Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.
Aus den Entscheidungsgründen: Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.
II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.
1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:
1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?
2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?
3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?
2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:
Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?
3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.
4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).
5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).
EuGH
Urteil vom 22.06.2022 C‑534/20
Leistritz AG gegen LH
Der EuGH hat entschieden, dass die Vorgaben der DSGVO der strengeren deutschen Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegenstehen.
Tenor der Entscheidung:
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
EuGH
Urteil vom 21.06.2022 C-817/19
Ligue des droits humains gegen Conseil des ministres
Der EuGH hat entschieden, dass die Regelungen der PNR-Richtlinie eng auszulegen sind und sich die Erhebung und Verarbeitung von Fluggastdaten auf das absolut Notwendige beschränken muss.
Die Pressemitteilung des EuGH: Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige
Besteht keine reale und aktuelle oder vorhersehbare terroristische Bedrohung eines Mitgliedstaats, steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die eine Übermittlung und Verarbeitung von PNR-Daten bei EU-Flügen sowie bei Beförderungen mit anderen Mitteln innerhalb der Union vorsehen.
Die PNR-Richtlinie schreibt zur Bekämpfung von Terrorismus und schwerer Kriminalität die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.
Die Ligue des droits humains (Liga für Menschenrechte, LDH) ist ein gemeinnütziger Verein, der im Juli 2017 beim belgischen Verfassungsgerichtshof eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 erhoben hat, mit dem die PNR-Richtlinie, die API-Richtlinie2 und die Richtlinie 2010/653 in belgisches Recht umgesetzt wurden. Die LDH macht geltend, dieses Gesetz verletze das im belgischen Recht und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Sie rügt den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des „PNR-Systems“ auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden. Im Oktober 2019 hat der belgische Verfassungsgerichtshof dem Gerichtshof zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit der PNR-Richtlinie sowie die Vereinbarkeit des Gesetzes vom 25. Dezember 2016 mit dem Unionsrecht betreffen.
In seinem heutigen Urteil stellt der Gerichtshof erstens fest, dass die Prüfung der vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie berühren könnte, da seine Auslegung ihrer Bestimmungen im Licht der Grundrechte, die in den Art. 7, 8 und 21 sowie in Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankert sind, die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln gewährleistet.
Zunächst weist der Gerichtshof darauf hin, dass ein Rechtsakt der Union so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Dabei müssen die Mitgliedstaaten darauf achten, dass sie sich nicht auf eine Auslegung des Rechtsakts stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert. Zur PNR-Richtlinie führt der Gerichtshof aus, dass eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen eine solche Auslegung erfordern, und hebt die Bedeutung hervor, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in der Charta verankerten Grundrechte beimisst.
Der Gerichtshof stellt fest, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Flugreisen unternehmen. Er weist darauf hin, dass die Möglichkeit für die Mitgliedstaaten, einen solchen Eingriff zu rechtfertigen, zu beurteilen ist, indem seine Schwere bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung dazu in angemessenem Verhältnis steht.
Der Gerichtshof kommt zu dem Schluss, dass die in der PNR-Richtlinie vorgesehene Übermittlung, Verarbeitung und Speicherung von PNR-Daten als auf das für die Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt angesehen werden kann, sofern die in der Richtlinie vorgesehenen Befugnisse eng ausgelegt werden. Hierzu enthält das heutige Urteil unter anderem folgende Ausführungen:
- Das durch die PNR-Richtlinie eingeführte System darf sich nur auf die in den Rubriken ihres Anhangs I aufgeführten, klar identifizierbaren und umschriebenen Informationen erstrecken, die in Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen. Dies bedeutet bei einigen Rubriken dieses Anhangs, dass nur die dort ausdrücklich genannten Angaben erfasst werden.
- Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems muss auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Sie darf sich nicht auf strafbare Handlungen erstrecken, die zwar das in der Richtlinie vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen und in ihrem Anhang II aufgeführt sind, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur gewöhnlichen Kriminalität gehören.
- Die etwaige Ausdehnung der Anwendung der PNR-Richtlinie auf alle oder einen Teil der EU-Flüge aufgrund der den Mitgliedstaaten in der Richtlinie eingeräumten Befugnis muss sich auf das absolut Notwendige beschränken. Sie muss Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Hierzu führt der Gerichtshof aus:
- Nur in einer Situation, in der es nach der Einschätzung des betreffenden Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum auf alle EU-Flüge aus oder nach diesem Mitgliedstaat angewandt wird.
- Ohne eine solche terroristische Bedrohung darf die Anwendung der Richtlinie nicht auf alle EU-Flüge ausgedehnt werden, sondern muss sich auf EU-Flüge beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es nach der Einschätzung des betreffenden Mitgliedstaats Anhaltspunkte gibt, die eine Anwendung der Richtlinie rechtfertigen können. Die absolute Notwendigkeit ihrer Anwendung auf die ausgewählten EU-Flüge muss nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig überprüft werden.
- Für die Zwecke der Vorabüberprüfung der PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, und deren erster Schritt in automatisierten Verarbeitungen besteht, darf die PNR-Zentralstelle diese Daten zum einen nur mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, abgleichen. Diese Datenbanken müssen frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden. Zum anderen darf die PNR-Zentralstelle bei der Vorabüberprüfung anhand im Voraus festgelegter Kriterien keine Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme („machine learning“) heranziehen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können. Die genannten Kriterien sind so festzulegen, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an
terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte, und dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden; sie dürfen nicht zu unmittelbaren oder mittelbaren Diskriminierungen führen.
- Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl „falsch positiver“ Ergebnisse, die in den Jahren 2018 und 2019 bei ihrer Anwendung auftraten, hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab, die von der PNR-Zentralstelle in einem zweiten Schritt mit nicht-automatisierten Mitteln vorgenommen wird. Insoweit müssen die Mitgliedstaaten klare und präzise Regeln vorsehen, die Leitlinien und einen Rahmen für die von den Bediensteten der PNR-Zentralstelle, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten. Insbesondere müssen sie sich vergewissern, dass die PNR-Zentralstelle Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer (hit) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt ist, und zum anderen, ob die automatisierten Verarbeitungen keinen diskriminierenden Charakter haben. Dabei müssen sich die zuständigen Behörden vergewissern, dass der Betroffene die Funktionsweise der im Voraus festgelegten Prüfkriterien und der Programme zu ihrer Anwendung verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem Recht auf Einlegung von Rechtsbehelfen Gebrauch macht. Desgleichen müssen im Rahmen eines solchen Rechtsbehelfs das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraute Gericht sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können,
einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.
