Der BGH hat entschieden, dass EncroChat-Daten zur Aufklärung von Straftaten im Zusammenhang mit Cannabis-Handel verwendet werden dürfen und keinem Verwertungsverbot unterliegen.
Die Pressemitteilung des BGH: Verwertung von "EncroChat"-Daten bei Cannabis-Handel möglich
Der in Leipzig ansässige 5. Strafsenat des Bundesgerichtshofs hat auf die Revision der Staatsanwaltschaft ein Urteil des Landgerichts Berlin I aufgehoben, soweit dieses den Angeklagten freigesprochen hat. Das Landgericht hatte den Angeklagten am 3. Mai 2024 unter Freispruch im Übrigen wegen drei Fällen des Handeltreibens mit Betäubungsmitteln in nicht geringer Menge (Ecstasy-Tabletten und Kokain) zu einer Gesamtfreiheitsstrafe von drei Jahren und sechs Monaten verurteilt. Nach den Urteilsfeststellungen handelte der Angeklagte mit diesen Betäubungsmitteln als Nutzer eines Kryptohandys des Anbieters "EncroChat". Der Freispruch betraf Anklagevorwürfe, wonach der Angeklagte in gleicher Weise mit großen Mengen an Cannabisprodukten im Jahr 2020 Handel getrieben haben soll. Die Vorwürfe wurden auf "EncroChat"-Daten zu Verkaufsgeschäften gestützt, die das Gericht in die Hauptverhandlung eingeführt hatte. Solche Daten waren 2020 in großem Umfang in Frankreich erhoben und auf der Grundlage einer Europäischen Ermittlungsanordnung (EEA) an deutsche Behörden weitergeleitet worden.
Die vorgeworfenen Taten waren bis zum Inkrafttreten des Cannabisgesetzes zum 1. April 2024 nach § 29a Abs. 1 Nr. 2 BtMG als Verbrechen strafbar. Sie stellen jetzt nach § 34 Abs. 1 und 3 KCanG lediglich Vergehen dar, die milder bestraft werden können. Nach dem Grundsatz des Vorrangs milderen Rechts (§ 2 Abs. 3 StGB) ist deshalb in vor dem 1. April 2024 begangenen "Alt"-Fällen des Cannabishandels zumeist das neue Recht als milderes Recht anzuwenden.
Das Landgericht hat den Freispruch damit begründet, dass die "EncroChat"-Daten wegen der Gesetzesänderung nicht mehr als Beweismittel verwertbar seien, da wegen solcher Taten eine gravierende Ermittlungsmaßnahme wie eine Online-Durchsuchung (§ 100b StPO) jetzt nicht mehr zulässig sei. In seiner Grundsatzentscheidung vom 2. März 2022 (5 StR 457/21, vgl. hierzu die Pressemitteilung Nr. 38/2022 vom 25. März 2022) hatte der 5. Strafsenat des Bundesgerichtshofs die Verwertbarkeit der "EncroChat"-Daten bei einer Verurteilung wegen erheblichen Drogenhandels nach § 29a Abs. 1 Nr. 2 BtMG u.a. damit begründet, dass dieser als besonders schwere Straftat im Katalog des § 100b Abs. 2 StPO enthalten sei. Dies ist bei Straftaten nach § 34 Abs. 1, 3 KCanG nicht mehr der Fall. Daraus hatten einige Oberlandesgerichte abgeleitet, die Daten seien nunmehr in Fällen des Cannabishandels unverwertbar. Auf eine solche Entscheidung hatte sich auch das Landgericht bei seinem Freispruch bezogen.
Der Bundesgerichtshof hat jetzt entschieden, dass die genannte Gesetzesänderung in Fällen wie dem vorliegenden keine Auswirkungen auf die Verwertbarkeit der "EncroChat"-Daten hat. Hierfür waren folgende Gesichtspunkte maßgebend:
Rechtsgrundlage für die Verwertung solcher Daten in der Hauptverhandlung ist § 261 StPO. Auch wenn von anderen europäischen Staaten Daten zu Zwecken der Strafverfolgung zur Verfügung gestellt werden, richtet sich die Verwertung nach deutschem Recht. Ausdrückliche Verwendungsbeschränkungen für solche Daten gibt es im nationalen Recht nicht. Ein Verwertungsverbot außerhalb von gesetzlich geregelten Beweisverwertungsverboten kommt nur in Ausnahmefällen in Betracht. Voraussetzung in diesen Fällen ist, dass die Daten unrechtmäßig erlangt wurden. Dies war vorliegend nicht der Fall, denn die EEA als Grundlage für die Übermittlung der Daten war rechtmäßig. Die Rechtsmäßigkeitsvoraussetzungen hierfür bestimmen sich unionsrechtlich gemäß der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (RL EEA).
Nach der Rechtsprechung des Europäischen Gerichtshofs zum "EncroChat"-Komplex und zu der für die Rechtmäßigkeit einer EEA zentralen Norm des Art. 6 Abs. 1 RL EEA (EuGH, Urteil vom 30. April 2024 - C-670/22) ist zum Zeitpunkt des Erlasses der EEA unter anderem zu prüfen, ob die Datenübermittlung in einem vergleichbaren innerdeutschen Fall rechtmäßig wäre. Damit verweist das Unionsrecht auf nationale Regelungen zur Datenanforderung. Das deutsche Recht enthält Regelungen, die eine solche Datengewinnung erlauben; bei schwerwiegenden Grundrechtseingriffen kommen dabei Beschränkungen in Betracht, die den Verdacht bestimmter Straftaten voraussetzen.
Durch die Entscheidung des Europäischen Gerichtshofs zum einschlägigen Unionsrecht ist nunmehr geklärt, dass die vom Bundesgerichtshof in "EncroChat"-Fällen vor allem auf den Zeitpunkt der Beweisverwertung in der Hauptverhandlung bezogene Verhältnismäßigkeitsprüfung anhand der Maßstäbe für besonders schwerwiegende Grundrechtseingriffe (vgl. § 100e Abs. 6 StPO) bereits bei der Beweisübermittlung vorzunehmen ist. Zudem hat das Bundesverfassungsgericht (Beschluss vom 1. November 2024 - 2 BvR 684/22) die Heranziehung der strafprozessual restriktivsten Verwendungsschranke in den "EncroChat"-Fällen für verfassungsrechtlich unbedenklich erachtet.
Danach kommt es auf die Rechtsmäßigkeit der Datenübermittlung an. Maßgeblich ist hierfür der Rechtszustand bei Datenanforderung. Zum damaligen Zeitpunkt im Jahr 2020 waren die angeklagten Taten als Verbrechen nach § 29a Abs. 1 Nr. 2 BtMG strafbar. Die Daten wurden nach den bisherigen Maßstäben des Bundesgerichtshofs also rechtmäßig von Frankreich nach Deutschland übermittelt. In solchen Fällen gilt schon nach der bisherigen höchstrichterlichen Rechtsprechung, dass eine Änderung der rechtlichen Bewertung einer Tat im weiteren Verlauf des Verfahrens nicht zu einer Unverwertbarkeit rechtmäßig erlangter Daten führt. Es ging vorliegend auch nicht um Bagatelltaten, sondern um den Handel mit Cannabisprodukten in größeren Mengen. Soweit der 5. Strafsenat des Bundesgerichtshofs seine bisherige Rechtsprechung geändert hat, war er hierzu durch die für ihn verbindliche Auslegung der europarechtlichen Anforderungen an eine auf den Beweismitteltransfer abzielende EEA durch den Europäischen Gerichtshof aufgerufen.
Die Sache muss deshalb, soweit der Angeklagte freigesprochen worden ist, unter Beachtung der Rechtsauffassung des Bundesgerichtshofs neu verhandelt und entschieden werden.
Vorinstanz:
Landgericht Berlin I - Urteil vom 3. Mai 2024 - (511 KLs) 279 Js 374/23 (1/24)
Der BGH hat entschieden, dass AnomChat-Daten zur Aufklärung schwerer Straftaten verwendet werden dürfen und keinem Verwertungsverbot unterliegen.
Die Pressemitteilung des BGH: AnomChat-Daten zur Aufklärung schwerer Straftaten verwertbar
Der 1. Strafsenat des Bundesgerichtshofs hat die Revision des Angeklagten gegen das Urteil des Landgerichts Tübingen vom 20. Oktober 2023 in weiten Teilen verworfen; allein wegen des Inkrafttretens des Gesetzes zum kontrollierten Umgang mit Cannabis und zur Änderung weiterer Vorschriften vom 27. März 2024 ist zum Strafmaß, im Übrigen wegen insoweit lückenhafter Feststellungen zur Vermögensabschöpfung neu zu verhandeln.
Das Landgericht hat den Angeklagten wegen 35 Verbrechen des Handeltreibens mit Betäubungsmitteln in nicht geringer Menge zu einer Gesamtfreiheitsstrafe von sieben Jahren und sechs Monaten verurteilt sowie die Einziehung von Taterlösen über mehr als 500.000 Euro angeordnet. In neun Fällen waren zentrale Beweismittel Nachrichten des Angeklagten, die dieser zur Organisation des Drogenhandels über eine in der Taschenrechnerfunktion seines Mobiltelefons versteckten App "Anom" versandt hatte. Der Angeklagte hat mit seiner Revision gerügt, dass diese über das Justizministerium der Vereinigten Staaten von Amerika (USA) erlangten Daten nicht als Beweismittel in seinem Strafverfahren hätten verwertet werden dürfen.
Der Bundesgerichtshof hat diese Beanstandung als nicht durchgreifend angesehen. Er hat entschieden, dass die von den USA übermittelten Daten als Beweismittel verwertbar sind, wenn sie wie hier der Aufklärung schwerer Straftaten dienen.
