseingriff durch ein Staatsorgan „aufgesattelt“ werden.

(2) Obgleich die Vorschriften des BDSG nicht die Zulässigkeit von Parteivorbringen und seine Verwertung im Verfahren vor den Gerichten für Arbeitssachen begrenzen, und obwohl es für das Eingreifen eines Verwertungsverbots darauf ankommt, ob bei der Erkenntnis- oder Beweisgewinnung das allgemeine Persönlichkeitsrecht verletzt worden ist, sind die einfachrechtlichen Vorgaben insofern nicht ohne Bedeutung. Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenerhebung, -verarbeitung und -nutzung konkretisieren und aktualisieren für den Einzelnen den Schutz seines Rechts auf informationelle Selbstbestimmung und am eigenen Bild (vgl. vor allem die in §§ 32 ff. BDSG n.F. geregelten Rechte der betroffenen Person). Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe durch öffentliche oder nicht-öffentliche Stellen in diese Rechtspositionen erlaubt sind (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 15 mwN, BAGE 163, 239 zum BDSG a.F.).

(3) § 26 Abs. 1 Satz 1 BDSG stellt für die Verarbeitung und Nutzung von personenbezogenen Daten eines Beschäftigten, die der Arbeitgeber durch eine Videoüberwachung öffentlich zugänglicher Räume erlangt hat, eine eigenständige, von den Voraussetzungen des § 4 BDSG unabhängige Erlaubnisnorm dar. Ist danach eine bestimmte Datenverarbeitung oder -nutzung rechtmäßig, kommt es im Verhältnis zu den betroffenen Arbeitnehmern nicht darauf an, ob die Anforderungen gemäß § 4 BDSG erfüllt sind. Die für die Überwachung im öffentlichen Raum geltende Bestimmung schließt eine eigenständige Rechtfertigung der Datenverarbeitung nach § 26 BDSG nicht aus. Diese Vorschrift dient speziell dem Ausgleich der Interessen von Arbeitgebern und Arbeitnehmern in Bezug auf den Beschäftigtendatenschutz (BT-Drs. 16/13657 S. 20 f.). Dagegen soll § 4 BDSG - unabhängig von den aufgrund der engeren schuldrechtlichen Bindungen im Rahmen eines Dauerschuldverhältnisses bestehenden Interessen - den Schutz der Allgemeinheit vor einem Ausufern der Videoüberwachung im öffentlichen Raum gewährleisten. Für die Eigenständigkeit der Erlaubnistatbestände des § 26 BDSG spricht auch, dass die Videoüberwachung nicht öffentlich zugänglicher (Arbeits-)Räume im BDSG nicht gesondert geregelt ist. Ihre Zulässigkeit richtet sich daher, soweit Arbeitnehmer betroffen sind, allein nach § 26 BDSG. Es erschiene aber wenig plausibel, wenn bezogen auf den Beschäftigtendatenschutz von Arbeitnehmern, die in öffentlich zugänglichen Räumen arbeiten, andere Maßstäbe gelten sollten als für Arbeitnehmer, die dies nicht tun (vgl. zu alledem - noch zum BDSG a.F. - BAG 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239; BAG 22. September 2016 - 2 AZR 848/15 - Rn. 43, BAGE 156, 370).

(4) Die Verarbeitung und Nutzung von rechtmäßig erhobenen personenbezogenen Daten nach § 26 Abs. 1 Satz 1 BDSG muss „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen (vgl. BAG 17. November 2016 - 2 AZR 730/15 - Rn. 30). Die Verarbeitung und die Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Betroffenen weniger einschränkenden Mittel zur Verfügung stehen. Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenverarbeitung und -nutzung darf keine übermäßige Belastung für die Betroffenen darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen (BAG 27. Juli 2017 - 2 AZR 681/16 - Rn. 30, BAGE 159, 380). Dies beurteilt sich ggf. für jedes personenbezogene Datum gesondert.

(5) War die betreffende Maßnahme nach den Vorschriften des BDSG zulässig, liegt insoweit keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor. Ein Verwertungsverbot scheidet von vornherein aus. So liegt es namentlich, wenn die umfassende Abwägung der widerstreitenden Interessen und Grundrechtspositionen im Rahmen der Generalklauseln des § 32 Abs. 1 BDSG aF (jetzt: § 26 Abs. 1 BDSG) zugunsten des Arbeitgebers ausfällt (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 15, BAGE 163, 239).

(6) War die fragliche Maßnahme nach den Bestimmungen des BDSG nicht erlaubt, muss gesondert geprüft werden, ob die Verwertung von im Zuge dieser Maßnahme gewonnenen Erkenntnissen oder Beweismitteln durch das Gericht einen Grundrechtsverstoß darstellen würde. Daran kann es zum einen fehlen, wenn die Unzulässigkeit der vom Arbeitgeber durchgeführten Maßnahme allein aus der (Grund-)Rechtswidrigkeit der Datenerhebung(en) gegenüber anderen Beschäftigten resultiert oder die verletzte einfachrechtliche Norm keinen eigenen „Grundrechtsgehalt“ hat. Zum anderen kann es sein, dass die gerichtliche Verwertung weder einen ungerechtfertigten Grundrechtseingriff darstellt noch aufgrund einer verfassungsrechtlichen Schutzpflicht zu unterlassen ist, weil durch sie die ungerechtfertigte „vorprozessuale“ Verletzung des allgemeinen Persönlichkeitsrechts einer Prozesspartei nicht perpetuiert oder vertieft würde und der Verwertung auch Gründe der Generalprävention nicht entgegenstehen (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 15 mwN, BAGE 163, 239).