- Nachträglich, d. h. nach der Ankunft oder dem Abflug der betreffenden Person, darf eine Zurverfügungstellung und Überprüfung der PNR-Daten nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die entweder geeignet sind, den begründeten Verdacht einer Beteiligung dieser Person an schwerer Kriminalität, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, zu wecken, oder den Schluss zulassen, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung terroristischer Straftaten, die einen solchen Zusammenhang aufweisen, leisten könnten. Die Zurverfügungstellung der PNR-Daten zum Zweck einer solchen nachträglichen Überprüfung muss grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle im Anschluss an einen mit Gründen versehenen Antrag der zuständigen Behörden unterworfen werden, unabhängig davon, ob der Antrag vor oder nach Ablauf der Frist von sechs Monaten ab der Übermittlung dieser Daten an die PNRZentralstelle gestellt wurde.
Zweitens stellt der Gerichtshof fest, dass die PNR-Richtlinie im Licht der Charta nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.
Drittens entscheidet der Gerichtshof in Bezug auf die Speicherfrist der PNR-Daten, dass Art. 12 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta nationalen Rechtsvorschriften entgegensteht, die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist dieser Daten von fünf Jahren vorsehen.
Dazu führt der Gerichtshof aus, dass sich nach Ablauf der ursprünglichen sechsmonatigen Speicherfrist die Speicherung von PNR-Daten nicht auf das absolut Notwendige beschränkt, wenn sie sich auf Fluggäste bezieht, bei denen weder die Vorabüberprüfung noch etwaige Überprüfungen während der ursprünglichen sechsmonatigen Speicherfrist oder irgendein anderer Umstand objektive Anhaltspunkte – wie die Tatsache, dass die PNR-Daten der betreffenden Fluggäste im Rahmen der Vorabüberprüfung zu einem überprüften Treffer führten – geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können. Während des ursprünglichen Zeitraums von sechs Monaten überschreitet die Speicherung der PNR-Daten aller Fluggäste, für die das durch die PNR-Richtlinie geschaffene System gilt, dagegen grundsätzlich nicht die Grenzen des absolut Notwendigen.
Viertens entscheidet der Gerichtshof, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den
Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Überdies steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.
Das OLG Köln hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht teleologisch einschränkend auszulegen ist und nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden kann.
Aus den Entscheidungsgründen: bb. Der Auskunftsanspruch ergibt sich jedoch – wovon das Landgericht zutreffend ausgegangen ist - aus Art. 15 Abs. 1, 3 DS-GVO.
Nach Art. 15 Abs. 1 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten. Gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist dabei weit gefasst (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris; vgl. dazu auch unser Urteil vom 26.07.2019 in der Sache 20 U 75/18). Er ist insbesondere nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Nicht erforderlich ist, dass es sich um „signifikante biografische Informationen“ handelt, die „im Vordergrund“ des fraglichen Dokuments stehen (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris).
Der BGH hat im Rahmen seines Urteils vom 15.06.2021 (Az. VI ZR 576/19 – zitiert nach juris) ausdrücklich klargestellt, dass insbesondere weder Daten des Versicherungsscheins noch die zurückliegende Korrespondenz von Versicherungsnehmer und Versicherer kategorisch vom Anwendungsbericht des Art. 15 DS-GVO ausgeschlossen sind. Die Schreiben des Versicherers an den Versicherungsnehmer sollen dem Auskunftsanspruch vielmehr insoweit unterfallen, als sie Informationen über den Versicherungsnehmer nach den dargestellten Kriterien enthalten.
Im vorliegenden Fall begehrt die Klägerin Auskunft über die Höhe der Beitragserhöhungen in den Jahren 2011 bis 2016 unter Benennung der jeweiligen Tarife durch Zurverfügungstellung der hierzu übermittelten Informationen in Form von Anschreiben, Nachträgen zum Versicherungsschein sowie der zum Zwecke der Beitragserhöhungen übermittelten Begründungen sowie Beiblätter.
Unproblematisch mit der Person des Versicherungsnehmers verknüpft sind die Nachträge zu dem Versicherungsschein; denn aus diesen ergibt sich, in welchem Inhalt und zu welchen Konditionen für den Versicherungsnehmer bei dem Versicherer Versicherungsschutz besteht.
Auch die hierzu übersandten Anschreiben weisen die erforderliche Verknüpfung auf; denn regelmäßig ergibt sich aus diesen (anderes trägt auch die Beklagte nicht vor), dass der Versicherungsnehmer unter einem bestimmten Datum von einer Änderung in Bezug auf seinen Versicherungsvertrag in Kenntnis gesetzt worden ist. Sie stellen regelmäßig zugleich Begründungsschreiben nach § 203 Abs. 5 VVG dar, für die die Verknüpfung daraus folgt, dass diesen zu entnehmen ist, dass und inwieweit Änderungen aus welchen Gründen in einem für den Versicherungsnehmer bestehenden Tarif erfolgt sind.
Die erforderliche Verknüpfung ist schließlich auch für mit den Begründungsschreiben etwa auch übermittelte Beiblätter zu bejahen. Regelmäßig enthalten die Beiblätter zwar – wie die Beklagte vorträgt und wie dem Senat aus zahlreichen Verfahren aus eigener Anschauung bekannt ist – keine konkret auf den Vertrag des jeweiligen Versicherungsnehmers oder dessen Person bezogene Informationen. Diese werden vielmehr identisch einer unbestimmten Vielzahl von Versicherungsnehmern übersandt. Die erforderliche Verknüpfung ergibt sich aber aus dem Umstand, dass diese Beiblatt zu dem jeweiligen Begründungsschreiben waren und damit Teil der mitgeteilten Begründung – hinreichend oder nicht – für die Beitragsanpassung sind. Dies gilt vor allem – aber nicht nur dann – wenn die Beiblätter in dem jeweiligen Anpassungsschreiben ausdrücklich in Bezug genommen werden.
Ob die entsprechenden Informationen dem Versicherungsnehmer bereits bekannt sind (was hier unterstellt werden kann, da die ursprüngliche Übersendung durch die Klägerin nicht bestritten wird) und ob dieser die Unterlagen noch hat oder entschuldbar nicht mehr hat, ist insoweit irrelevant. Denn der BGH hat klargestellt, dass der Umstand, dass Schreiben dem Versicherungsnehmer bekannt sind, den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt (Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Dieser könne auch wiederholt Auskunft verlangen.
Soweit die Beklagte meint, jedenfalls nur Kopien der bezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen, erschließt sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet.