1. Der Entscheidung des Bundesgerichtshofs lag folgender Sachverhalt
zugrunde:
a) Nach den vom Angeklagten mit seiner Revision vorgelegten umfangreichen Unterlagen ermittelten US-Behörden gegen ein Unternehmen, das Kryptomobiltelefone ausschließlich an Mitglieder krimineller Vereinigungen zur verschlüsselten Kommunikation veräußerte. Nach Einleitung von Strafverfahren gegen Verantwortliche dieses Unternehmens ließ das Federal Bureau of Investigation (FBI) eigens entwickelte Kryptomobiltelefone mit dem Namen "Anom" an kriminelle Organisationen veräußern. Obwohl jedes Anom-Gerät Ende-zu-Ende verschlüsselt war, verfügte das FBI ohne Wissen der Nutzer über die Codes, um jede Nachricht zu entschlüsseln. Der Server, an den bei Versand einer Nachricht eine Kopie gesendet wurde, stand nach Auskunft des US-Justizministeriums seit Sommer 2019 in einem Mitgliedstaat der Europäischen Union, dessen Identität das FBI auf dessen Bitte nicht preisgab; auch warum der Drittstaat um Geheimhaltung bat, ist unbekannt. Jedenfalls sei dort im Oktober 2019 ein Gerichtsbeschluss ergangen, der ein Kopieren des Servers und den Empfang seiner Inhalte ermöglichte.
b) Im Rechtshilfeverkehr leitete der EU-Staat die Anom-Server-Daten an das FBI weiter. Das Aus- und Weiterleiten der Daten war nach dem Gerichtsbeschluss zeitlich bis zum 7. Juni 2021 begrenzt. Das Bundeskriminalamt erhielt über eine internetbasierte Auswerteplattform informatorisch Zugang zu den dekryptierten Inhaltsdaten mit Deutschlandbezug. Am 31. März 2021 leitete die Generalstaatsanwaltschaft Frankfurt am Main Verfahren gegen die Nutzer der Anomkryptohandys ein und stellte am 21. April 2021 ein Rechtshilfeersuchen an das US-Justizministerium, das mit Schreiben vom 3. Juni 2021 der Verwertung der übersandten Daten zustimmte.
2. Folgende rechtliche Erwägungen waren für den Bundesgerichtshof
maßgeblich:
a) Verfassungsgemäße Rechtsgrundlage für die Verwertung von Beweisen im Strafprozess ist § 261 StPO. Dies gilt auch für im Wege der Rechtshilfe erlangte Daten. Eine ausdrückliche Regelung, dass solche Beweise nur eingeschränkt verwendet werden dürfen, enthält das deutsche Recht nicht.
b) Das von der Revision geltend gemachte Beweisverwertungsverbot besteht unter keinem rechtlichen Gesichtspunkt.
aa) Die Frage, ob ein solches Verbot besteht, ist ausschließlich nach deutschem Recht zu beantworten. Die ausländischen Ermittlungsmaßnahmen waren nicht am Maßstab des ausländischen Rechts zu überprüfen. Es ist auch nicht entscheidend, ob die deutschen Ermittlungsbehörden in gleicher Weise hätten vorgehen dürfen.
bb) Gegen menschenrechtliche Grundwerte oder gegen grundlegende Rechtsstaatsanforderungen im Sinne eines im Rechtshilfeverkehr zu prüfenden "ordre public" wurde nicht verstoßen. Denn die Eingriffe in das Fernmeldegeheimnis waren begrenzt. Die Maßnahmen richteten sich ausschließlich gegen Personen, bei denen tatsächliche Anhaltspunkte für die Beteiligung an Straftaten der organisierten Kriminalität, insbesondere im Bereich des Betäubungsmittel- und Waffenhandels, bestanden. Schon angesichts der hohen Kosten und des auf kriminelle Kreise beschränkten Vertriebswegs (‚designed by criminals for criminals") begründete bereits der Erwerb eines Anom-Handys den Verdacht, dass der Nutzer das Gerät zur Planung und Begehung schwerer Straftaten im Bereich der organisierten Kriminalität einsetzte. Auch der Umstand, dass der Angeklagte nicht unmittelbar die im Drittland ergangenen Beschlüsse angreifen konnte sowie die Existenz und der Inhalt derselben der deutschen Strafjustiz nur vom Hörensagen bekannt sind, führt in der Gesamtabwägung nicht zur Verletzung des Grundsatzes des fairen Verfahrens.
Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.
Die Pressmeitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines Meta €251 Million
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decisions record the following findings of infringement of the GDPR:
Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”
The DPC will publish the full decision and further related information in due course.
OLG Düsseldorf
Beschluss vom 02.12.2024 16 W 93/23
Das OLG Düsseldorf hat entschieden, dass nach Ablauf der Monatsfrist gemäß Art.12 Abs. 3 Satz 1 DSGVO für die Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO ohne Mahnung Verzug eintritt.
Aus den Entscheidungsgründen: Die sofortige Beschwerde der Beklagten bleibt erfolglos, während die Anschlussbeschwerde des Klägers Erfolg hat.
Die auch im Beschwerdeverfahren von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte (vgl. BGH, Beschluss vom 29. Juli 2021 – XII ZB 495/20, juris, Rn. 12) ist gegeben. Sie ergibt sich aus Art. 17 Abs. 1 Buchst. c, Art. 18 Abs. 1 EuGVVO. Der Kläger ist Verbraucher im Sinne von Art. 17 Abs. 1 EuGVVO mit Wohnsitz in Deutschland und die Beklagte richtete ihre Geschäftstätigkeit in dem hier maßgeblichen Zeitraum auch auf Deutschland aus.
Auf das Rechtsverhältnis der Parteien findet gemäß Art. 6 Abs. 1 Buchst. b Rom-I-VO auch deutsches Recht Anwendung. Ausschlaggebend hierfür sind wiederum die Verbrauchereigenschaft des Klägers, der in Deutschland seinen gewöhnlichen Aufenthalt hat, und die Ausrichtung der geschäftlichen Tätigkeit der Beklagten auch auf Deutschland.
1. Die nach §§ 91a Abs. 2, 567 Abs. 1 Nr. 1 ZPO statthafte und auch im Übrigen zulässige sofortige Beschwerde der Beklagten ist unbegründet. Das gilt zum einen, soweit sie sich dagegen wendet, dass das Landgericht im Rahmen der zu treffenden Kostenentscheidung zugunsten des Klägers einen voraussichtlichen Erfolg seines Auskunftsantrags berücksichtigt hat. Das gilt zum anderen aber auch, soweit die sofortige Beschwerde hilfsweise die Gewichtung des Auskunftsantrags im Rahmen der Kostenentscheidung rügt. Die sofortige Beschwerde beanstandet insofern zwar mit Recht, dass das Landgericht den Wert des Auskunftsantrags im Rahmen der Kostenentscheidung mit 50 % und nicht niedriger gewichtet hat. Dies spielt für die Kostenentscheidung nach § 91a Abs. 1 ZPO jedoch keine Rolle, weil die Beklagte auf die erfolgreiche Anschlussbeschwerde des Klägers auch die Kosten zu tragen hat, die auf den von ihm im Rahmen der Stufenklage verfolgten Leistungsantrag entfallen.
a) Nach § 91a Abs. 1 Satz 1 ZPO entscheidet das Gericht im Falle übereinstimmender Erledigungserklärungen über die Kosten nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands. Danach sind die auf den Auskunftsantrag entfallenden Kosten von der Beklagten zu tragen. Nach bisherigem Sach- und Streitstand wäre der Auskunftsantrag des Klägers ohne die von der Beklagten am 2. August 2023 erteilten Auskünfte, mit denen die Beklagte den Auskunftsanspruch des Klägers erfüllt hat, voraussichtlich erfolgreich gewesen.
aa) Der Auskunftsantrag war zulässig. Das gilt selbst für den Fall, dass man – entgegen der Auffassung des Senats – die vom Kläger erhobene Stufenklage, für deren erste Stufe über den Wortlaut des § 254 ZPO hinaus jegliche Auskunftsbegehren in Betracht kommen (vgl. Bacher, in: BeckOK ZPO, Stand: 01.09.2024, § 254 Rn. 3), für unzulässig halten wollte. Denn dann wäre die Stufenklage hier in eine von der Stufung unabhängige objektive Anspruchshäufung nach § 260 ZPO umzudeuten (vgl. BGH, Urteil vom 27. September 2023 – IV ZR 177/22, juris, Rn. 26) mit der Folge, dass gegen den dann isoliert zu betrachtenden Auskunftsanspruch keine Zulässigkeitsbedenken bestünden. Anders als die Beklagte möglicherweise meint, ist die Funktionalisierung eines – wie hier – auf Art. 15 Abs. 1 DS-GVO gestützten Auskunftsantrags zur Bezifferung eines unbestimmten Leistungsantrags kein Problem der Zulässigkeit oder Statthaftigkeit des Antrags, sondern wäre allenfalls auf der Ebene der Begründetheit zu hinterfragen.
bb) Die Voraussetzungen eines Anspruchs nach Art. 15 Abs. 1 DS-GVO lagen vor. Die Anwendbarkeit des Art. 15 DS-GVO in zeitlicher Hinsicht war hier zu bejahen, weil der Kläger sein Auskunftsverlangen nach Inkrafttreten der Datenschutz-Grundverordnung gestellt hat (vgl. zur Anwendbarkeit des Art. 15 DS-GVO in zeitlicher Hinsicht BGH, Urteil vom 5. März 2024 – VI ZR 330/21, juris, Rn. 13). Auch der sachliche und der räumliche Anwendungsbereich der Datenschutz-Grundverordnung waren eröffnet. Soweit der Kläger als betroffene Person im Sinne von Art. 15 Abs. 1 DS-GVO mit seinem Auskunftsantrag von der Beklagten als der Verantwortlichen im Sinne von Art. 15 Abs. 1 DS-GVO nicht nur Auskunft über seine von ihr verarbeiteten personenbezogenen Daten verlangt hat, sondern auch die Mitteilung bestimmter Informationen, war dies durch die Vorschrift gedeckt. Die abgefragten Informationen entsprachen den in Art. 15 Abs. 1 DS-GVO genannten.