(7) Sofern danach ein Beweisverwertungsverbot wegen eines Verstoßes gegen das allgemeine Persönlichkeitsrecht besteht, erfasst dieses nicht allein das unrechtmäßig erlangte Beweismittel selbst, sondern steht auch einer mittelbaren Verwertung, wie der Vernehmung von Zeugen über den Inhalt des Beweismittels, entgegen (vgl. BVerfG 31. Juli 2001 - 1 BvR 304/01 - zu II 1 b bb der Gründe; BAG 20. Oktober 2016 - 2 AZR 395/15 - Rn. 19, BAGE 157, 69). In solchen Fällen darf folgerichtig weder eine Inaugenscheinnahme der Videoaufnahmen erfolgen, noch darf das Gericht dem weiteren Beweisangebot der Beklagten auf Vernehmung der mit der Auswertung der Aufnahmen betrauten Personen als Zeugen nachgehen.

ddd) Die Heranziehung, Betrachtung und Auswertung der Videoaufzeichnungen der an den Toreingängen zum Betriebsgelände der Beklagten installierten Kameras zum Zwecke der Prüfung, ob der Kläger am 02.06.2018 das Betriebsgelände betreten und verlassen hat, stellt eine Verarbeitung personenbezogener Daten von Beschäftigten iSd. § 26 Abs. 1 BDSG dar. Sie ist vorliegend weder für die Durchführung noch für die Beendigung des Beschäftigungsverhältnisses (Satz 1) noch für die Aufdeckung einer Straftat (Satz 2) erforderlich.

(1) Es fehlt bereits an der grundsätzlichen – abstrakten - Geeignetheit des eingesetzten Mittels der Videoüberwachung, um den hier von der Beklagten erstrebten Zweck der Überprüfung eines vertragsgemäßen Verhaltens sowie des Nachweises eines Arbeitszeitbetruges zu führen. Die Aufzeichnungen der Videokameras dokumentieren lediglich den Zutritt der Arbeitnehmer auf das Werksgelände sowie das Verlassen desselben. Die Arbeitszeit beginnt nach der bei der Beklagten geltenden Arbeitsordnung nicht mit dem Betreten des Werksgeländes und endet nicht mit dessen Verlassen. Sie beginnt erst und endet schon mit dem Erreichen bzw. Verlassen des auf dem weitläufigen Betriebsgelände befindlichen Arbeitsplatzes. Aus der Videoaufzeichnung kann nur auf eine Anwesenheit des Arbeitnehmers auf dem Betriebsgelände, nicht aber auf seine Anwesenheit am Arbeitsplatz geschlossen werden. Zudem ist fraglich, ob Arbeitnehmer, die das Werksgelände mit Schutzkleidung oder – beispielsweise im Winter – mit Kopfbedeckung betreten, stets hinreichend klar identifiziert werden können. Angesichts des Umstandes, dass der Zugang zum Werksgelände durch zahlreiche Eingänge möglich ist, wären Schlüsse auf die An- oder Abwesenheit von Arbeitnehmern auf dem Werksgelände zudem grundsätzlich nur dann mit hinreichender Sicherheit zu ziehen, wenn die Aufzeichnungen sämtlicher Videokameras für den betreffenden Zeitraum lückenlos, also ohne zeitliche Unterbrechungen, gefertigt und auch ausgewertet würden, da ansonsten nicht sicher davon ausgegangen werden kann, dass sämtliche Zutritte, auch z.B. solche, die im Anschluss an das Verlassen des Werksgeländes (z.B. nach einer Pause) erneut erfolgen, auch erkannt werden.

(2) Das Mittel der Videoüberwachung und -aufzeichnung ist darüber hinaus zur Kontrolle geleisteter Arbeitszeiten und zur Aufdeckung einer damit im Zusammenhang stehenden Straftat auch nicht erforderlich, da hierzu andere Mittel zur Verfügung stehen, die die Ableistung von Arbeitszeiten verlässlicher dokumentieren. So kann an dem Ort, an dem die Arbeitsleistung nach der Arbeitsordnung der Beklagten beginnt und endet – d.h., der Betriebsabteilung auf dem Gelände, in der sich der Arbeitsplatz befindet – eine Anwesenheitserfassung der Beschäftigten durch Vorgesetzte oder auch durch technische Einrichtungen wie eine Stempelkarte erfolgen. Soll die Dokumentation der An- und Abwesenheit bereits beim Zu- und Abgang auf bzw. vom Werksgelände erfolgen, kann auch im Zusammenhang damit eine elektronische Anwesenheitserfassung in Form von Karten und Kartenlesegeräten an den Werkstoren Verwendung finden, wobei dann die Befugnisse der Beklagten zur Auswertung dieser Daten nicht – wie vorliegend geschehen – durch Betriebsvereinbarung dahingehend eingeschränkt werden dürften, dass eine personenbezogene Auswertung nicht stattfinde. Weiß der Arbeitnehmer, dass er sich mit der Verwendung einer Karte nicht nur den Zugang freischaltet, sondern seine Anwesenheitszeiten zum Zwecke des Nachweises der Erbringung von Arbeitsleistung erfasst, und ist die Befugnis der Auswertung der gewonnenen Daten zu diesem Zweck auch klar geregelt, stünde deren Verwertung – auch im Rahmen einer gerichtlichen Auseinandersetzung über die Beendigung eines Arbeitsverhältnisses – nichts entgegen.