Zwar wird ein Anspruch auf Herausgabe von Kopien von Unterlagen zum Teil (vgl. etwa OLG Stuttgart, Urt. v. 16.6.2021 – 7 U 325/20) mit der Begründung verneint, nach dem Wortlaut von Art. 15 Abs. 3 S. 1 DS-GVO habe die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung seien. Der Senat teilt indes die Auffassung des OLG München (Urteil vom 04.10.2021, Az. 3 U 3906/29 - zitiert nach juris; so auch Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 m.w.N.; Koreng, NJW 2021, 2692), wonach der Begriff der Datenkopie i.S.v. Art. 15 Abs. 3 DS-GVO, der einen eigenständigen Anspruch neben Art. 15 DS-GVO beinhaltet, extensiv auszulegen ist. Folge ist, dass der betroffenen Person von der speichernden Stelle sämtliche von ihm gespeicherten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung als Kopie zu übermitteln sind. Die Urteile des EuGH vom 17.07.2014, Az. C-141/12 und C-372/12 (zitiert nach juris) können zur Begründung der gegenteiligen Auffassung der Beklagten schon deshalb nicht herangezogen werden, weil diese nicht zu Art. 15 DS-GVO, sondern zur Vorgängerregelung in RL 95/46/EG ergangen sind.
Die Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs in Fällen wie dem vorliegenden ist auch nicht als rechtsmissbräuchlich, § 242 BGB, zu bewerten.
Richtig ist, dass das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck dient, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. Erwägungsgrund 63 zur DS-GVO). Es mag unterstellt werden, dass es der Klägerin im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz ihrer Daten geht, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs steht dies jedoch nicht entgegen. Entsprechendes kann insbesondere nicht der Entscheidung des BGH vom 15.06.2021 (Az. VI ZR 576/19) entnommen werden. Eine Festlegung dazu, ob ein datenschutzrechtlicher Auskunftsanspruch auch besteht, wenn ein Versicherungsnehmer Zwecke verfolgt, die Art. 15 Abs. 1 DS-GVO nicht schützt, ist dort gerade nicht erfolgt.
In Rechtsprechung und Literatur ist die Frage umstritten.
Das OLG München (Hinweisbeschluss vom 24.11.2021, Az. 14 U 6205/21; so sowohl im Ergebnis als auch in der Begründung auch OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21) etwa hat einen Auskunftsanspruch in einem ähnlich gelagerten Fall (auch) mit der Begründung abgewiesen, dass Sinn und Zweck von Art. 15 Abs. 3 DS-GVO nicht sei, die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt habe.
Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle.
Angemerkt sei darüber hinaus, dass es nach Auffassung des Senats ohnehin kaum je auszuschließen sein wird, dass es dem Versicherungsnehmer zumindest auch um den Schutz seiner Daten geht. Auch vor diesem Hintergrund erscheint es als nicht sinnvoll, das Bestehen des Auskunftsanspruchs nach der DS-GVO von einer entsprechenden – nicht überprüfbaren – Behauptung zur inneren Motivation des jeweiligen Anspruchstellers abhängig zu machen.
Unter Zugrundelegung dessen ist die Beklagte auch nicht berechtigt, die Auskunft nach Art. 12 Abs. 5 S. 2 DS-GVO zu verweigern. Denn der Antrag stellt sich nicht allein deshalb als exzessiv dar, weil es der Klägerin nicht primär um die Wahrung ihrer Rechte aus der DS-GVO gehen mag. Für eine Schikane oder ein in unangemessen kurzen Abständen wiederkehrendes Auskunftsersuchen ist ebenfalls nichts ersichtlich. Ob das Ansinnen der Beklagten, die Überprüfung der Rechtmäßigkeit der von ihr gestellten Beitragsforderungen durch ihren Versicherungsnehmer durch die Nichtherausgabe gespeicherter Unterlagen nach Möglichkeit zu erschweren, vor dem Hintergrund vertraglicher Fürsorgepflichten schutzwürdig ist, mag dahinstehen.
Die Beklagte kann all dem schließlich auch nicht entgegenhalten, der Auskunftsantrag sei auf Ausforschung gerichtet und widerspreche daher dem zivilprozessualen Beibringungsgrundsatz. Denn vorliegend geht es nicht um die Frage der Substantiierung und Darlegungslast im Zivilprozess, sondern um das Bestehen eines materiell-rechtlichen Auskunftsanspruchs.
Der Anspruch ist entgegen der Annahme der Beklagten auch nicht durch Erfüllung erloschen. Erteilt hat die Beklagte als Anlage C 22 (Bl. 582 d.A.) zur Berufungsbegründung zwar nunmehr Auskunft zur Beitragshöhe in den jeweiligen Tarifen. Hierdurch ist indes keine, auch keine teilweise Erfüllung eingetreten ist, weil sich aus den tabellarischen Übersichten nur die Höhe der im jeweiligen Tarif insgesamt zu entrichtenden Beiträge, nicht aber der jeweilige Erhöhungsbetrag ersehen lässt. Dieser lässt sich auch nicht in allen Fällen errechnen, weil etwa der Beitrag für das Jahr 2010 als Ausgangswert nicht angegeben ist.
Der auf Art. 15 DS-GVO gestützte Auskunftsanspruch ist schließlich auch nicht verjährt. Eine Verjährung könnte hier frühestens mit der Löschung der gespeicherten Daten beginnen, die die Beklagte jedoch selbst nicht behauptet. Darauf, ob Zahlungsansprüche, die mit Hilfe der erteilten Auskünften substantiiert werden könnten, verjährt wären, kommt es für den datenschutzrechtlichen Auskunftsanspruch nicht an.
In Ausgabe 5/22, S.60 der Zeitschrift com! professional erschien im Rahmen des Beitrags "Elementarschutz des 21. Jahrhunderts - Die Firma für den Ernstfall absichern" von Konstantin Pfliege ein Interview mit Rechtsanwalt Marcus Beckmann zum Thema IT-Sicherheit und Cyberversicherungen.
Der BGH hat entschieden, dass sich der Anspruch auf Entfernung aus dem Google-Suchindex nach Art. 17 Abs. 1 DSGVO richtet und eine Abwägung aller Umstände des Einzelfalls erfordert.
Leitsatz des BGH:
Zu den Voraussetzungen eines Auslistungsanspruchs gegen den Verantwortlichen eines Internet-Suchdienstes nach Art. 17 DS-GVO.
BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20 - OLG Karlsruhe - LG Karlsruhe
Aus den Entscheidungsgründen:
"I. Entgegen der Auffassung des Berufungsgerichts kann sich der vom Kläger geltend gemachte Anspruch nicht aus § 823 Abs. 1, § 1004 Abs. 1 BGB, sondern ausschließlich aus Art. 17 Abs. 1 DS-GVO ergeben.