Es steht einem Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO auch nicht entgegen, wenn sich die betroffene Person – wie bei einer sogenannten pre-trial discovery – dadurch Erkenntnisse zur Bezifferung eines Zahlungsantrags erhofft. Der in Art. 15 Abs. 1 DS-GVO normierte Auskunftsanspruch ist nicht an die Voraussetzung geknüpft, dass die betroffene Person mit den erwünschten Angaben und Informationen in bestimmter Weise verfährt (vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22, juris, Rn. 43). Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten nach Art. 15 Abs. 1 DS-GVO besteht in den Grenzen des Art. 12 Abs. 5 DS-GVO unabhängig von den mit der Auskunft verfolgten Zwecken. Der Auskunftsanspruch ist auch weder davon abhängig, dass die betroffene Person ihn begründet (vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22, juris, Rn. 38 und 43), noch an die Voraussetzung gebunden, dass dem Betroffenen die erfragten Daten und Informationen gänzlich unbekannt sind (vgl. BGH, Urteile vom 15. Juni 2021 – VI ZR 576/19, juris, Rn. 25, und vom 16. April 2024 – VI ZR 223/21, juris, Rn. 13).
b) Das Landgericht durfte den danach voraussichtlich in Gänze erfolgreichen Auskunftsantrag zwar nicht mit einem Wert von 50 % in die zu treffende Kostenentscheidung einstellen. Wie die Beklagte mit Recht geltend macht, ist ein Auskunftsantrag nur mit einem Bruchteil des Werts der noch zu beziffernden Leistungsklage zu bemessen. Hier erscheint danach ein Wert von etwa einem Fünftel des Werts des Zahlungsantrags angemessen. Das verhilft der sofortigen Beschwerde der Beklagten wegen der erfolgreichen Anschlussbeschwerde des Klägers jedoch noch nicht einmal zu einem Teilerfolg, weil die Beklagte auch den auf den unbezifferten Zahlungsantrag des Klägers entfallenden Kostenanteil vollumfänglich zu tragen hat.
2. Die nach § 567 Abs. 3 Satz 1 ZPO statthafte und auch im Übrigen zulässige Anschlussbeschwerde des Klägers ist begründet. Auch die auf den unbezifferten Leistungsantrag des Klägers entfallenden Prozesskosten sind nach § 91a Abs. 1 Satz 1 ZPO von der Beklagten zu tragen. Das entspricht billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands. Dem steht nicht entgegen, dass der unbezifferte Leistungsantrag des Klägers mangels Spielverlusten von Anfang an unbegründet war. Der unbezifferte Klageantrag war zulässig. Zudem hätte im Fall von erlittenen Spielverlusten mit überwiegender Wahrscheinlichkeit (siehe zur genügenden Wahrscheinlichkeit BGH, Beschluss vom 24. September 2020 – IX ZB 71/19, juris, Rn. 13 f.) ein Anspruch des Klägers gegen die Beklagte bestanden, wie eine im Verfahren nach § 91a Abs. 1 ZPO gebotene summarische Prüfung (vgl. Althammer, in: Zöller, ZPO, 35. Aufl., § 91a Rn. 27) der höchstrichterlich noch nicht abschließend geklärten Rechtsfragen ergibt. Schließlich befand sich die Beklagte zum Zeitpunkt der Klageerhebung mit der Auskunftserteilung auch in Verzug, so dass dem Kläger mit Erhebung der Stufenklage ein Anspruch auf Ersatz der auf die unbezifferte Leistungsklage entfallenden Kosten zustand. Dieser materiell-rechtliche Kostenerstattungsanspruch ist im Rahmen der Kostenentscheidung nach § 91a Abs. 1 ZPO ebenfalls zu berücksichtigen.
a) Die Stufenklage – und damit auch der unbezifferte Zahlungsantrag – war nach § 254 ZPO zulässig.
Dem steht hier nicht entgegen, dass die der Stufenklage eigentümliche Verknüpfung von unbestimmtem Leistungsantrag und vorbereitendem Auskunftsantrag nicht zur Verfügung steht, wenn die Auskunft nicht dem Zweck einer Bestimmbarkeit des Leistungsanspruchs dient, sondern dem Kläger sonstige mit der Bestimmbarkeit als solcher nicht in Zusammenhang stehende Informationen über seine Rechtsverfolgung verschaffen soll (vgl. BGH, Urteile vom 27. September 2023 – IV ZR 177/22, juris, Rn. 24, und vom 8. Mai 2024 – IV ZR 102/23, juris, Rn. 8). Zwar dienten die vom Kläger mit dem Auskunftsantrag verlangten Angaben größtenteils nicht der Bezifferung eines sich aus einer Rechnungslegung ohne Weiteres ergebenden Anspruchs, sondern der Prüfung der Rechtmäßigkeit der Datenverarbeitung. Das ist jedoch deshalb unschädlich, weil die vom Kläger mit dem Auskunftsantrag ebenfalls verlangten Angaben zu seiner vollständigen Zahlungshistorie auf der Grundlage seines Vorbringens in der Klageschrift (vgl. zur Maßgeblichkeit des Klägervorbringens BGH, Urteil vom 24. Mai 2012 – IX ZR 168/11, juris, Rn. 20; OLG Saarbrücken, Teilurteil vom 10. Januar 2024 – 5 U 26/23, juris, Rn. 43), zu dem auch die behaupteten Spielverluste zählten, der Bezifferung seines auf Bereicherungs- und Deliktsrecht gestützten Zahlungsantrags dienen sollten. Dass der Kläger unter Einsatz von Geld bis Mitte 2021 in Deutschland an Online-Glücksspielen teilgenommen hat, welche die Beklagte ohne deutsche Glücksspiellizenz angeboten hat, war zwischen den Parteien nicht streitig.
b) Hinsichtlich der dem Kläger gegen die Beklagte aus seiner Beteiligung an den Online-Glücksspielen dem Grunde nach zustehenden Ansprüche folgt der Senat – bei der im Verfahren nach § 91a Abs. 1 ZPO gebotenen summarischen Prüfung – der einheitlichen oberlandesgerichtlichen Rechtsprechung. Danach bestehen in Fällen der vorliegenden Art Ansprüche der sich an den Glücksspielen Beteiligenden gegen den Glücksspielanbieter aus § 812 Abs. 1 Satz 1 Alt. 1 BGB i.V.m. §§ 134 BGB, 4 Abs. 1 und Abs. 4 GlüStV 2012 (siehe OLG Braunschweig, Urteil vom 23. Februar 2023 – 9 U 3/22, juris, Rn. 63 ff.; OLG Hamm, Urteil vom 21. März 2023 – I-21 U 116/21, juris, Rn. 24 ff.; OLG Karlsruhe, Urteil vom 19. Dezember 2023 – 19 U 44/23, juris, Rn. 57 ff.; KG, Beschluss vom 21. Juli 2023 – 18 U 37/22, juris, Rn. 38 ff.; OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 31 ff.; OLG Oldenburg, Urteil vom 30. November 2023 – 1 U 14/23, juris, Rn. 27 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 47 ff.; siehe ferner BGH, Beschlüsse vom 22. März 2024 – I ZR 88/23, juris, Rn. 11, und vom 25. Juli 2024 – I ZR 90/23, juris, Rn. 9) und aus §§ 823 Abs. 2, 31 BGB i.V.m. § 4 Abs. 4 GlüStV 2012 (OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 98 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 158 ff.; siehe ferner BGH, Beschluss vom 25. Juli 2024 – I ZR 90/23, juris, Rn. 61 ff.). Mit der genannten oberlandesgerichtlichen Rechtsprechung geht der Senat – in Kenntnis und Würdigung der bei dem Gerichtshof der Europäischen Union anhängigen Vorabentscheidungsverfahren C-440/23 und C-530/24 sowie der aktuellen Vorlage- und Aussetzungsentscheidungen des Bundesgerichtshofs (vgl. z.B. BGH, Beschlüsse vom 27. Juni 2024 – I ZR 11/24, juris, und vom 7. November 2024 – I ZR 90/23, juris) – davon aus, dass es – was für eine Kostenentscheidung zulasten einer Partei im Rahmen des § 91a Abs. 1 ZPO ausreicht – überwiegend wahrscheinlich ist, dass dieses materiell-rechtliche Ergebnis auch mit europäischem Recht, insbesondere mit der Dienstleistungsfreiheit aus Art. 56 AEUV, vereinbar ist (vgl. z.B. OLG Karlsruhe, Urteil vom 19. Dezember 2023 – 19 U 44/23, juris, Rn. 70 ff.; OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 129 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 110 ff.).
c) Zwar ergab sich aus der von der Beklagten erteilten Auskunft, dass die Leistungsklage des Klägers mangels Spielverlusten von Beginn an unbegründet war. Nach der vom Senat geteilten vorherrschenden Auffassung in Rechtsprechung und Literatur (vgl. z.B. OLG Düsseldorf, Beschluss vom 27. August 2012 – I-7 W 70/12, juris, Rn. 9; OLG Frankfurt a.M., Beschluss vom 8. September 1986 – 3 WF 163/86, juris, Rn. 19 f.; Althammer, in: Zöller, ZPO, 35. Aufl., § 91a Rn. 58.44; Assmann, in: Wieczorek/Schütze, ZPO, 5. Aufl., § 254 Rn. 83; Bacher, in: BeckOK ZPO, Stand: 01.09.2024, § 254 Rn. 31) hat der Beklagte im Rahmen einer Kostenentscheidung nach § 91a Abs. 1 ZPO jedoch auch in solchen Fällen die auf die unbezifferte Leistungsklage entfallenden Prozesskosten zu tragen, wenn dem Kläger gegen den Beklagten bis dahin ein materiell-rechtlicher Schadensersatz- beziehungsweise Kostenerstattungsanspruch wegen Verzugs bei der Erfüllung der Auskunftspflicht zustand. So liegt es hier.
aa)Dem Kläger stand gegen die Beklagte bis zu der mit dem vorliegenden Beschluss getroffenen Kostenentscheidung aus §§ 280 Abs. 1 und 2, 286 BGB ein Ersatzanspruch in Höhe der Kosten für den unbezifferten Zahlungsantrag zu. Das vom Kläger an die Beklagte gerichtete vorgerichtliche Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO begründete zwischen den Parteien ein eigenes Schuldverhältnis im Sinne von § 280 Abs. 1 Satz 1 BGB. Zum Zeitpunkt der Klageerhebung befand sich die Beklagte mit der Erteilung der von ihr nach dem Inhalt dieses Schuldverhältnisses an den Kläger zu erteilenden Auskunft auch gemäß § 286 Abs. 1 und 2 Nr. 2 BGB in Verzug. Nach § 286 Abs. 2 Nr. 2 BGB bedarf es für den Verzugseintritt keiner Mahnung, wenn der Leistung ein Ereignis vorauszugehen hat und eine angemessene Zeit für die Leistung in der Weise bestimmt ist, dass sie sich von dem Ereignis an nach dem Kalender berechnen lässt. So verhält es sich hier, weil § 286 Abs. 2 Nr. 2 BGB auch auf gesetzlich bestimmten Leistungsfristen anzuwenden ist (vgl. BGH, Urteil vom 12. November 2015 – I ZR 167/14, juris, Rn. 142).