(3) Das Mittel der Videoüberwachung ist schließlich vorliegend zur Kontrolle geleisteter Arbeitszeiten und zur Aufdeckung einer damit im Zusammenhang stehenden Straftat auch nicht angemessen. Sowohl die sachliche als auch die zeitliche Intensität des Eingriffs sind erheblich und stehen vorliegend außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe. Die Videokameras erfassen sämtliche Zu- und Abgänge von Arbeitnehmern an sämtlichen Eingängen zum Betriebsgelände durch Bildaufzeichnungen. Aus ihnen lassen sich auch Schlüsse darauf ziehen, mit welchem zeitlichen Vorlauf zum Beginn der Arbeitszeit der Arbeitnehmer das Gelände betritt, wie er gekleidet ist, ob und von wem er ggf. begleitet wird u.a.m. Vor allem aber hat die Beklagte bei ihren Untersuchungen von Unregelmäßigkeiten auf Videoaufzeichnungen zurückgegriffen, die erhebliche Zeit zurücklagen. Der Untersuchungsbericht der Konzern Sicherheit Forensik führt als Datum den „07.06.2019“ auf. Da der Bericht zeitlich nachgelagerte Ereignisse enthält, so etwa die sämtlich am 26.08.2019 durchgeführten Befragungen des Klägers und seiner Kollegen, kann der Bericht nicht am 07.06.2019 abgeschlossen worden sein. Ob es sich um den Beginn der Ermittlungen handelt, ist nicht vollständig klar. Jedenfalls liegen keine Anhaltspunkte dafür vor, dass der Beginn der Ermittlungen eine maßgebliche Zeit vor dem 07.06.2019 lag. Dementsprechend ist davon auszugehen, dass die Beklagte sich zur Aufklärung der anonym erhobenen Vorwürfe der Sichtung von Videoaufzeichnungen bedient hat, die seinerzeit bereits (teilweise) ein Jahr lang zurücklagen. Diese Vorgehensweise widerspricht eklatant den Grundsätzen der Datenminimierung und Speicherbegrenzung, die in Art. 5 DSGVO als dem maßgeblichen und nicht durch Art. 88 DSGVO verdrängten europäischen Recht ihren Niederschlag gefunden haben, wobei angesichts des zeitlichen Ausmaßes des Rückgriffs unentschieden bleiben kann, ob die – auch aus Sicht der Kammer recht weitgehende - Ansicht der Datenschutzaufsichtsbehörden (DSK, Kurzpapier Nr. 15) zutrifft, dass Videoaufzeichnungen regelmäßig binnen 48 Stunden zu löschen sind.

(4) Die Sachlage ändert sich auch nicht dadurch, dass die Beklagte mit der Einrichtung der Videoüberwachung primär die Verhinderung des Zutritts Unbefugter auf das Betriebsgelände sowie die Unterbindung bzw. den Nachweis von Eigentumsdelikten verfolgt bzw. verfolgen mag. Auch wenn man davon ausgeht, dass diese Zwecke eine präventive, offene Videoaufzeichnung und ggf. auch die Speicherung der Aufzeichnungen für längere Zeiträume rechtfertigen könnten, ist es der Beklagten verwehrt, diese Aufzeichnungen zum Zweck der Aufklärung des Verdachts eines Arbeitszeitbetruges heranzuziehen. Das gilt jedenfalls im vorliegenden Fall, in dem die Beklagte die bei ihr vorgehaltenen Aufzeichnungen gezielt im Hinblick auf den Verdacht eines Arbeitszeitbetruges gesichtet hat. Es handelt sich damit nicht um einen ggf. verwertbaren „Zufallsfund“, der aus Anlass einer zulässigen, anders gearteten Verwertung der Videoaufzeichnungen entstanden ist.

eee) Die Verwertung der im Zuge der Videoüberwachung gewonnenen Erkenntnisse und Beweismittel der Beklagten durch das Gericht würde vorliegend auch einen Grundrechtsverstoß darstellen. Die seitens der Beklagten durchgeführte Maßnahme ist nicht allein deshalb unzulässig, weil ihre Datenerhebung gegenüber anderen Beschäftigten rechtswidrig wäre, sie ist vielmehr gerade deshalb unzulässig, weil sie sachlich und zeitlich in erheblicher Weise in das Persönlichkeitsrecht (Art. 1 GG) des Klägers eingreift. Würde eine gerichtliche Verwertung erfolgen, stellte dies einen erneuten ungerechtfertigten Grundrechtseingriff dar und wäre aufgrund der verfassungsrechtlichen Schutzpflicht des Gerichts zu unterlassen, weil hierdurch die ungerechtfertigte „vorprozessuale“ Verletzung des allgemeinen Persönlichkeitsrechts des Klägers in erheblichem Maße perpetuiert und vertieft würde. Schließlich gebieten auch Gründe der Generalprävention, die Videoaufzeichnungen der Beklagten nicht zum Zweck des Nachweises eines behaupteten, lange Zeit zurückliegenden Arbeitszeitbetruges zu verwerten.

cc) Das Gericht hatte auch keinen Zeugenbeweis zu erheben.