Die Datenschutz-Grundverordnung ist zeitlich, sachlich und räumlich anwendbar (vgl. dazu Senat, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 12 ff.). Die internationale Zuständigkeit der deutschen Gerichte folgt insoweit aus Art. 79 Abs. 2 DS-GVO (vgl. dazu Senat, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 16). Das auf dauerhafte Auslistung gerichtete Rechtsschutzbegehren des Klägers ist grundsätzlich von Art. 17 Abs. 1 DS-GVO erfasst (vgl. dazu Senat, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 17). Im Hinblick auf den Anwendungsvorrang des vorliegend unionsweit abschließend vereinheitlichten Datenschutzrechts und die bei Prüfung eines Auslistungsbegehrens nach Art. 17 DS-GVO vorzunehmende umfassende Grundrechtsabwägung kann der Kläger seinen Anspruch hingegen nicht auf Vorschriften des nationalen deutschen Rechts stützen (vgl. dazu Senat, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 64).
II. Der Kläger hat auf der Grundlage des im Revisionsverfahren maßgeblichen Sachverhalts einen Anspruch gegen die Beklagte auf Auslistung des streitgegenständlichen Ergebnislinks aus Art. 17 Abs. 1 DS-GVO, da die von der Beklagten vorgenommene Datenverarbeitung nach den relevanten Umständen des Streitfalls nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist (Art. 17 Abs. 3 Buchst. a i.V.m. Art. 6 Abs. 1 Buchst. f, Art. 21 Abs. 1 Satz 2 DS-GVO)."
Das ArbG Köln hat entschieden, dass entgegen der DSGVO oder anderweitig datenschutzwidrig erlangte Tatsachen einem Verwertungsverbot im Prozess unterliegen können.
Aus den Entscheidungsgründen: (2)Der Zugrundelegung des entsprechenden Tatsachenvortrags der Beklagten als unstreitig steht – entgegen der Auffassung der Klägerin - nicht entgegen, dass die Beklagte das maßgebliche Indiz für die Täuschung der Klägerin widerrechtlich – unter Verletzung des ihr gebührenden Datenschutzes – erlangt hätte.
(a) Allerdings können Verstöße gegen das Recht auf den durch Art. 8 Abs. 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Abs. 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 – 1 BvF 2/05 –, BVerfGE 128, 1-90, Rn. 150 ff. mwN) zu prozessualen Verwertungsverboten führen:
Für die Rechtslage bis zum Inkrafttreten der unionsrechtlichen Datenschutz-Grundverordnung hat das Bundesarbeitsgericht die Frage prozessualer Verwertungsverbote rein an verfassungsrechtlichen Maßstäben bemessen und – verkürzt - wie folgt beantwortet:
In Fällen, in denen die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist, kommt ein „verfassungsrechtliches Verwertungsverbot“ in Betracht. Obwohl der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 GG es im Zivilprozess grundsätzlich gebietet, den Sachvortrag der Parteien und die von ihnen angebotenen Beweise zu berücksichtigen, kann dann eine Verwertung durch das Gericht unzulässig sein, wenn dies wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist. Dies ist dann der Fall, wenn die prozessuale Verwertung der Erkenntnis oder des Beweismittels selbst einen Grundrechtsverstoß darstellen würde und das nach Art. 1 Abs. 3 GG unmittelbar an die Grundrechte gebundene Gericht ohne Rechtfertigung in eine verfassungsrechtlich geschützte Position einer Prozesspartei eingriffe, indem es eine Persönlichkeitsrechtsverletzung durch einen Privaten perpetuierte oder vertiefte. Insofern kommt die Funktion der Grundrechte als Abwehrrechte gegen den Staat zum Tragen. Auf eine nicht gerechtfertigte Beeinträchtigung des Persönlichkeitsrechts durch einen Privaten darf kein verfassungswidriger Grundrechtseingriff durch ein Staatsorgan „aufgesattelt“ werden (st. Rspr., vgl. nur BAG, Urteil vom 28. März 2019 – 8 AZR 421/17 –, Rn. 28, juris mwN).
Ein verfassungsrechtlich gebotenes Verbot der Verwertung von Sachvortrag und Beweismitteln hat Auswirkungen auf die Geständnisfiktion des § 138 Abs. 3 ZPO und damit auf die Einordung eines Sachvortrags als streitig oder unstreitig. Sieht eine Arbeitnehmerin oder ein Arbeitnehmer von einem - ggf. wahrheitswidrigen - Bestreiten des gegnerischen Sachvortrags ab, bewirkt ein Sachvortragsverwertungsverbot, dass das inkriminierte Vorbringen des Arbeitgebers gleichwohl als bestritten zu behandeln ist (BAG, Urteil vom 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239-256, Rn. 16).
Ob eine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung vorlag oder nicht, hat das Bundesarbeitsgericht danach beurteilt, ob die zu verwertenden Daten unter Verstoß gegen die einfachgesetzlichen Datenschutzvorschriften erlangt wurden oder nicht. Diese Bestimmungen (des BDSG aF) konkretisierten und aktualisierten für den Einzelnen den Schutz seines Rechts auf informationelle Selbstbestimmung. Sei die betreffende Maßnahme nach den Vorschriften des BDSG aF zulässig gewesen, läge keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung vor. Ein Verwertungsverbot scheide von vornherein aus. Nur dann, wenn die fragliche Maßnahme nach diesen Bestimmungen nicht erlaubt gewesen sei, müsse gesondert geprüft werden, ob die Verwertung gewonnener Erkenntnisse im Prozess einen Grundrechtsverstoß durch das Gericht darstellen würde (vgl. BAG, Urteil vom 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239-256, Rn. 15 mwN).