Das der geschuldeten Auskunftserteilung nach Art. 15 Abs. 1 DS-GVO vorauszugehende Ereignis im Sinne von § 286 Abs. 2 Nr. 2 BGB ist der Auskunftsantrag der betroffenen Person. Dieser Antrag löst nach Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Das Auskunftsverlangen ist danach unverzüglich, spätestens aber – im Einklang mit der Aufforderung des Klägers – innerhalb eines Monats nach Eingang des Antrags zu beantworten. Das reicht für die Berechenbarkeit nach dem Kalender im Sinne von § 286 Abs. 2 Nr. 2 BGB aus. Dabei kann dahinstehen, ob dies für den von Art. 12 Abs. 3 Satz 1 DS-GVO verwendeten Begriff „unverzüglich“ gilt. Es gilt jedenfalls für die in Art. 12 Abs. 3 Satz 1 DS-GVO genannte Höchstfrist „innerhalb eines Monats nach Eingang des Antrags“.
Hier hatte der Kläger die Beklagte mit außergerichtlichem Schreiben seiner Prozessbevollmächtigten vom 1. Februar 2023 unter Setzung einer Monatsfrist zur Auskunftserteilung aufgefordert. Dieses Auskunftsverlangen, das der Beklagten nach dem unstreitigen Klägervorbringen zugestellt worden ist, löste ungeachtet der in dem Schreiben enthaltenen Fristsetzung gemäß Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Diese gesetzliche Frist hat die Beklagte nicht eingehalten. Sie hat bis zur Klageerhebung auf den Antrag weder unverzüglich noch binnen der einmonatigen Antworthöchstfrist des Art. 12 Abs. 3 Satz 1 DS-GVO reagiert, wie aus dem zeitlichen Abstand zwischen Antrag und Klageerhebung gefolgert werden kann. Zu den Voraussetzungen einer Fristverlängerung nach Art. 12 Abs. 3 Satz 2 DS-GVO hat die Beklagte nichts vorgetragen. Dazu ist auch sonst nichts ersichtlich. Die nach Verzugseintritt vom Kläger erhobene Stufenklage mit ihrem noch unbestimmten Leistungsantrag stellte sich dann als prozessual sachgerechte und damit adäquate Folge der nicht fristgerecht erteilten Auskunft dar.
bb) Einem Anspruch des Klägers gegen die Beklagte aus §§ 280 Abs. 1 und 2, 286 BGB auf Ersatz der auf den unbezifferten Zahlungsantrag entfallenden Prozesskosten stand auch kein anspruchsausschließendes oder anspruchsminderndes Mitverschulden des Klägers nach § 254 Abs. 1 BGB entgegen. An einen entsprechenden Mitverschuldenseinwand lässt sich denken, wenn Anhaltspunkte dafür bestehen, dass der Kläger eine Stufenklage erhebt, obgleich er aus eigenen Unterlagen ersehen kann, dass ihm ungeachtet der nach Art. 15 Abs. 1 DS-GVO noch zu erteilenden Auskunft kein Zahlungsanspruch zustehen kann, oder wenn er für den noch unbezifferten Zahlungsantrag eine Wertangabe macht, die willkürlich ist und jedes Maß vermissen lässt (vgl. OLG Düsseldorf, Beschluss vom 27. August 2012 – I-7 W 70/12, juris, Rn. 10).
Ausreichende Anhaltspunkte für einen dieser Sachverhalte lassen sich hier jedoch nicht feststellen. Zwar hatte der Kläger in der Klageschrift noch angegeben, nötigenfalls Zahlungsnachweise für seine Spieleinsätze vorlegen zu können. Danach schien es nicht ausgeschlossen zu sein, dass der Kläger zu einer Bezifferung seiner Spielverluste in der Lage sein würde. In der Anschlussbeschwerdeschrift hat der Kläger jedoch ausgeführt, dass es sich lediglich um eine missverständliche Formulierung seines Prozessbevollmächtigten gehandelt habe und er die Auskunft nicht verlangt hätte, wenn ihm alle relevanten Kontoauszüge vorgelegen hätten. Dem ist die für ein Mitverschulden des Klägers darlegungs- und beweisbelastete Beklagte nachfolgend nicht mehr entgegengetreten. Auch mit der Streitwertangabe des Klägers hat sie sich – ungeachtet ihrer Kenntnis von seinen Spieleinsätzen – nicht befasst. Soweit die Beklagte vorträgt, dass davon auszugehen sei, dass sich der Kläger erinnern könne, dass er keine Verluste gemacht, sondern nur gewonnen habe, handelt es sich – zumal angesichts der Hinweise auf die Spielsucht des Klägers in der Klageschrift – um eine nicht zwingende Schlussfolgerung, der sich der Senat auch mit Blick auf das prozessuale Vorgehen des Klägers nicht anzuschließen vermag.
Ein Mitverschulden lässt sich mit Blick auf den Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO schließlich auch nicht mit dem Hinweis darauf begründen, dass der Kläger nicht sämtliche Zahlungsbelege zu den von ihm getätigten Online-Glücksspielen aufbewahrt hat. Insoweit durfte er nach Inkrafttreten der Datenschutz-Grundverordnung darauf vertrauen, über seine personenbezogenen, bei der Beklagten gespeicherten Zahlungsdaten nötigenfalls gemäß Art. 15 Abs. 1 DS-GVO Auskunft von der Beklagten zu erhalten.
Das LG Hagen hat entschieden, dass eine Cyberversicherung nicht bei Schäden durch betrügerische E-Mails greift, da es in solchen Fällen an der dafür notwendigen IT-Sicherheitsverletzung fehlt.
Aus den Entscheidungsgründen: Die Klägerin hat keinen Anspruch auf Zahlung in Höhe von 85.000,00 € gegen die Beklagte aus dem zwischen den Parteien bestehenden Versicherungsvertrag über eine Cyber-Versicherung in Verbindung mit § 1 VVG.
1. Es liegt kein Versicherungsfall vor, weil es an einer Informationssicherheitsverletzung im Sinne des Teil A Ziff. 4 der AVB fehlt. Weder liegt eine Verletzung datenschutzrechtlicher Bestimmungen (Teil A Ziffer 3.1 AVB) noch eine Vertraulichkeitsverletzung (Teil A Ziffer 3.2 AVB) noch eine Netzwerksicherheitsverletzung (Teil A Ziffer 3.3 AVB) vor.
a) Eine Verletzung datenschutzrechtlicher Bestimmungen liegt schon deshalb nicht vor, weil die Klägerin als Versicherungsnehmerin keinen Verstoß gegen datenschutzrechtliche Bestimmungen begangen hat.
Für eine Vertraulichkeitsverletzung im Sinne der AVB fehlt es an einer Verletzung der Vertraulichkeit Daten Dritter durch die Klägerin.
b) Auch eine Netzwerksicherheitsverletzung liegt nicht vor. Dies ergibt die Auslegung der zugrundeliegenden AVB, hier Teil A Ziffer 3.3. der AVB.
Allgemeine Versicherungsbedingungen sind so auszulegen, wie ein durchschnittlicher, um Verständnis bemühter Versicherungsnehmer sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs versteht. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Bedingungswortlaut auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den Versicherungsnehmer erkennbar sind (BGH r+s 2020, 163 Rn. 9, beck-online m.w.N.).
Ein solcher Versicherungsnehmer wird die entsprechende Klausel dahin verstehen, dass es zu einer Verletzung der Sicherheit des Netzwerkes der Klägerin gekommen sein muss und eine derartige Verletzung bei dem Empfang von E-Mails, die von einem anderen als dem in den E-Mails angegebenen Absender stammen, nicht gegeben ist. Allein der Umstand, dass aufgrund der unautorisierten Verwendung des E-Mail Exchange Servers des Lieferanten möglicherweise eine nicht zu erkennende Täuschung vorgelegen hat, stellt keinen direkten Angriff auf die Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme der Klägerin dar. Die informationstechnischen Systeme – auch das E-Mail System der Klägerin – und letztlich auch das Netzwerk der Klägerin funktionierten wie vorgesehen. Mails konnten auf normale Weise und unverändert empfangen und gesendet werden. Betroffen von dem Cyber-Angriff war lediglich ein Netzwerk eines Dritten.
Berücksichtigt werden müssen bei einer Auslegung der Versicherungsbedingungen weiterhin die – nicht abschließenden – Regelbeispiele aus Teil A Ziff. 3.3.1., in denen es auszugsweise heißt:
Keine Netzwerksicherheitsverletzung liegt vor, wenn
(3) Beeinträchtigungen der oben genannten Art in Netzwerken Dritter stattfinden, die Auswirkungen jedoch auch beim Versicherungsnehmer auftreten (z. B. man-in-the-middle Angriff bei Zulieferer);
(4) kein Eingriff in das Netzwerk des Versicherungsnehmers stattgefunden hat (z. B. fake president Angriffe mittels nachgebildeter E-Mail-Adresse).
Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelt es sich im vorliegenden Fall einer dem „normalen“ Betrug nahen Tat.
Auch im Übrigen ist dieses Verständnis der AVB sachgerecht. Denn im vorliegenden Fall ist die Klägerin auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten.
c) Auch liegt kein Versicherungsfall nach der Vertrauensschadenversicherung nach Teil D. Ziff. 1 AVB vor. Der Versicherungsfall ist ergänzend in der Vertrauensschadenversicherung zunächst unter Teil D. Ziff.1 wie folgt definiert:
Versicherungsschutz besteht für den Versicherungsnehmer wegen eines Versicherungsfalles im Sinne von Teil A Ziffer 4, wenn die Informationssicherheitsverletzung vorsätzlich und rechtswidrig erfolgte und nach den gesetzlichen Bestimmungen über unerlaubte Handlungen zum Schadenersatz verpflichtet und der Versicherungsnehmer unmittelbar dadurch einen Vermögensschaden erleidet. Es ist dabei unerheblich, ob die Informationssicherheitsverletzung von Mitarbeitern des Versicherungsnehmers oder von Dritten erfolgte.