Aus dem oben Ausgeführten folgt, dass das Beweisverwertungsverbot hinsichtlich der Videoaufzeichnungen sich auf die Vernehmung der Zeugen erstreckt, die nach dem Beweisangebot der Beklagten über die bei Sichtung des Videos gemachten Beobachtungen berichten sollen.

Den Volltext der Entscheidung finden Sie hier:

Das BMDV hat den Referentenentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligung in das Speichern von Informationen auf Endeinrichtungen der Endnutzer oder in den Abruf von Informationen, die bereits auf Endeinrichtungen gespeichert sind, ermöglichen. Unabhängige Dienste zur Einwilligungsverwaltung sollen es den Endnutzern unter Mitwirkung von Software zum Abrufen und Darstellen von Informationen aus dem Internet (in der Regel Browser) und der verantwortlichen Telemedienanbieter ermöglichen, über die erforderliche Einwilligung in den Zugriff auf ihre Endeinrichtungen durch Dritte in informierter Weise zu entscheiden. Vor allem geht es dabei um die Einwilligung in Cookies oder ähnliche Technologien, die von Telemedienanbietern zum Zwecke der Ausspielung von Werbung eingesetzt werden. Ziel ist die Überwindung der derzeitigen Praxis der Telemedienanbieter, die einzelnen Einwilligungen bei jedem Besuch der Webseite mittels sog. Einwilligungs-Cookie-Banner einzuholen. Diese Praxis überfordert die meisten Endnutzer. Durch die Einbindung anerkannter Dienste zur Einwilligungsverwaltung soll für die Endnutzer eine anwenderfreundliche Alternative zur bisherigen Praxis geschaffen und die Endnutzer von vielen Einzelentscheidungen entlastet werden. § 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung Anforderungen an das nutzerfreundliche und wettbewerbskonforme Verfahren der Einwilligungsverwaltung und technische Anwendungen, an das Verfahren der Anerkennung von Diensten der Einwilligungsverwaltung und die technischen und organisatorischen Anforderungen an Browser-Software und Telemedienanbieter zur Befolgung von Endnutzer-Einstellungen und Berücksichtigung von anerkannten Diensten zu regeln. Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Die Einw-VO enthält die Anforderungen, bei deren Einhaltung die Erteilung einer wirksamen Einwilligung in das Speichern von Informationen auf Endeinrichtungen sowie in den Abruf von Informationen, die auf Endeinrichtungen gespeichert sind, in nutzerfreundlicher und wettbewerbskonformer Weise möglich ist. Damit können wiederholende Aufforderungen zur Erteilung von Einwilligungen insbesondere beim Besuch von Webseiten und die damit verbundene Belastung der Endnutzer vermieden werden. Zugleich wird sichergestellt, dass Telemedienanbieter, die im Rahmen ihrer Geschäftsmodelle Einwilligungen benötigen,diese durch Dienste zur Einwilligungsverwaltung auch wirksam und nachweisbar erhalten können und nicht diskriminiert werden.

Sie finden den vollständigen Entwurf hier:
Referentenentwurf - Verordnung zur Regelung eines nutzerfreundlichen und wettbewerbskonformen Verfahrens zur Einwilligungsverwaltung, zur Anerkennung von Diensten und zu technischen und organisatorischen Maßnahmen nach § 26 Absatz 2 Telekommunikation-Telemedien-Datenschutzgesetz (Einwilligungsverwaltungs-Verordnung – EinwVO)

EuGH
Urteil vom 21.09.2022
in den verbundenen Rechtssachen C-339/20 | VD und C-397/20 | SR

Der EuGH hat entschieden, dass die französische Regelung zur anlasslosen Vorratsdatenspeicherung zur Bekämpfung von Straftaten des Marktmissbrauchs und von Insidergeschäften unionsrechtswidrig ist.

Die Pressemitteilung des EuGH:
Es ist nicht zulässig, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern

Ein nationales Gericht kann die Feststellung, dass innerstaatliche Rechtsvorschriften, die eine solche Vorratsspeicherung der Verkehrsdaten vorsehen, ungültig sind, nicht in ihren zeitlichen Wirkungen beschränken.

Gegen VD und SR laufen in Frankreich Strafverfahren wegen Insiderhandels, Hehlerei im Zusammenhang mit Insiderhandel, Beihilfe, Bestechung und Geldwäsche. Ausgangspunkt der Ermittlungen waren im Rahmen der Bereitstellung von Diensten der elektronischen Kommunikation generierte personenbezogene Daten betreffend Telefongespräche von VD und SR, die dem Ermittlungsrichter von der Finanzaufsichtsbehörde (Autorité des marchés financiers, AMF) nach entsprechenden Ermittlungen zur Verfügung gestellt worden waren. VD und SR haben bei der Cour de cassation (Kassationsgerichtshof, Frankreich) gegen zwei Urteile der Cour d’appel de Paris (Berufungsgericht Paris) Kassationsbeschwerden eingelegt. Sie wenden sich dagegen, dass sich die AMF bei der Erhebung der Daten auf innerstaatliche Rechtsvorschriften gestützt habe, die, soweit sie eine allgemeine und unterschiedslose Vorratsspeicherung der Verbindungsdaten vorsähen, unionsrechtswidrig seien und in denen die Befugnis der Ermittler der AMF zur Anforderung gespeicherter Daten nicht begrenzt werde. Sie berufen sich insoweit auf die Rechtsprechung des Gerichtshofs.