(b) An diesen Bewertungsmaßstäben hat sich durch das Inkrafttreten der unmittelbar geltenden Datenschutzgrundverordnung (Art. 288 Abs. 2 AEUV) am 25.05.2018 keine wesentliche Änderung ergeben. Die Frage der Verwertbarkeit datenschutzwidrig erlangter Informationen richtet sich nach den Bestimmungen der Verordnung. Dabei enthält die DS-GVO kein vorbehaltloses Verbot der gerichtlichen Verwertung unrechtmäßig erlangter Daten (Arg. e Art. 17 Abs. 3 lit. e DS-GVO). Die Datenverarbeitung hat dem einschlägigen Erlaubnistatbestand nach Art. 6 Abs. 1 S. 1 lit. e, Abs. 3 S. 1 lit. b DS-GVO iVm. § 3 BDSG zu genügen. Danach ist die Verwertung des Sachvortrags durch das Gericht zulässig, wenn dies zur Erfüllung seiner hoheitlichen Aufgaben erforderlich ist. Im Rahmen der danach vorzunehmenden umfassenden Verhältnismäßigkeitsprüfung unter Abwägung der aus Art. 7 und Art. 8 GRCh bzw. Art. 2 Abs. 1 iVm. 1 Abs. 1 GG folgenden Rechte besteht Raum und Relevanz für die auch nach der bisherigen Rechtsprechung vorgenommene datenschutzrechtliche Vorprüfung der außerprozessualen Erkenntnisgewinnung (vgl. BAG, Urteil vom 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239-256, Rn. 47; Schindler DRiZ 2021, 370, 373; Frank/Heine, BB 2021, 884, 885; Tiedemann, ZD 2019, 230, 231).
(c)Unter Zugrundelegung dieser Grundsätze erweist sich der Vortrag der Beklagten als verwertbar. Die von der Beklagten vorgenommene Verarbeitung der Gesundheitsdaten der Klägerin war durch Art. 6 Abs. 1 Satz 1 lit. c DS-GVO iVm. § 28b Abs. 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF) gedeckt und damit rechtmäßig.
Unabhängig vom Vorliegen einer Einwilligung im Sinne von Art. 6 Abs. 1 Satz 1 lit. a DS-GVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28b Abs. 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 - das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens -gesetzlich verpflichtet, die Einhaltung der nach § 28b Abs. 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren. Nach § 28b Abs. 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28b Abs. 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Abs. 1 Satz 1 BDSG bedeuten.
In Erfüllung der aus § 28b Abs. 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage – welche selbst keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DS-GVO bzw. des BDSG § 46 Nr. 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.
Es kann dahinstehen, ob aufgrund des frühen Erst-Impftermins der Klägerin eine Rechtfertigung der Datenverarbeitung auch nach § 26 Abs. 1 Satz 2 BDSG bestand.
(d) Selbst wenn man den Abgleich der Daten aus dem Impfausweis der Klägerin mit den Daten aus der Chargenabfrage als nicht von den datenschutzrechtlichen Bestimmungen gedeckt ansehen wollte, wäre die Verwertung des darauf basierenden Sachvortrags im vorliegenden Kündigungsschutzverfahren nach Auffassung der Kammer zulässig:
Die Beeinträchtigung des Rechts der Klägerin auf Schutz ihrer personenbezogenen Daten tritt angesichts der hohen Bedeutung der Verpflichtung ihrer Arbeitgeberin auf Kontrolle der gesetzlichen Infektionsschutzvorgaben zurück: Ein Arbeitnehmer, der seinem Arbeitgeber zum Nachweis der Einhaltung gesetzlicher oder auch vertraglich verbindlich gesetzter Infektionsschutzregeln eine unrichtige Urkunde vorlegt, ist bezogen auf die darin enthaltenen - unzutreffenden – personenbezogenen Daten nicht derart schutzwürdig, dass die staatlichen Gerichte an der Verwertung der durch die Datenverarbeitung gewonnenen Erkenntnisse gehindert wären. Das folgt aus der Wertung des Gesetzgebers, der im Zeitpunkt der Datenverarbeitung bereits die Vorlage unrichtiger Gesundheitszeugnisse in § 279 StGB unter Strafe gestellt und diesen Straftatbestand als Offizialdelikt ausgestaltet hatte. Mit Blick auf die durch den Gebrauch des unrichtigen Impfpasses folgende Gefährdung der Allgemeinheit und die geringe Eingriffsintensität in Bezug auf unrichtige Gesundheitsdaten wäre ein prozessuales Verwertungsverbot nicht gerechtfertigt.
Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.
Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.
BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen
EuGH
Urteil vom 28.04.2022 C-319/20
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.
Der EuGH hat entschieden, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit der DSGVO zu vereinbaren und somit unionsrechtskonform ist.
Tenor der Entscheidung: Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Die Pressemitteilung des EuGH:
Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben
Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenenPerson auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.
Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.
Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit.
Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.
In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.
Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.
Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung
konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.
Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.
Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.
LAG Baden-Württemberg
Urteil vom 25.03.2022 7 Sa 63/21
Das LAG Baden-Württemberg hat entschieden, dass die fristlose Kündigung eines Betriebsratsmitglieds wegen DSGVO-Verstößen durch Verbreitung von Mitarbeiter-Gesundheitsdaten per Dropbox-Link berechtigt und somit wirksam ist.
Die Pressemitteilung des Gerichts: Fristlose Kündigung eines Betriebsrats bei der Robert Bosch GmbH
Die dem Kläger gegenüber ausgesprochene außerordentliche Kündigung der Robert Bosch GmbH vom 18.01.2019 ist wirksam.
Der Kläger ist seit September 1997 bei der Robert Bosch GmbH (Beklagte) als Entwicklungsingenieur am Standort Feuerbach beschäftigt. Seit 2006 ist er Mitglied des Betriebsrats und seit 2014 freigestelltes Betriebsratsmitglied.
Im vorliegenden Verfahren streiten die Parteien über die Wirksamkeit einer außerordentlichen Kündigung vom 18.01.2019, zu der das Betriebsratsgremium seine Zustimmung erteilt hat. Die Beklagte begründet diese Kündigung damit, dass der Kläger mit der Veröffentlichung von Prozessakten aus einem vorherigen Kündigungsschutzverfahren zwischen den Parteien, insbesondere von Schriftsätzen der Beklagten, gegen Bestimmungen des Datenschutzrechts verstoßen habe. In den Schriftsätzen der Beklagten seien auch personenbezogene Daten, insbesondere auch Gesundheitsdaten, weiterer Mitarbeiter der Beklagten unter voller Namensnennung enthalten gewesen. Diese personenbezogenen Daten habe der Kläger einem größeren Verteilerkreis mithilfe eines Zugriffs auf eine sogenannte Dropbox offenbart.
Der Kläger ist der Auffassung, dass die Kündigung unwirksam ist. Es bestehe keine Vorschrift, die es gebiete, Prozessakten geheim zu halten, im Übrigen sei ein Datenschutzverstoß schon deshalb abzulehnen, nachdem er mit Blick auf Art. 2 Abs. 2c DS-GVO ausschließlich im Rahmen „persönlicher oder familiärer Tätigkeiten“ gehandelt habe. Außerdem habe er auch im
berechtigten Eigeninteresse gehandelt, denn ihm stehe das Recht zu, zu dem Fall Stellung zu nehmen und zu informieren, insbesondere im Hinblick auf die ihn als Familienvater und Betriebsratsmitglied zutiefst belastenden Vorwürfe.