Weiterhin besteht Versicherungsschutz auch für einen eingetretenen „Täuschungsschaden“ (Teil D. Ziff. 1.2.):
Versicherungsschutz besteht für den mittelbar entstandenen Vermögensschaden, wenn ein Mitarbeiter des Versicherungsnehmers auf Grund einer Informationssicherheitsverletzung gemäß Teil A Ziffer 3, welche einen Straftatbestand im Sinne des Strafgesetzbuches erfüllt, dazu verleitet wurde, Zahlungen / Überweisungen zu veranlassen.
Zwar umfasst der Versicherungsschutz des Teil D der AVB dem Wortlaut und auch dem Sinn und Zweck nach betrügerische Handlungen die das Vertrauen des Versicherungsnehmers ausnutzen. Die Vertrauensschadenversicherung bietet – je nach Ausgestaltung – gerade auch Versicherungsschutz für vorsätzliche Eingriffe in informationsverarbeitende Systeme des Versicherungsnehmers, durch eine Vertrauensperson oder Dritte, und dadurch unmittelbar verursachte Schäden (Schilbach, r+s 2024, 581 Rn. 49, beck-online).
Da allerdings immer auch eine Informationssicherheitsverletzung erforderlich ist, ist der Anwendungsbereich der Vertrauensschadenversicherung nicht eröffnet.
2. Entgegen der Auffassung der Klägerin sind die streitgegenständlichen AVB in den relevanten Auszügen nicht gem. § 307 BGB unwirksam.
a) Zum einen stellen sowohl Teil A. Ziff. 4 AVB, als auch Teil D Ziff. 1.2 Leistungsbeschreibungen des versicherten Risikos dar und unterliegen gem. § 307 Abs. 3 S. 1 BGB nicht der Inhaltskontrolle im Hinblick auf das Kriterium der unangemessenen Benachteiligung. Die Formulierungen in Teil A Ziff. 3 und Teil D Ziff. 1 AVB stellen keine Einschränkungen des zuvor festgelegten Versicherungsumfangs dar, sondern legen erst die vom Versicherer geschuldete Leistung fest (vgl. auch BGH NJW 2023, 208).
b) Die Leistungsbeschreibungen verstoßen auch nicht gegen das – sich gem. § 307 Abs. 3 S. 2 BGB auch auf das Hauptleistungsversprechen erstreckende (vgl. BGH VersR 2014, 625) – Transparenzgebot des § 307 Abs. 1 S. 2 BGB.
aa) Nach dem Transparenzgebot ist der Verwender allgemeiner Geschäftsbedingungen gehalten, Rechte und Pflichten seines Vertragspartners möglichst klar und durchschaubar darzustellen. Dabei kommt es nicht nur darauf an, dass die Klausel in ihrer Formulierung für den durchschnittlichen Versicherungsnehmer verständlich ist. Vielmehr gebieten Treu und Glauben, dass die Klausel die wirtschaftlichen Nachteile und Belastungen soweit erkennen lässt, wie dies nach den Umständen gefordert werden kann. Dem Versicherungsnehmer soll bereits im Zeitpunkt des Vertragsschlusses vor Augen geführt werden, in welchem Umfang er Versicherungsschutz erlangt und welche Umstände seinen Versicherungsschutz gefährden. Nur dann kann er die Entscheidung treffen, ob er den angebotenen Versicherungsschutz nimmt oder nicht (vgl. BGH NJW 2023, 208). Maßgebend sind die Verständnismöglichkeiten des typischerweise bei Verträgen der geregelten Art zu erwartenden Durchschnittskunden. Insoweit gilt kein anderer Maßstab als derjenige, der auch bei der Auslegung von Versicherungsbedingungen zu beachten ist (BGH aaO.).
bb) Nach diesen Grundsätzen sind die Leistungsbeschreibungen der AVB nicht intransparent. Denn für eine Cyber-Versicherung ist typisch und für den Durchschnittskunden erkennbar, dass nur das Risiko der eigenen IT-Systeme geschützt werden soll und nicht weltweite Hacker-Angriffe, die in mittelbarer Weise Auswirkungen gegenüber dem Versicherungsnehmer haben können. Andernfalls wäre bereits die Teilnahme am E-Mail-Verkehr an sich ein großes Risiko, da niemand vor – auch gut gefälschten – Phishing Mails geschützt ist. Die Versicherungsbedingungen sind insoweit klar und verständlich formuliert, dass im Rahmen der Netzwerksicherheitsverletzung gerade eine Beeinträchtigung der eigenen Netzwerke vorliegen muss.
Das Bundesverfassungsgericht hat eine Verfassungbeschwerde gegen eine strafrechtliche Verurteilung nach Verwertung von EncroChat-Daten nicht zur Entscheidung angenommen.
Die Pressmeitteilung des Bundesverfassungsgerichts: Unzulässige Verfassungsbeschwerde gegen strafrechtliche Verurteilung nach Verwertung von in Frankreich erhobenen und nach Deutschland übermittelten EncroChat-Daten
Mit heute veröffentlichtem Beschluss hat die 1. Kammer des Zweiten Senats des Bundesverfassungsgerichts eine Verfassungsbeschwerde gegen eine strafrechtliche Verurteilung nicht zur Entscheidung angenommen, mit der sich der Beschwerdeführer gegen die Verwertung der von französischen Behörden erhobenen und aufgrund einer Europäischen Ermittlungsanordnung (nachfolgend EEA) nach Deutschland übermittelten sogenannten EncroChat-Daten wendet.
Der überwiegend geständige Beschwerdeführer wurde durch Urteil des Landgerichts wegen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in zehn Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt. Er hatte zum Erwerb und zur Veräußerung der Betäubungsmittel ein verschlüsseltes Mobiltelefon des Anbieters EncroChat genutzt. Soweit der Beschwerdeführer sich nicht geständig eingelassen hatte, stützte das Landgericht die Beweisführung maßgeblich auf die Auswertung von EncroChat-Daten. Die Daten gehen zurück auf Ermittlungen französischer Behörden im Zeitraum vom 1. April 2020 bis 30. Juni 2020 und wurden von Europol über die Generalstaatsanwaltschaft an die in Deutschland regional zuständigen Staatsanwaltschaften übermittelt. Die Revision des Beschwerdeführers war erfolglos.
Die Verfassungsbeschwerde ist unzulässig. Sie genügt den Darlegungs- und Substantiierungsvoraussetzungen nicht, soweit eine entscheidungserhebliche Gehörsverletzung, die Verletzung der Garantie des gesetzlichen Richters oder von Grundrechten gerügt wird. Unabhängig davon weist die Kammer darauf hin, dass auf der Grundlage der vom Bundesgerichtshof festgestellten Verfahrenstatsachen eine Verletzung von Grundrechten des Beschwerdeführers nicht ersichtlich ist.
Sachverhalt:
Französische Behörden stellten in den Jahren 2017 und 2018 in mehreren Ermittlungsverfahren, bei denen es insbesondere um den verbotenen Handel mit Betäubungsmitteln ging, fest, dass die Tatverdächtigen über sogenannte Kryptohandys verfügten, die über eine sogenannte EncroChat-Architektur verschlüsselt waren. Eine Auswertung dieser Mobiltelefone war aufgrund der Verschlüsselung nicht möglich. Französische Gerichte genehmigten daraufhin verschiedene staatsanwaltlich beantragte Ermittlungsmaßnahmen, darunter den Zugriff auf den EncroChat-Server. Per „Ferninjektion“ wurde ein Abfangtool eingebracht. Dem Bundeskriminalamt wurden über Europol Erkenntnisse zugeleitet, aus denen sich ergab, dass in Deutschland eine Vielzahl schwerster Straftaten (insbesondere Einfuhr von und Handeltreiben mit Betäubungsmitteln in nicht geringen Mengen) unter Nutzung von Mobiltelefonen mit der Verschlüsselungssoftware EncroChat begangen wurde. Die zwischen dem 1. April 2020 und dem 30. Juni 2020 erfassten EncroChat-Daten wurden von Europol über eine Generalstaatsanwaltschaft an die regional zuständigen Staatsanwaltschaften übermittelt.
Der überwiegend geständige Beschwerdeführer wurde durch Urteil des Landgerichts wegen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge in zehn Fällen zu einer Gesamtfreiheitsstrafe von fünf Jahren verurteilt. Der Beschwerdeführer hatte zum Erwerb und zur Veräußerung der Betäubungsmittel ein verschlüsseltes Mobiltelefon des Anbieters EncroChat genutzt. Soweit sich der Beschwerdeführer nicht geständig eingelassen hatte, stützte das Landgericht die Beweisführung maßgeblich auf die Auswertung von EncroChat-Daten. Der Verteidiger des Beschwerdeführers hatte der Erhebung und Verwertung von Beweisen zum Inhalt des EncroChat-Verkehrs am ersten Hauptverhandlungstag widersprochen. Ohne den Widerspruch zu bescheiden, verkündete das Landgericht sein Urteil. In den schriftlichen Urteilsgründen ging es auf die Frage der Verwertbarkeit der EncroChat-Daten nicht gesondert ein. Der Bundesgerichtshof verwarf die Revision des Beschwerdeführers (Beschluss vom 2. März 2022 - 5 StR 457/21 -). Er hält auf diese Weise erlangte Daten von EncroChat-Nutzern für verwertbar.
Wesentliche Erwägungen der Kammer:
Die Verfassungsbeschwerde ist unzulässig. Sie genügt den Darlegungs- und Substantiierungsvoraussetzungen nicht.