Die Vorlagefragen der Cour de cassation betreffen innerstaatliche Rechtsvorschriften, nach denen die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern. Es geht im Wesentlichen um das Zusammenspiel der einschlägigen Vorschriften der Datenschutzrichtlinie für elektronische Kommunikation im Lichte der Charta der Grundrechte der Europäischen Union (im Folgenden Charta) und der einschlägigen Vorschriften der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung. Für den Fall, dass die betreffenden innerstaatlichen Rechtsvorschriften unionsrechtswidrig sein sollten, möchte das vorlegende Gericht wissen, ob ihre Wirkungen vorläufig aufrechterhalten werden können, um Rechtsunsicherheit zu vermeiden und es zu ermöglichen, dass die auf ihrer Grundlage auf Vorrat gespeicherten Daten zur Aufdeckung und Verfolgung von Insidergeschäften verwendet werden.

Mit seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass weder die Marktmissbrauchsrichtlinie noch die Marktmissbrauchsverordnung im Hinblick auf die Ausübung der den zuständigen Finanzaufsichtsbehörden durch sie übertragenen Befugnisse eine Rechtsgrundlage für eine allgemeine Verpflichtung zur Aufbewahrung der Datenverkehrsaufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation bilden können.

Als Zweites weist der Gerichtshof darauf hin, dass es sich bei der Datenschutzrichtlinie für elektronische Kommunikation um den Referenzrechtsakt im Bereich der Speicherung und allgemein der Verarbeitung personenbezogener Daten in der elektronischen Kommunikation handelt. Die Datenschutzrichtlinie ist daher auch für die Datenverkehrsaufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation maßgeblich, die die zuständigen Finanzaufsichtsbehörden im Sinne der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung bei Letzteren anfordern können. Für die Beurteilung der Frage, ob die Verarbeitung der Aufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation zulässig ist, sind mithin die Voraussetzungen gemäß der Datenschutzrichtlinie für elektronische Kommunikation in der Auslegung durch den Gerichtshof maßgeblich.

Der Gerichtshof gelangt deshalb zu dem Schluss, dass es nach der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung in Verbindung mit der Datenschutzrichtlinie für elektronische Kommunikation und im Lichte der Charta nicht zulässig ist, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern.

Als Drittes hält der Gerichtshof an seiner Rechtsprechung fest, wonach das Unionsrecht dem entgegensteht, dass ein nationales Gericht die nach nationalem Recht zu treffende Feststellung, dass innerstaatliche Rechtsvorschriften, mit denen die Anbieter von Diensten der elektronischen Kommunikation zur allgemeinen und unterschiedslosen Vorratsspeicherung der Verkehrs- und Standortdaten verpflichtet werden, wegen ihrer Unvereinbarkeit mit der Datenschutzrichtlinie für elektronische Kommunikation ungültig sind, in ihren zeitlichen Wirkungen beschränkt. Der Gerichtshof stellt jedoch klar, dass die Verwertbarkeit von Beweismitteln, die aufgrund einer solchen Vorratsspeicherung von Daten erlangt wurden, nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten dem nationalen Recht unterliegt – vorbehaltlich der Beachtung u. a. der Grundsätze der Äquivalenz und der Effektivität. Letzterer verpflichtet ein nationales Strafgericht dazu, Informationen und Beweise, die durch eine mit dem Unionsrecht unvereinbare allgemeine und unterschiedslose Vorratsspeicherung erlangt wurden, auszuschließen, sofern die betreffenden Personen nicht in der Lage sind, sachgerecht zu den Informationen und Beweisen Stellung zu nehmen, die einem Bereich entstammen, in dem das Gericht nicht über Sachkenntnis verfügt, und geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 20.09.2022
Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH ./. Bundeskartellamt
C-252/21

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das Bundeskartellamt DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden darf (hier: Facebook / Meta). Dabei müssen allerdings Entscheidungen der datenschutzrechtlichen Aufsichtsbehörden beachtet werden.

Die Pressemitteilung des EuGH:

Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann

Sie muss jedoch jede Entscheidung oder Untersuchung der nach dieser Verordnung zuständigen Aufsichtsbehörde berücksichtigen.

Meta Platforms ist der Eigentümer des sozialen Online-Netzwerks „Facebook“. Die Nutzer dieses sozialen Netzwerks müssen die Nutzungsbedingungen von Facebook akzeptieren, die auf die Praxis der Nutzung dieser Daten und von Cookies durch Meta Platforms verweisen. Mit den Cookies erfasst Meta Platforms Daten, die aus anderen Diensten des Konzerns Meta Platforms wie Instagram oder WhatsApp stammen sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies. Diese Daten verknüpft Meta Platforms mit dem Facebook-Konto des betreffenden Nutzers und verwertet sie u. a. zu Werbezwecken.