Das Arbeitsgericht hat mit Urteil vom 04.08.2021 den Kündigungsschutzantrag mit der Begründung abgewiesen, dass der Kläger mit der Veröffentlichung weiter Teile der Prozessakten durch die Zurverfügungstellung des Dropbox-Links in rechtswidriger Weise gegen Bestimmungen des Datenschutzrechts verstoßen hat (Az 25 Ca 1048/19).
Die hiergegen gerichtete Berufung des Klägers zum Landesarbeitsgericht blieb ohne Erfolg. Wer im Rahmen eines von ihm angestrengten Gerichtsverfahrens bestimmte Schriftsätze der Gegenseite, in denen Daten, insbesondere auch besondere Kategorien personenbezogener Daten (Gesundheitsdaten), verarbeitet werden, der Betriebsöffentlichkeit durch die Verwendung eines zur Verfügung gestellten Links offenlegt und dadurch auch die Weiterverbreitungsmöglichkeit eröffnet, ohne dafür einen rechtfertigenden Grund zu haben, verletzt rechtswidrig und schuldhaft Persönlichkeitsrechte der in diesen Schriftsätzen namentlich benannten Personen mit der Folge, dass vorliegend die außerordentliche Kündigung der Beklagten gerechtfertigt ist. Die Wahrnehmung berechtigter Interessen des Klägers lag jedenfalls insofern nicht vor, als die Entscheidungsgründe des Urteils des Arbeitsgerichts am Tage der Zurverfügungstellung des Links noch nicht vorlagen und dem Kläger auch noch die Möglichkeit offenstand, gegen das Urteil das Rechtsmittel der Berufung einzulegen, um in diesem Verfahren seinen Standpunkt darzulegen.
LAG Baden-Württemberg, Urteil vom 25.03.2022, 7 Sa 63/21
Auch das OLG Nürnberg hat entschieden, dass Rechtsmissbrauch vorliegt, wenn Auskunft gemäß Art. 15 DSGVO nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.
Aus den Entscheidungsgründen: (4) Der geltend gemachte Auskunftsanspruch ergibt sich schließlich auch nicht aus Art. 15 Abs. 1 DS-GVO. Denn der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 12 Rn. 43; Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 12 DS-GVO Rn. 66 m.w.N.).
Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23). Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber ersichtlich nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr - wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt - ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (vgl. OLG Hamm, BeckRS 2021,40312 Rn. 11; LG Wuppertal, r+s 2021, 696 Rn. 33).
(5) Auch soweit die Beklagte als Versicherer gesetzlich zur Aufbewahrung von Unterlagen verpflichtet ist, folgt daraus kein Auskunftsanspruch des Klägers. Denn der Gesetzgeber verfolgt mit der Aufbewahrungspflicht kein Anliegen des Versicherungsnehmers, insbesondere soll sie dem jeweiligen Geschäftsgegner nicht die spätere Durchsetzung eigener Rechte ermöglichen (vgl. OLG München, r+s 2022, 94 Rn. 52).
EuGH-Generalanwalt
Schlussanträge vom 07.04.2022 C-460/20
TU, RE gegen Google LLC
Google (Auslistung eines angeblich unrichtigen Inhalts)
Der EUGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Suchmaschinenbetreiber (hier: Google) bei einem Antrag auf Löschung angeblich unrichtiger Inhalte aus dem Suchindex Richtigkeit im Rahmen des Möglichen prüfen
Die Pressemitteilung des EuGH: Generalanwalt Pitruzzella ist der Auffassung, dass ein auf die angebliche Unrichtigkeit der Informationen gestützter Antrag auf Auslistung den Suchmaschinenbetreiber verpflichtet, die Überprüfungen vorzunehmen, die in den Rahmen seiner konkreten Möglichkeiten fallen.
Des Weiteren darf im Rahmen eines Antrags auf Entfernung von Vorschaubildern aus den Ergebnissen einer Bildersuche nur der Informationswert der Bilder als solcher berücksichtigt werden.
TU und RE erhoben gegen die Google LLC Klage und beantragten zum einen die Auslistung bestimmter Links, die in den Ergebnissen der Suchen über die von der Google LLC betriebene Suchmaschine angezeigt wurden. Die Links beziehen sich auf im Internet veröffentliche Artikel eines Dritten, in denen TU und RE genannt werden. Zum anderen beantragten sie die Unterlassung der Anzeige von Fotos, die mit diesen Artikeln in Form von Vorschaubildern verbunden sind. TU ist für verschiedene Gesellschaften, die Finanzdienstleistungen anbieten, in verantwortlicher Position tätig oder an ihnen beteiligt. RE war die Lebensgefährtin von TU und bis Mai 2015 Prokuristin einer dieser Gesellschaften. Auf der Website g-net erschienen drei Artikel, in denen kritische Meinungen und Zweifel hinsichtlich der Seriosität des Anlagemodells verschiedener dieser Gesellschaften zum Ausdruck gebracht wurden und von denen einer mit vier Fotos bebildert war, auf denen TU und RE am Steuer von Luxus-Autos, in einem Hubschrauber und vor einem Charterflugzeug gezeigt wurden, was den Eindruck erwecken konnte, dass sie in fremdfinanziertem Luxus schwelgten. TU und RE forderten die Google LLC auf, die fraglichen Artikel auszulisten, die ihrer Auffassung nach unrichtige Behauptungen und verleumderische Ansichten enthielten, die auf unwahren Tatsachen beruhten, und die Vorschaubilder aus der Ergebnisliste der Suche zu entfernen.
Der deutsche Bundesgerichtshof hat dem Gerichtshof zwei Fragen zur Vorabentscheidung vorgelegt. Die erste Frage betrifft die Besonderheit der Funktion von Suchmaschinen und das Spannungsverhältnis, das sie zwischen den Grundrechten aus den Art. 7,8 und 11 der Charta der Grundrechte der Europäischen Union1 erzeugt, in einem vom Gerichtshof noch nicht geprüften Szenarium, nämlich dem, dass die betroffene Person die Richtigkeit der verarbeiteten Daten bestreitet und aus diesem Grund die Auslistung der Links verlangt, die auf von Dritten herausgegebene Inhalte verweisen, in denen diese Daten enthalten sind. Die zweite Frage betrifft die Notwendigkeit, bei der Prüfung eines Antrags auf Entfernung von Vorschaubildern aus den Ergebnissen einer Bildersuche den Inhalt der Website, in die das betreffende Foto eingefügt ist, zu berücksichtigen.