1. Eine entscheidungserhebliche Gehörsverletzung wird nicht schlüssig aufgezeigt. Der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 des Grundgesetzes (GG) umfasst auch die Pflicht des Gerichts, den Vortrag des Betroffenen sowohl zur Kenntnis zu nehmen als auch in Erwägung zu ziehen. Das Fehlen einer ausdrücklichen Bescheidung konkreten Vorbringens lässt aber nur unter besonderen Umständen einen Rückschluss darauf zu, das Gericht habe das Vorbringen nicht berücksichtigt. Ausführungen zur Verwertbarkeit der EncroChat-Daten in den schriftlichen Urteilsgründen waren vom Landgericht im Streitfall bereits deshalb nicht zu erwarten, weil nach der Rechtsprechung des Bundesgerichtshofs einfachrechtlich grundsätzlich keine Pflicht zur Begründung der Verwertbarkeit von Beweisen in den schriftlichen Urteilsgründen besteht. Ein – unterstellter – Gehörsverstoß durch das Landgericht wäre im Übrigen in der Revisionsinstanz durch den Bundesgerichtshof geheilt worden. Der Bundesgerichtshof setzt sich im angegriffenen Beschluss umfassend mit dem Vorbringen und den Einwänden des Beschwerdeführers zur Frage der Verwertbarkeit der EncroChat-Daten auseinander und begründet ausführlich, warum ein Beweisverwertungsverbot unter keinem rechtlichen Gesichtspunkt besteht.
2. Auch eine entscheidungserhebliche Verletzung der Garantie des gesetzlichen Richters legt der Beschwerdeführer nicht schlüssig dar. Ein Rechtssuchender kann seinem gesetzlichen Richter dadurch entzogen werden, dass ein Gericht die Verpflichtung zur Vorlage an ein anderes Gericht außer Acht lässt. Dies kann auch bei einer unterbliebenen Einleitung eines Vorlageverfahrens nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) gelten.
a) Das Landgericht war als nicht letztinstanzliches nationales Gericht jedoch nur vorlageberechtigt (Art. 267 Abs. 2 AEUV), aber nicht vorlageverpflichtet (Art. 267 Abs. 3 AEUV). Auch der Bundesgerichtshof hat den Anspruch des Beschwerdeführers auf den gesetzlichen Richter durch Nichtvorlage von Rechtsfragen an den Gerichtshof der Europäischen Union (EuGH) auf der Grundlage des Vorbringens der Verfassungsbeschwerde nicht in entscheidungserheblicher Weise verletzt. Zutreffend geht der Beschwerdeführer allerdings davon aus, dass die Erwägung des Bundesgerichtshofs, klärungsbedürftige Fragen der Anwendung europäischen Rechts ergäben sich nicht, weil sich die Frage der Beweisverwertung nach nationalem Recht richte, (jedenfalls) in Bezug auf Art. 267 Abs. 3 AEUV zu kurz greift. Denn eine Frage des Unionsrechts kann auch als Vorfrage klärungsbedürftig – weil entscheidungserheblich – sein. Soweit der Bundesgerichtshof bei der Beurteilung der Verwertbarkeit der EncroChat-Daten entscheidungserheblich auch darauf abgestellt hat, dass die Erhebung und Übermittlung der Erkenntnisse nicht gegen den Beschwerdeführer schützende Vorgaben des Unionsrechts verstießen, wäre ungeachtet des Umstandes, dass es letztlich um die nach nationalem Recht zu beurteilende Verwertbarkeit der Erkenntnisse im deutschen Strafprozess ging, eine Vorlage in Betracht gekommen und gegebenenfalls auch geboten gewesen.
b) Der Beschwerdeführer ist aber seiner Obliegenheit nicht nachgekommen, die Verfassungsbeschwerde bei entscheidungserheblicher Veränderung der Sach- und Rechtslage aktuell zu halten und die Beschwerdebegründung gegebenenfalls nachträglich zu ergänzen. Der EuGH hat auf das Vorabentscheidungsersuchen des Landgerichts Berlin mit Urteil vom 30. April 2024 (M.N. , C-670/22, EU:C:2024:372) über Fragen der Auslegung der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen (ABL EU Nr. L 130/1; nachfolgend RL EEA) im Zusammenhang mit der auch diesem Verfassungsbeschwerdeverfahren zugrundeliegenden EEA der Generalstaatsanwaltschaft und den hierauf übermittelten EncroChat-Daten entschieden. Daher wäre vom Beschwerdeführer darzulegen gewesen, dass auch unter Berücksichtigung dieser Entscheidung eine Verletzung des Anspruchs auf den gesetzlichen Richter vorliegt, auf der die angegriffene Entscheidung des Bundesgerichtshofs beruht. Dieser Darlegungsobliegenheit ist der Beschwerdeführer nicht nachgekommen.
c) Eine entscheidungserhebliche Verletzung der Vorlagepflicht hinsichtlich der vom Beschwerdeführer in seiner Verfassungsbeschwerde adressierten Fragen ist aber auch in der Sache nicht (mehr) ersichtlich. Die angegriffene Entscheidung des Bundesgerichtshofs beruht jedenfalls nicht auf der unterbliebenen Vorlage. Zwar gelangt der EuGH anders als der Bundesgerichtshof zu dem Ergebnis, dass die Übermittlung von Beweismitteln, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nur möglich ist, wenn sie in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können. Diese Abweichung stellt das vom Bundesgerichtshof im vorliegenden Fall gefundene Ergebnis aber nicht infrage, weil er dies in der Sache ebenfalls geprüft hat. Als innerstaatliche Vergleichsmaßnahme zieht er in verfassungsrechtlich nicht zu beanstandender Weise eine Online-Durchsuchung nach § 100b Strafprozessordnung (StPO) heran, deren Erkenntnisse der strafprozessual restriktivsten Verwendungsschranke des § 100e Abs. 6 StPO unterliegen. Auf dieser Grundlage gelangte der Bundesgerichtshof zum Ergebnis, dass die EncroChat-Daten in dem Strafverfahren gegen den Beschwerdeführer verwendet werden durften. Der Bundesgerichtshof wandte damit das auch vom EuGH geforderte Prüfungsprogramm an.
d) Soweit der Beschwerdeführer meint, der Bundesgerichtshof hätte dem EuGH auch die Frage vorlegen müssen, ob die von den französischen Gerichten und Behörden genehmigte und durchgeführte, in der RL EEA nicht ausdrücklich genannte Maßnahme der Abschöpfung sämtlichen über einen Server laufenden Kommunikationsverkehrs Gegenstand einer EEA sein dürfe, beruht die angefochtene Revisionsentscheidung ebenfalls nicht auf der unterbliebenen Vorlage. Der EuGH hat die bejahende Rechtsauffassung des Bundesgerichtshofs in seinem Urteil vom 30. April 2024 insoweit in der Sache bestätigt.
3. Die vom Beschwerdeführer erhobenen Rügen einer Verletzung in seinem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie in Art. 10 GG und seinen Grundrechten aus Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (GRCh) genügen den Darlegungsanforderungen ebenfalls nicht. Es fehlt schon an einer hinreichenden Darlegung der vom Bundesverfassungsgericht insoweit entwickelten Maßstäbe.
4. Unabhängig davon weist die Kammer darauf hin, dass auf der Grundlage der vom Bundesgerichtshof festgestellten, im vorliegenden Verfassungsbeschwerdeverfahren maßgeblichen Verfahrenstatsachen eine Verletzung von Grundrechten des Beschwerdeführers nicht ersichtlich ist; insbesondere ist keine Verletzung des allgemeinen Persönlichkeitsrechts des Beschwerdeführers erkennbar. Die Frage der Verwertung von im Wege der Rechtshilfe erlangten Beweismitteln ist nach nationalem Recht zu beurteilen. Das gilt auch für Erkenntnisse, die mittels einer EEA gewonnen wurden. Maßstab für die Prüfung sind damit in erster Linie die Grundrechte des Grundgesetzes.
Die Verwertung personenbezogener Informationen in einer gerichtlichen Entscheidung greift in das allgemeine Persönlichkeitsrecht ein. Dieses Recht gewährleistet die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden. Das allgemeine Persönlichkeitsrecht ist allerdings nicht vorbehaltlos gewährleistet. Beschränkungen des allgemeinen Persönlichkeitsrechts sind – soweit nicht Informationen aus dem Kernbereich privater Lebensgestaltung verwertet werden – zum Schutz überwiegender Allgemeininteressen zulässig, wenn sie durch oder auf Grundlage eines Gesetzes, das Voraussetzungen und Umfang der Beschränkung hinreichend klar umschreibt und dem Grundsatz der Verhältnismäßigkeit genügt, erfolgen. Verfassungsgemäße Rechtsgrundlage für die Beweisverwertung im Strafprozess ist § 261 StPO. Für die Verwertung von Beweisen, die aus dem Ausland in ein deutsches Strafverfahren eingeführt wurden, gelten insoweit grundsätzlich keine Besonderheiten. Wurden Informationen rechtswidrig erlangt, besteht von Verfassungs wegen kein Rechtssatz, wonach die Verwertung der gewonnenen Informationen stets unzulässig wäre. Die strafgerichtliche Praxis geht in gefestigter Rechtsprechung davon aus, dass die Frage nach dem Vorliegen eines Verwertungsverbots jeweils nach den Umständen des Einzelfalls zu entscheiden ist. Die Annahme eines Beweisverwertungsverbots stellt dabei eine Ausnahme dar. Hiergegen ist aus verfassungsrechtlicher Sicht nichts zu erinnern.
Die Würdigung des Bundesgerichtshofs im angegriffenen Beschluss, wonach die EncroChat-Daten keinem aus einem Verfahrensfehler abgeleiteten Beweisverwertungsverbot unterliegen, ist nach diesen Maßstäben verfassungsrechtlich nicht zu beanstanden. Informationen aus dem Kernbereich privater Lebensgestaltung wurden im Urteil des Landgerichts nicht verwertet. Dass der Bundesgerichtshof die Verwertung der hier erlangten Informationen davon abhängig macht, ob die Voraussetzungen der – nicht unmittelbar anwendbaren – § 100e Abs. 6, § 100b Abs. 2 Nr. 5 Buchstabe b StPO vorliegen, und dabei auf eine Betrachtung zum Verwertungszeitpunkt abstellt, begegnet keinen verfassungsrechtlichen Bedenken. Auch gegen die Annahme des Bundesgerichtshofs, die durch französische Behörden durchgeführte Beweiserhebung habe nicht gegen wesentliche rechtsstaatliche Grundsätze im Sinne des nationalen und europäischen ordre public verstoßen, ist auf der Grundlage des von ihm festgestellten Sachverhalts von Verfassungs wegen nichts zu erinnern.
Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.
Aus den Entscheidungsgründen: Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.
Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.
So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,
Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.
Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.
Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.
Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.
Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.
Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.
Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.
Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.
Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.
„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.