Das deutsche Bundeskartellamt untersagte Meta Platforms die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen und erlegte dem Unternehmen Maßnahmen zur Abstellung dieses Verhaltens auf. Das Bundeskartellamt war der Auffassung, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland darstelle. Meta Platforms legte gegen den Beschluss des Bundeskartellamts Beschwerde beim Oberlandesgericht Düsseldorf ein. Dieses fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden befugt sind, die Vereinbarkeit einer Datenverarbeitung mit der DSGVO zu prüfen. Außerdem stellt das Oberlandesgericht dem Gerichtshof Fragen zur Auslegung und Anwendung bestimmter Vorschriften der DSGVO.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Athanasios Rantos erstens die Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen, sie jedoch in Ausübung ihrer eigenen Zuständigkeiten berücksichtigen kann, ob eine Geschäftspraxis mit der DSGVO vereinbar ist. Insoweit unterstreicht der Generalanwalt, dass die Vereinbarkeit oder Unvereinbarkeit einer Praxis mit der DSGVO unter Berücksichtigung aller Umstände des Einzelfalls ein wichtiges Indiz für die Feststellung sein kann, ob diese Praxis einen Verstoß gegen die Wettbewerbsvorschriften darstellt.

Der Generalanwalt stellt jedoch klar, dass eine Wettbewerbsbehörde die Einhaltung der DSGVO nur inzident prüfen kann und dies die Anwendung dieser Verordnung durch die nach der Verordnung zuständige Aufsichtsbehörde nicht präjudiziert. Folglich muss die Wettbewerbsbehörde alle Entscheidungen oder Untersuchungen der zuständigen Aufsichtsbehörde berücksichtigen, diese über jedes sachdienliche Detail informieren und sich gegebenenfalls mit ihr abstimmen.

Zweitens ist der Generalanwalt der Ansicht, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung, die der für die Verarbeitung Verantwortliche nachzuweisen hat.

Drittens ist der Generalanwalt der Ansicht, dass die streitige Praxis von Meta Platforms oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter in der DSGVO vorgesehene Ausnahmen fallen können, sofern die betreffenden Tätigkeiten dieser Praxis für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich sind. Auch wenn die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der Dienste des Konzerns Meta Platforms, die Netzwerksicherheit und die Produktverbesserung im Interesse des Nutzers oder des für die Datenverarbeitung Verantwortlichen erfolgen können, erscheinen diese Tätigkeiten allerdings nach Auffassung des Generalanwalts nicht für die Erbringung der genannten Dienstleistungen erforderlich.

Viertens stellt der Generalanwalt fest, dass das Verbot der Verarbeitung sensibler personenbezogener Daten, die beispielsweise die rassische oder ethnische Herkunft, die Gesundheit oder die sexuelle Orientierung der betroffenen Person betreffen, auch die Verarbeitung der streitigen Daten umfassen kann. Dies ist dann der Fall, wenn die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die in der DSGVO genannten sensiblen Merkmale ermöglichen.

In diesem Zusammenhang weist der Generalanwalt darauf hin, dass der Nutzer sich voll bewusst sein muss, dass er durch eine ausdrückliche Handlung personenbezogene Daten öffentlich macht, damit die Ausnahme von diesem Verbot, die beinhaltet, dass die betroffene Person die Daten offensichtlich öffentlich gemacht hat, greifen kann. Nach Ansicht des Generalanwalts kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers offensichtlich öffentlich macht.

Die vollständigen Schlussanträge finden Sie hier:

EuGH
Urteil vom 20.09.2022
in den verbundenen Rechtssachen
C-793/19 SpaceNet und C-794/19 Telekom Deutschland

Der EuGH hat wie erwartet entschieden, dass die allgemeine und unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unionsrechtswidrig und nur bei ernster Bedrohung für nationale Sicherheit zulässig ist.

Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;

er nationalen Rechtsvorschriften nicht entgegensteht, die

– es zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht, sofern diese Anordnung Gegenstand einer wirksamen, zur Prüfung des Vorliegens einer solchen Situation sowie der Beachtung der vorzusehenden Bedingungen und Garantien dienenden Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein kann, deren Entscheidung bindend ist, und sofern die Anordnung nur für einen auf das absolut Notwendige begrenzten, aber im Fall des Fortbestands der Bedrohung verlängerbaren Zeitraum ergeht;

– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;

– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP‑Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;

– zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen;

– es zur Bekämpfung schwerer Kriminalität und, a fortiori, zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufzugeben, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.

Diese Rechtsvorschriften müssen durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen.

Die Pressemitteilung des EuGH:
Der Gerichtshof bestätigt, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht, es sei denn, es liegt eine ernste Bedrohung für die nationale Sicherheit vor

Zur Bekämpfung schwerer Kriminalität können die Mitgliedstaaten jedoch unter strikter Beachtung des Grundsatzes der Verhältnismäßigkeit insbesondere eine gezielte Vorratsspeicherung und/oder umgehende Sicherung solcher Daten sowie eine allgemeine und unterschiedslose Speicherung von IP-Adressen vorsehen SpaceNet und Telekom Deutschland erbringen in Deutschland öffentlich zugängliche Internetzugangsdienste; Telekom Deutschland erbringt darüber hinaus öffentlich zugängliche Telefondienste. Beide fochten vor den deutschen Gerichten die ihnen durch das deutsche Telekommunikationsgesetz (TKG) auferlegte Pflicht an, ab dem 1. Juli 2017 Verkehrs- und Standortdaten betreffend die Telekommunikation ihrer Kunden auf Vorrat zu speichern.