In seinen heute vorgelegten Schlussanträgen untersucht Generalanwalt Pitruzzella zunächst die Rechtsprechung des Gerichtshofs zu den Verpflichtungen, die einem Suchmaschinenbetreiber obliegen, und arbeitet dabei vier Eckpunkte heraus.
Zunächst erläutert er, welche Verpflichtungen dem Betreiber einer Suchmaschine bei der Behandlung eines Antrags auf Auslistung obliegen, wenn dieser auf die nicht durch Beweise untermauerte Behauptung gestützt wird, dass einige der in dem gelisteten Inhalt enthaltene Informationen unrichtig seien.
Der Generalanwalt weist darauf hin, dass die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten keinen absoluten Charakter hätten. Das Recht auf Schutz personenbezogener Daten müsse im Hinblick auf seine gesellschaftliche Funktion gesehen werden und unter Wahrung des Verhältnismäßigkeitsgrundsatzes gegen andere Grundrechte abgewogen werden. Dabei sei das Recht, zu informieren, angemessen zu gewichten. Soweit in dem Fall, dass die betroffene Person eine öffentliche Rolle habe, das Recht, zu informieren, und das Recht auf Information Vorrang hätten, kehre sich dies dann um, wenn sich die Informationen, die Gegenstand des Auslistungsantrags seien, als unrichtig herausstellten.
Denn die Richtigkeit der Daten stelle nicht nur eine der Voraussetzungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten dar, sondern dieses Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit könne in seiner zweifachen, aktiven und passiven, Bedeutung, wenn es sich um eine unrichtige Information handele, auch nicht auf der gleichen Ebene stehen wie die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. In diesem Fall kommt nach Auffassung des Generalanwalts ein vorrangiges Kriterium zum Tragen, das in einem der Grundwerte der Europäischen Union wurzelt, nämlich dem der in Art. 1 der Charta der Grundrechte verbürgten Menschenwürde. Eine unrichtige
Information verletze nicht nur das Grundrecht der Person, auf die sich der Schutz personenbezogener Daten beziehe, sondern beeinträchtige ihre Würde, da sie auf einer unrichtigen Darstellung beruhe und eine Verfälschung ihrer Identität bewirke, die heute vor allem im Netz definiert werde.
Wenn Zweifel an der Richtigkeit der vom Suchmaschinenbetreiber verarbeiteten Information bestünden, stelle sich die Frage der Abwägung der betroffenen Grundrechte daher ganz besonders, zumindest in dem Stadium, in dem die Richtigkeit oder Unrichtigkeit der Information noch nicht festgestellt worden sei. Zwar könne der Suchmaschinenbetreiber nicht verpflichtet
werden, die gespeicherten Inhalte einer allgemeinen Kontrolle in Bezug auf deren Richtigkeit zu unterziehen; aufgrund seiner besonderen Verantwortung, die mit seiner Funktion eines „gatekeeper“ der Information verbunden sei, müsse er jedoch eine aktive Rolle bei der Löschung der Ergebnisse der Suche nach Inhalten spielen, in denen unrichtige personenbezogene Daten
enthalten seien.
Allerdings schließt der Generalanwalt aus, dass eine Auslistung allein auf der Grundlage des bloß einseitigen Antrags des Betroffenen vorgenommen werden kann, ebenso wie er es ausschließt, dass von dem Betroffenen verlangt werden kann, sich an den Herausgeber der Webseite zu wenden, um die Entfernung des angeblich unrichtigen Inhalts zu verlangen. Der Generalanwalt ist der Ansicht, dass der Betroffene verpflichtet sei, die Umstände anzugeben, auf die der Antrag gestützt wird, und einen Anfangsbeweis dafür zu erbringen, dass die Inhalte, deren Auslistung verlangt wird, unrichtig seien. Der Suchmaschinenbetreiber müsse demgegenüber die Überprüfungen durchführen, mit denen die Begründetheit des Antrags
bestätigt oder nicht bestätigt werde und die sich im Rahmen seiner konkreten Möglichkeiten hielten. Dabei habe er, wenn möglich, den Herausgeber der gelisteten Website zu kontaktieren, und dann darüber zu entscheiden, ob er dem Auslistungsantrag stattgebe oder nicht. Wenn sich der Inhalt auf eine Person beziehe, die eine öffentliche Rolle habe, müsse
sich die Entscheidung für die Auslistung auf besonders aussagekräftige Bestätigungen für die Unrichtigkeit der Informationen stützen. Schließlich könne der Suchmaschinenbetreiber, wenn die Umstände des Falls dies angezeigt erscheinen ließen, um einen nicht wiedergutzumachenden Schaden für die betroffene Person zu vermeiden, die Listung vorübergehend aussetzen oder in den Ergebnissen der Suche angeben, dass die Richtigkeit einiger der Informationen bestritten werde.
Hinsichtlich der Antwort auf die zweite Frage stellt der Generalanwalt fest, dass für namensbezogene Bildersuchen über eine Internetsuchmaschine dieselben Regeln gelten wie für Websuchen und dass der Suchmaschinenbetreiber mit der Zusammenstellung von im Internet veröffentlichten Fotos von natürlichen Personen und der Wiedergabe dieser Fotos einen
Dienst anbiete, bei dem er eine eigenständige Verarbeitung personenbezogener Daten vornehme, die sowohl von der des Herausgebers der Website, von der die Fotos entnommen seien, als auch von derjenigen der Listung dieser Website verschieden sei.
Nach Auffassung des Generalanwalts ist bei der Abwägung der widerstreitenden Grundrechte, die im Rahmen eines an den Suchmaschinenbetreiber gerichteten Antrags auf Entfernung von als Vorschaubilder angezeigten Fotos vorzunehmen sei, nur der Informationswert der Fotos als solcher zu berücksichtigen, unabhängig von dem Inhalt, in den sich diese Fotos auf der Webseite, von der sie entnommen worden seien, einfügten.
Angesichts des Umstands, dass das Bild einer Person eines der Hauptmerkmale ihrer Persönlichkeit sei, komme dem Schutz des Rechts der Person auf Vertraulichkeit in diesem Kontext besondere Bedeutung zu, da die Fotos besonders persönliche Informationen vermitteln könnten.
Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des BGH wie folgt zu antworten:
1. Art. 17 Abs. 3 Buchst. a der Verordnung 2016/679 ist dahin auszulegen, dass bei der Abwägung der widerstreitenden Grundrechte aus den Art. 7, 8, 11 und 16 der Charta, die im Rahmen der Prüfung eines Auslistungsbegehrens gegen den Betreiber einer Suchmaschine, das auf der Grundlage erhoben wird, dass die in dem indexierten Inhalt enthaltenen Informationen unrichtig seien, vorzunehmen ist, nicht maßgeblich darauf abgestellt werden kann, ob der Betroffene in zumutbarer Weise, z. B. durch eine einstweilige Verfügung, Rechtsschutz gegen den Inhalteanbieter erlangen kann. Im Rahmen eines solchen Antrags obliegt es dem Betroffenen, einen Anfangsbeweis dafür zu erbringen, dass die Inhalte, deren Auslistung verlangt wird, unrichtig sind, wenn dies, insbesondere in Bezug auf die Art der in Rede stehenden Informationen, nicht offensichtlich unmöglich oder übermäßig schwer ist. Es ist Sache des Suchmaschinenbetreibers, die in den Rahmen seiner konkreten Möglichkeiten fallenden Überprüfungen in Bezug auf die behauptete Unrichtigkeit der verarbeiteten Daten durchzuführen und so weit wie möglich mit dem Herausgeber der indexierten Webseite in Kontakt zu treten. Der Suchmaschinenbetreiber kann, wenn die Umstände des Falls dies angezeigt erscheinen lassen, um einen nicht wiedergutzumachenden Schaden für die betroffene Person zu vermeiden, die Listung vorübergehend aussetzen oder in den Ergebnissen der Suche angeben, dass die Richtigkeit einiger Informationen, die in dem Inhalt enthalten sind, zu dem der fragliche Link führt, bestritten wird.
2. Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46 und Art. 17 Abs. 3 Buchst. a der Verordnung 2016/679 sind dahin auszulegen, dass bei der Abwägung der widerstreitenden Grundrechte der Art. 7, 8, 11 und 16 der Charta, die im Rahmen eines an den Suchmaschinenbetreiber gerichteten Antrags auf Entfernung von als Vorschaubilder angezeigten Fotos, die eine natürliche Person darstellen, aus den Ergebnissen einer mit dem Namen dieser Person durchgeführten Bildersuche vorzunehmen ist, der Kontext der Veröffentlichung im Internet, in dem diese Fotos ursprünglich erscheinen, nicht zu berücksichtigen ist.
Das Bundeskartellamt hat eine Sektoruntersuchung zum Scoring beim Online-Shopping eingeleitet.
Die Pressemitteilung des Bundeskartellamtes: Bundeskartellamt leitet Sektoruntersuchung zum Scoring beim Online-Shopping ein
Das Bundeskartellamt hat eine verbraucherrechtliche Sektoruntersuchung zum „Scoring“ beim Online-Shopping eingeleitet. Hierbei geht es um die Vorgehensweisen von Händlern zur Überprüfung der Bonität, d. h. der Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern beim Online-Shopping.
Andreas Mundt, Präsident des Bundeskartellamtes: „Vielen Verbraucherinnen und Verbrauchern ist nicht bewusst, dass ihre Bonität beim Online-Shopping unter Zuhilfenahme sogenannter Score-Werte geprüft wird, vor allem beim beliebten „Kauf auf Rechnung“. In unserer Sektoruntersuchung werden wir untersuchen, ob und in welcher Form die Online-Händler hierüber informieren, wie die Prüfungen ablaufen und welche Kriterien der Bonitätsprüfung eigentlich zugrunde liegen. Dabei beziehen wir Unternehmen ein, die für das Scoring relevant sein könnten, z.B. auch Wirtschaftsauskunfteien, die mit der Erstellung von Score-Werten einen wesentlichen Faktor für die Bonitätsprüfungen an die Online-Händler zuliefern.“
Bonitätsprüfungen dienen der Risikominimierung und sollen Vertragspartnern Aufschluss darüber geben, ob eine Person ihren Zahlungsverpflichtungen nachkommen kann. Grundlage für Bonitätsprüfungen bilden dabei häufig individuelle Score-Werte, die von Wirtschaftsauskunfteien unter Berücksichtigung personenbezogener Daten ermittelt werden und ausdrücken, mit welcher Wahrscheinlichkeit eine Käuferin oder ein Käufer die Rechnung bezahlen wird. Die Durchführung von Bonitätsprüfungen ist an enge datenschutzrechtliche Voraussetzungen, wie z. B. eine freiwillige Einwilligung der betroffenen Person, in die Datenverarbeitung geknüpft.
Die Praxis bei der Bestellung von Waren über den Online-Handel ist diesbezüglich uneinheitlich und in vielen Fällen für Verbraucherinnen und Verbraucher nicht ohne Weiteres nachvollziehbar. Transparenz- und Einwilligungsdefizite könnten Verbrau-cherrechtsverstöße auslösen.
Nach Vorgesprächen mit Expertinnen und Experten und Interessenvertretungen wird das Bundeskartellamt zeitnah schriftliche Befragungen von rund 50 ausgewähl-ten Online-Händlern und großen Wirtschaftsauskunfteien durchführen. Die Ergebnisse der Sektoruntersuchung werden nach Abschluss der Ermittlungen in einem Bericht veröffentlicht.
Die vorliegende Sektoruntersuchung Scoring beim Online-Shopping ist die sechste verbraucherrechtliche Sektoruntersuchung des Bundeskartellamts. Das Bundeskartellamt kann verbraucherrechtliche Verstöße feststellen, verfügt aber nicht über Befugnisse, etwaige Verstöße zu ahnden.
Der BGH hat entschieden, dass kein Anspruch auf Löschung eines Jameda-Basisprofils aus Art. 17 DSGVO besteht. Dem steht ein berechtigtes Interesse des Portalbetreibers nach Art. 6 Abs.1 lit. f DSGVO entgegen.
Leitsätze des BGH:
a) Zu den Voraussetzungen eines Anspruchs auf Löschung von personenbezogenen Daten in einem Arztsuche- und -bewertungsportal im Internet (www.jameda.de).
b) Zum sogenannten "Medienprivileg" im Sinne des Art. 38 Abs. 1 BayDSG in Verbindung mit Art. 85 Abs. 2 DS-GVO.
BGH, Urteil vom 15. Februar 2022 - VI ZR 692/20 - OLG Frankfurt a.M. - LG Hanau
The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.
The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.
The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.
The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.
Fact Sheet:
The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.
Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce
• Specific monitoring and review mechanisms
Benefits of the deal
• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)
• Safe and secure data flows
• Durable and reliable legal basis
• Competitive digital economy and economic cooperation
• Continued data flows underpinning €900 billion in cross-border commerce every year
Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.