In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.
Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.
Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.
Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.
Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.
Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.
Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.
Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.
Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.
Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.
Vgl. Jens Bülte/Gerhard Dannecker/Eric Hilgendorf/Florian Jeßberger/Bernd Schünemann/Jan C. Schuhr/Tonio Walter/Thomas Weigend/Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.
An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.
Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.
Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.
Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.
Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.
Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.
Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.
Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.
Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.
Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.
Aus den Entscheidungsgründen: 1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.
Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.
Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung
Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.
Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.
2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.
a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.
Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).
Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.
Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.
Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.
3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.
Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.
4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.
Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.
Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.
Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)
5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.
Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.
Der BGH hat entschieden, dass Mitbewerber DSGVO-Verstöße abmahnen können. Ferner hat der EuGH entschieden, dass Art. 9 DSGVO auch für Kundendaten bei Bestellung nicht verschreibungspflichtiger Arzneimittel in einer Online-Apoheke gilt.
Tenor der Entscheidung:
1. Die Bestimmungen des Kapitels VIII der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
2. Art. 8 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 9 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Da BAG hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch eine vom Arbeitsgeber beauftragte Detektei zur Bewertung des Gesundheitszustandes des Arbeitnehmers besteht.
Leitsatz des BAG:
Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.
Das OLG Dresden hat entschieden, dass die unzureichende Kontrolle des Auftragsverarbeiters einen Schadensersatzanspruch aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen kann.
Aus den Entscheidungsgründen: 1. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.
2. Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet. Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).
a) Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.
Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.
Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:
„9. BEENDIGUNG DER VERARBEITUNG
9.1 Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.
9.2 Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.
9.3 Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.
In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.
Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.
Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“.
erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O...... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.
b) Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.
Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhanden gekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.
c) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem HackingVorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.
Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.
d) Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.
Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DSGVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85).
Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.
Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.
Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.
Die Pressemitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines LinkedIn Ireland €310 million
The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.
The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decision records the following findings of infringement of the GDPR:
Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:
“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”
The DPC will publish the full decision and further related information in due course.
Summary of LinkedIn Decision Infographic
Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.
This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).
The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.
The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.
Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.
The DPC’s final decision exercised the following corrective powers:
a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).
Das LG Lübeck hat entschieded, dass das Fehlen einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einen Schadensersatzanspruch nach Art. 82 DSGVO zur Folge haben kann.
Aus den Entscheidungsgründen: bbb. Das Gericht ist jedoch überzeugt, dass bereits die Übertragung der streitgegenständlichen Daten von der Beklagten an die O. (vgl. oben) unter Verstoß gegen Bestimmungen der DSGVO erfolgte.
Dabei ergeben sich die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter aus Art. 28 DSGVO. Hiernach setzt die Verarbeitung von Daten durch Auftragsverarbeiter (und entsprechend die Übergabe der Daten an den Auftragsverarbeiter) voraus, dass zwischen der Beklagten und dem Auftragsverarbeiter ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht. Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, § 28 Abs. 4 DSGVO. Fehlt es an diesen Voraussetzungen, so stellt sich (entgegen der hierzu geäußerten Rechtsansicht der Beklagten im Termin zur mündlichen Verhandlung) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar (vgl. hierzu etwa BeckOK DatenschutzR/Spoerr, 49. Ed. 1.8.2024, DS-GVO Art. 28 Rn. 29-32.1 m.w.N. zur dogmatischen Herleitung; Kühling/Buchner/Hartung, 4. Aufl. 2024, DS-GVO Art. 28 Rn. 61-63: „Umgekehrt ist eine fehlende oder unvollständige Vereinbarung ein eigener Normverstoß (…)“).
Diese vorgenannten Voraussetzungen für die rechtskonforme Übermittlung geschützter Daten an Auftragsdatenverarbeiter wurden hier nicht beachtet. Dabei kann dahinstehen, ob die O. als Auftragsdatenverarbeiter oder - wie dies der Vortrag der Beklagten nahelegt - als Unterauftragsdatenverarbeiter der M. tätig wurde. Denn nach dem insoweit unstreitigen Sachverhalt liegt weder ein den Anforderungen des Art. 28 Abs. 3 DSGVO genügender Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. vor - an welche aber dennoch die Daten herausgegeben wurden -, noch ein Unterauftragsverarbeitungsvertrag zwischen der O. und der M.. Auch auf entsprechenden Hinweis vom 8. Mai 2024 erfolgte hierzu kein weiterer Sachvortrag. Eine wirksame Übertragung von Datenschutzverpflichtungen auf die O. lag damit entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vor.
Dem kann die Beklagte auch nicht entgegenhalten, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. Dies überzeugt die Kammer nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Entsprechend nimmt es nicht Wunder, dass auch in der einschlägigen datenschutzrechtlichen Literatur betont wird, dass es sich bei konzernverbundenen Gesellschaften um getrennte Organisationen handelt und auch datenschutzrechtlich eine Privilegierung von Konzernen nicht stattfindet (vgl. Nickel: Alternativen der konzerninternen Auftragsverarbeitung, ZD 2021, 140).
ccc. Des Weiteren muss sich die Beklagte auch die bei O. selbst unstreitig geschehenen Verstöße gegen die DSGVO zurechnen lassen.
(1) Die Verarbeitung der Daten bei der O. erfolgte unter Außerachtlassung des nach der DSGVO erforderlichen Schutzniveaus, welches - im Wege der Vertragsgestaltung nach Art. 28 Abs. 3 und 4 - sicherzustellen die Beklagte verpflichtet war. Da die Beklagte es unterlassen hat, die entsprechenden Verträge zu schließen bzw. deren Abschluss durch die M. zu gewährleisten, sieht die Kammer insoweit die Beklagte zumindest in der sekundären Darlegungslast, dass dennoch und entgegen des entsprechenden Anscheins bei der O. durchgängig ein den Vorgaben der DSGVO hinreichendes Schutzniveau aufrechterhalten wurde. Dieser sekundären Darlegungslast ist die Beklagte schon deshalb nicht nachgekommen, da sie selbst vorträgt, dass Mitarbeiter der O. die streitgegenständlichen Daten weisungswidrig aus der hierfür vorgesehenen Produktivumgebung („production environment") entnommen und in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hätten. Vortrag der Beklagten, dass in dieser vertragswidrigen Produktivumgebung dennoch alle maßgeblichen und erforderlichen Schutzvorkehrungen gewahrt wurden, findet sich nicht. Vielmehr geht auch die Beklagte davon aus, dass gerade diese Verschiebung der Daten in einen nicht hinreichend gesicherten Bereich ursächlich für den Datenschutzvorfall war.
(2) Diese Verstöße muss sich die Beklagte - entgegen der vorläufigen Einschätzung der Kammer in der Verhandlung am 22. Februar 2024 (vgl. hierzu auch den nachfolgenden Hinweis vom 8. Mai 2024) - zurechnen lassen. Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO geht insoweit deutlich weiter als von der Kammer zunächst angenommen. In der einschlägigen Literatur ist insoweit weitgehend Konsens, dass eine Beteiligung im Sinne der Verordnung nicht zwingend voraussetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es grundsätzlich, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 22; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14; Paal, MMR 2020, 14, 15; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 9, 10; i.d.S. wohl auch: BeckOK DatenschutzR/Quaas, 47. Ed. 1.2.2024, DS-GVO Art. 82 Rn. 39-43). Hieraus folgt, dass selbst ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergibt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten weiterhin „beteiligt“ im Sinne der Verordnung ist (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14). Vor diesem Hintergrund liegt hier eine Beteiligung der Beklagten im Rechtssinne an der Datenverarbeitung durch Mitarbeiter von O. vor. Denn die Beklagte hat jedenfalls durch die (zudem rechtswidrige) Herausgabe der Daten an O. eine conditio sine qua non für diese nachfolgende Verarbeitung gesetzt. Durch diese weite Zurechnung wird auch nicht die Haftung der Verantwortlichen überzogen. Eine Begrenzung der Haftung findet vielmehr nach der Konzeption des Art. 82 DSGVO nicht über den weiteren Begriff der „Beteiligung“, sondern über die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DSGVO statt.
dd. Soweit nach den obigen Ausführungen haftungsbegründende und der Beklagten zuzurechnende Verletzungen der DSGVO vorliegen, sind diese auch von der Beklagten zu vertreten.
Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DSGVO eine verschuldensunabhängige Haftung begründet (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, juris Rn. 40), eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens (vgl. hierzu etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22) oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DSGVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag (vgl. etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14, 15; so wohl auch: Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz; EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 17, 18; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24-26).
Das Bundeskartellamt hat das Verfahrens gegen Facebook / Meta hinsichtlich der Zusammenführung von Nutzerdaten aus verschiedenen Angeboten und Diensten abgeschlossen.
Die Pressemitteilung des Bundeskartellamts: Abschluss des Facebook-Verfahrens
Das Bundeskartellamt hat sein Facebook-Verfahren abgeschlossen. Ergebnis des Verfahrens ist ein Gesamtpaket von Maßnahmen, das den Nutzenden des sozialen Netzwerkes Facebook deutlich verbesserte Wahlmöglichkeiten hinsichtlich der Verknüpfung ihrer Daten einräumt.
Im Februar 2019 hatte das Bundeskartellamt Meta (vormals Facebook) untersagt, personenbezogene Daten der Nutzenden ohne Einwilligung aus verschiedenen Quellen zusammenzuführen. Gegen die Entscheidung hatte Meta Beschwerde eingelegt. Neben einer jahrelangen gerichtlichen Auseinandersetzung und der Bestätigung des Bundeskartellamtes in Grundsatzfragen durch den Bundesgerichtshof (2020) sowie den Europäischen Gerichtshof (2023) haben Meta und das Bundeskartellamt intensiv über konkrete Maßnahmen zur Umsetzung der Entscheidung verhandelt. Nun wurden die Einzelmaßnahmen Metas als hinreichend wirkungsvolles Gesamtpaket angesehen, um das Verfahren abzuschließen. Meta hat seinerseits die vor dem Oberlandesgericht Düsseldorf (OLG Düsseldorf) anhängige Beschwerde gegen die Entscheidung des Bundeskartellamtes zurückgenommen. Die Entscheidung ist damit bestandskräftig.