Abgesehen von bestimmten Ausnahmen verpflichtet das TKG die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste – insbesondere zur Verfolgung schwerer Straftaten oder zur Abwehr einer konkreten Gefahr für die nationale Sicherheit – zu einer allgemeinen und unterschiedslosen Vorratsspeicherung eines Großteils der Verkehrs- und Standortdaten der Endnutzer dieser Dienste für eine Dauer von mehreren Wochen. Das Bundesverwaltungsgericht (Deutschland) möchte wissen, ob das Unionsrecht in seiner Auslegung durch den Gerichtshof1 solchen nationalen Rechtsvorschriften entgegensteht.

Seine Zweifel beruhen insbesondere darauf, dass die nach dem TKG vorgesehene Speicherpflicht weniger Daten und eine kürzere Speicherungsfrist (vier bzw. zehn Wochen) betrifft, als sie die nationalen Regelungen vorsahen, um die es in den Rechtssachen ging, in denen die vorangegangenen Urteile ergangen sind. Diese Besonderheiten verringern nach Ansicht des Bundesverwaltungsgerichts die Möglichkeit, dass aus den gespeicherten Daten sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert worden seien, gezogen würden. Außerdem gewährleiste das TKG, dass die auf Vorrat gespeicherten Daten wirksam vor den Risiken eines Missbrauchs und eines unberechtigten Zugangs geschützt seien.
Mit seinem Urteil von heute bestätigt der Gerichtshof seine bisherige Rechtsprechung.

Er antwortet dem Bundesverwaltungsgericht, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen.

Dagegen steht das Unionsrecht nationalen Rechtsvorschriften nicht entgegen, die

– es zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht. Eine solche Anordnung kann durch ein Gericht oder eine unabhängige Verwaltungsstelle kontrolliert werden und darf nur für einen auf das absolut Notwendige begrenzten, aber im Fall des Fortbestands der Bedrohung verlängerbaren Zeitraum
ergehen;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;
– für dieselben Zwecke einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen;
– es zur Bekämpfung schwerer Kriminalität und, a fortiori, zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.

Solche nationalen Rechtsvorschriften müssen außerdem durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen. In Bezug auf das TKG stellt der Gerichtshof fest, dass aus der Vorlageentscheidung hervorgeht, dass die durch dieses Gesetz begründete Pflicht zur Vorratsspeicherung insbesondere die Daten betrifft, die erforderlich sind, um die Quelle und den Adressaten einer Nachricht, Datum und Uhrzeit von Beginn und Ende der Verbindung oder, im Fall der Übermittlung von Kurz-, Multimedia- oder ähnlichen Nachrichten, die Zeitpunkte der Versendung und des Empfangs der Nachricht sowie, im Fall der mobilen Nutzung, die Bezeichnung der Funkzellen, die vom Anrufer und vom Angerufenen bei Beginn der Verbindung genutzt wurden, zu identifizieren.

Im Rahmen der Bereitstellung von Internetzugangsdiensten bezieht sich die Pflicht zur Vorratsspeicherung u. a. auf die dem Teilnehmer zugewiesene IP-Adresse, Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen IP-Adresse und, im Fall der mobilen Nutzung, die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle. Die Daten, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben, werden ebenfalls gespeichert.

Zwar werden die Daten betreffend E-Mail-Dienste nicht von der in der im TKG vorgesehenen Pflicht zur Vorratsspeicherung erfasst, jedoch stellen sie auch nur einen Bruchteil der in Rede stehenden Daten dar. Außerdem werden u. a. Daten von Nutzern gespeichert, die dem Berufsgeheimnis unterliegen, wie beispielsweise Die im TKG vorgesehene Pflicht zur Vorratsspeicherung erstreckt sich somit auf einen umfangreichen Satz von Verkehrs- und Standortdaten, der im Wesentlichen den Datensätzen entspricht, die zu den vorgenannten früheren Urteilen geführt haben.

Ein solcher Satz von Verkehrs- und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden – etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren –, und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.

In Bezug auf die im TKG vorgesehenen Garantien, die die gespeicherten Daten gegen Missbrauchsrisiken und vor jedem unberechtigten Zugang schützen sollen, weist der Gerichtshof darauf hin, dass die Vorratsspeicherung dieser Daten und der Zugang zu ihnen unterschiedliche Eingriffe in Grundrechte der Betroffenen darstellen, die eine gesonderte Rechtfertigung erfordern. Daraus folgt, dass nationale Rechtsvorschriften, die die vollständige Einhaltung der Voraussetzungen gewährleisten, die sich im Bereich des Zugangs zu auf Vorrat gespeicherten Daten aus der Rechtsprechung ergeben, naturgemäß den schwerwiegenden Eingriff in die Rechte der Betroffenen, der sich aus der allgemeinen Vorratsspeicherung dieser Daten ergeben würde, weder beschränken noch beseitigen können.

Den Volltext der Entscheidung finden Sie hier:

LG Kassel
05.07.2022
5 O 1954/21

Das LG Kassel hat entschieden, dass es rechtsmissbräuchlich ist, wenn Auskunft gemäß Art. 15 DSGVO nicht aus vom Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.

Aus den Entscheidungsgründen:
a) Der Auskunftsanspruch ergibt sich insbesondere nicht aus Art. 15 DS-GVO.

Zum einen handelt es sich bei den Tarifprämien weder um personenbezogene Daten im Sinne dieser Vorschrift noch hat die Vorschrift ohnehin nicht den Zweck, dem Versicherungsnehmer die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen. Insoweit macht sich das Gericht die folgenden überzeugenden Ausführungen des OLG München Hinweisbeschluss v. 24.11.2021 – 14 U 6205/21, BeckRS 2021, 40311 Rn. 36-50 zu eigen:

4.2.1 Die Tarifprämien sind keine personenbezogenen Daten im Sinne dieser Vorschrift.

Entgegen Berufungsbegründung Seite 19 dokumentieren sie nämlich nicht „den individualisierten Versicherungsschutz der versicherten Personen unter Berücksichtigung des Gesundheitszustands“, sondern geben lediglich Aufschluss darüber, welcher Preis die durch den Versicherungsvertrag verwirklichte Vorsorge dieser Person hat. Was die Person für die Versicherungsleistung ausgibt, ist nicht unter die personenbezogenen Daten zu rechnen. Wenn „die Kalkulation der Beitragshöhe für jeden Tarifindivduell“ erfolgt, so macht das die Prämienhöhe noch nicht zu einer Angabe die die Identifizierung einer bestimmten Person ermöglicht.

Ob im Falle einer Änderung von Risikozuschläge, die unmittelbar an Vorerkrankungen oder vorhergegangenen Gesundheitsprüfungen anknüpfen, eine personenbezogene Angabe Vorlage (Berufungsbegründung Seite 19 unten) kann hier offenbleiben, da nicht vorgetragen ist, dass es sich im Einzelfall so verhielte.

Die Angabe, welche Prämien ein Versicherungsnehmer (auch in mehreren aufeinanderfolgenden Jahren) bezahlt hat, hat nicht dieselbe Qualität, wie sie die Berufungsbegründung (Seite 20 oben) zum Vergleich heranziehen will („Angaben zum Versicherungskonto, Gesprächsnotizen und Telefonvermerke, regulierte Leistungen, eingereichte Rezepte und Rechnungen gespeicherte Korrespondenz“).

4.2.2 Von all dem abgesehen ist Sinn und Zweck von Art. 15 Abs. 3 DSGVO nicht die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt hat.

Sondern die DSGVO bezweckt eine effektive Kontrolle des jeweils Betroffenen darüber welche Daten der Verantwortliche besitzt und was damit weiter geschieht, Art. 15 Abs. 3 DSGVO hat zwar auch die Durchsetzung von Rechten der betroffenen Person im Auge, jedoch betrifft das nicht vermögensrechtliche Ansprüche, sondern durch das Auskunftsrecht sollen persönliche Rechte aus dem 3. Abschnitt unterstutzt werden, beispielsweise Löschungsansprüche.

Selbst wenn man dies anders beurteilen würde, so stünde der Beklagten aus Art. 12 Abs. 5 s. 2 b) DS-GVO ein Weigerungsrecht zu, da es sich um einen rechtsmissbräuchlichen Antrag handelt. Aus Erwägungsgrund 63 S. 1 DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. BGH, Urteil vom 15.06.2021, VI ZR 576/19). Um ein derartiges Bewusstwerden zum Zweck der Überprüfung datenschutzrechtlicher Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber bereits nach eigenem Vorbringen nicht. Vielmehr geht es diesem – wie bereits dargelegt – ausschließlich darum, die von der Beklagten vorgenommenen Prämienanpassungen auf mögliche formeller oder auch materielle Mängel hin überprüfen zu können. Eine derartige Vorgehensweise ist vom Schutzzweck der DS-GVO aber gerade nicht umfasst (vgl. nur OLG Hamm, Hinweisbeschluss vom 15.11.2021 - 20 U 269/21; nunmehr auch OLG Dresden, a.a.O.).

b) Auch aus § 242 BGB ergibt sich kein Auskunftsanspruch.

Ein aus dem Gesichtspunkt von Treu und Glauben wurzelnder Auskunftsanspruch setzt voraus, dass die zwischen den Parteien bestehenden Rechtsbeziehungen es mit sich bringen, dass der Anspruchsberechtigte in entschuldbarer Weise über das Bestehen oder den Umfang eines Rechts im Ungewissen ist und der Verpflichtet in der Lage ist, unschwer die zur Beseitigung dieser Ungewissheit erforderliche Auskunft zu erteilen (vgl. BGH, Urteil vom 01.08.2013 – VII ZR 268/11). Daran fehlt es hier jedoch.

Den Volltext der Entscheidung finden Sie hier:

In Ausgabe 5/22 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Daten weg - wer muss informiert werden" zu den Informationspflichten von Unternehmen bei einer Datenpanne oder einem Cyberangriff.