Andreas Mundt, Präsident des Bundeskartellamtes: „Die Facebook-Entscheidung aus dem Jahr 2019 kann bis heute als bahnbrechend gelten. Auf Grundlage unserer seinerzeitigen Entscheidung hat Meta ganz wesentliche Anpassungen beim Umgang mit Nutzerdaten vorgenommen. Zentral ist dabei, dass die Nutzung von Facebook nicht mehr voraussetzt, dass man in eine grenzenlose Sammlung und Zuordnung von Daten zum eigenen Nutzerkonto einwilligt, auch wenn die Daten gar nicht im Facebook-Dienst anfallen. Das betrifft etwa Konzerndienste wie Instagram oder Drittseiten und -Apps. Das bedeutet, dass Nutzende nun deutlich bessere Kontrollmöglichkeiten hinsichtlich der Zusammenführung ihrer Daten haben. Neben diesen ganz konkreten Verbesserungen hat die Entscheidung des Bundeskartellamtes darüber hinaus zu einer wichtigen Leitentscheidung des Europäischen Gerichtshofes geführt und auf der nationalen wie europäischen Ebene Gesetzgebungsinitiativen inspiriert. Dies bedeutet auch, dass wir im Hinblick auf die Rechtsklarheit und die Eingriffsinstrumente in diesem Bereich heute einen ganz anderen Stand haben als noch vor fünf Jahren.“
Vor der Entscheidung des Bundeskartellamtes konnte das soziale Netzwerk Facebook nur unter der Voraussetzung genutzt werden, dass Facebook die Möglichkeit eingeräumt wurde, Daten über die Nutzenden auch außerhalb des Facebook-Angebots zu erheben und dem jeweiligen Facebook-Nutzerkonto zuzuordnen. Dies betraf zum einen Daten aus anderen unternehmenseigenen Diensten (wie Instagram) und zum anderen Daten, die in Apps und auf Websites von Drittanbietern erhoben wurden. Nutzende hatten insoweit nur die Wahl, entweder einer nahezu unbegrenzten Datenzusammenführung zuzustimmen oder auf die Nutzung des sozialen Netzwerks zu verzichten. Das Bundeskartellamt hatte diese Geschäftsbedingungen untersagt und verlangt, dass eine Zusammenführung der Daten nur nach gesonderter Einwilligung erfolgt, die gerade nicht zur Voraussetzung für die Nutzung von Facebook gemacht werden darf (vgl. Pressemitteilung vom 7. Februar 2019).
Der Beendigung des Verfahrens war ein intensiver Diskussionsprozess zwischen Meta und dem Bundeskartellamt vorausgegangen, innerhalb dessen Meta schrittweise folgende Maßnahmen zur Umsetzung der Entscheidung ergriffen bzw. zugesagt hat:
Einführung einer Kontenübersicht (vgl. Pressemitteilung vom 7. Juni 2023) zur Datentrennung zwischen einzelnen Meta-Diensten: Die Kontenübersicht erlaubt es Nutzenden, selbst zu entscheiden, welche Meta-Dienste (z. B. Facebook und Instagram) sie miteinander verknüpfen und damit einen Datenaustausch auch zu Werbezwecken erlauben wollen. Eine getrennte Nutzung der Dienste bleibt ohne wesentliche Qualitätseinbußen möglich.
Einführung von „Cookie“-Einstellungen zur Trennung von Facebook-Daten und anderen Daten: Im Hinblick auf Daten, die Meta über seine sog. Business Tools von Webseiten oder Apps anderer Unternehmen erhält, können Nutzende jetzt im Rahmen der „Cookie“-Einstellungen von Facebook entscheiden, ob sie eine Verknüpfung mit ihren in dem Dienst gespeicherten Daten erlauben möchten. Gleiches gilt für Instagram.
Sonderstellung des Facebook-Logins: Wer sich dafür entscheidet, seine Facebook-Daten nicht mit seinen Nutzungsdaten von anderen Websites oder Apps zusammenzuführen, kann hiervon für das Facebook-Login eine Ausnahme machen, wenn er diese Anmeldemöglichkeit in Apps oder auf Websites von Dritten benutzen möchte. Zuvor mussten Nutzende Meta sämtliche Datenzusammenführungen mit Daten aus Drittapps bzw. von Drittwebsites erlauben, wenn sie auf das Facebook-Login nicht verzichten wollten.
Prägnante Kundeninformation: Damit Metas Kundinnen und Kunden schnell zu den einschlägigen Einstellungen gelangen, mit denen ungewollte Datenverknüpfungen unterbunden werden können, werden Nutzende, die einer Datenverknüpfung in der Vergangenheit zugestimmt haben, beim Aufruf von Facebook auffällig gestaltete Benachrichtigungen erhalten, die jeweils direkte Verlinkungen zu den neu gestalteten Auswahlinstrumenten enthalten.
Vorgeschalteter Wegweiser: Meta hat am Anfang seiner Datenrichtlinie einen deutlichen Hinweis auf die Wahlmöglichkeiten der Nutzenden eingeführt (https://de-de.facebook.com/privacy/policy/ „So verwaltest du die Informationen, die wir verwenden“). Dieser enthält einen kurzen Erläuterungstext und Links zur Kontenübersicht und den „Cookie“-Einstellungen.
Eingeschränkte Datenverknüpfung für Sicherheitszwecke: Unabhängig von den von den Nutzenden vorgenommenen Einstellungen in Facebook oder Instagram speichert und verknüpft Meta Nutzungsdaten zu Sicherheitszwecken. Dies geschieht indessen nur vorübergehend und – sofern sich kein Verdacht auf unzulässiges Verhalten ergibt – längstens für einen vorab einheitlich festgelegten Zeitraum.
Andreas Mundt: „In der Gesamtschau ermöglichen diese Instrumente den Nutzenden eine erheblich verbesserte Kontrolle über das Ausmaß der Zuordnung von persönlichen Daten aus anderen Meta-Diensten sowie von Webseiten oder Apps anderer Unternehmen zu ihrem jeweiligen Facebook-Konto.“
Die oben beschriebenen Maßnahmen sind bereits umgesetzt oder werden in den nächsten Wochen realisiert.
Der Abschluss des Verfahrens bedeutet nicht, dass alle kartellrechtlichen Bedenken restlos ausgeräumt worden wären. Vielmehr wurden die Maßnahmen Metas als hinreichend geeignetes Gesamtpaket angesehen, um auf Vollstreckungsmaßnahmen zu verzichten und das Verfahren im Ermessenswege abzuschließen. Dies gilt auch vor dem Hintergrund, dass andere Behörden über wirksame und gut geeignete Instrumentarien verfügen, um ggf. weiterreichende Verbesserungen für die Nutzenden von Meta-Diensten in der Europäischen Union zu erreichen. Der Abschluss des Verfahrens auf der Basis des oben beschriebenen Maßnahmenpakets enthält daher keine Wertung, ob Meta die sich aus diesen Instrumentarien ergebenden Pflichten erfüllt. So hat die Europäische Kommission inzwischen die Befugnis, auf der Grundlage von Art. 5 Abs. 2 des Digital Markets Act (DMA), welcher die Problematik der Facebook-Entscheidung des Bundeskartellamtes aufgreift und weiterentwickelt, gegen Datenzusammenführungen zwischen verschiedenen Diensten von sog. Torwächtern vorzugehen, sofern keine wirksame Einwilligung vorliegt. Die Datenschutzbehörden können in Anwendung der Datenschutzgrundverordnung prüfen, inwieweit Einwilligungen tatsächlich freiwillig erfolgt sind und ob Datenverarbeitungen – auch innerhalb einzelner Dienste – ggf. exzessiv sind. Auch könnten hinsichtlich Metas Gestaltung der Nutzerdialoge verbraucherschützende Vorschriften zum Zug kommen.
Aufgrund z. T. ähnlicher Fragestellungen in Kartell- und Datenschutzrecht hat sich das Bundeskartellamt während des Verfahrens regelmäßig mit Datenschutzbehörden ausgetauscht. Zudem wurde das Bundeskartellamt in technischen Fragen vom Bundesamt für Sicherheit in der Informationstechnik unterstützt. Ferner war der Verbraucherzentrale Bundesverband (vzbv) als Beigeladene an dem Verfahren beteiligt.
Hintergrund:
Am 6. Februar 2019 untersagte das Bundeskartellamt Meta (vormals Facebook) per Beschluss, Daten ohne Einwilligung der Nutzenden aus verschiedenen Quellen zusammenzuführen. Hiergegen legte Meta Beschwerde beim OLG Düsseldorf ein. Dieses ordnete auf Antrag Metas am 26. August 2019 die aufschiebende Wirkung der Beschwerde an. Diese Anordnung hob der Bundesgerichtshof auf Antrag des Bundeskartellamtes mit Beschluss vom 23. Juni 2020 auf und lehnte Metas Antrag auf Anordnung der aufschiebenden Wirkung der Beschwerde ab. Am 24. März 2021 legte das OLG Düsseldorf dem Europäischen Gerichtshof (EuGH) diverse Fragen vor und setzte das Verfahren bis zur Entscheidung des EuGH aus. Der EuGH sollte u. a. klären, ob das Bundeskartellamt im Rahmen von kartellrechtlichen Abwägungsentscheidungen auch DSGVO-Normen auslegen darf. Der Europäische Gerichtshof hat dies in seiner Entscheidung am 4. Juli 2023 (Rechtssache C-252/21) bejaht. Der Rechtsstreit vor dem OLG Düsseldorf wurde angesichts der Gespräche zwischen den Parteien zuletzt nicht aktiv betrieben und ist jetzt mit der Rücknahme der Beschwerde durch Meta beendet.
Aktuell wird die Rechtmäßigkeit von Metas „Pay or consent“-Modell diskutiert, welches eine werbefreie Nutzung von Facebook bzw. Instagram gegen Gebühr ermöglicht. Mehrere europäische Verbraucherverbände haben hiergegen Beschwerde bei ihren jeweiligen nationalen Datenschutzbehörden eingelegt (siehe https://www.beuc.eu/press-releases/consumer-groups-launch-complaints-against-metas-massive-illegal-data-processing). Auch der Europäische Datenschutzausschuss hat entsprechende Modelle in einer Stellungnahme vom 17. April 2024 kritisiert (siehe https://www.edpb.europa.eu/system/files/2024-04/edpb_opinion_202408_consentorpay_en.pdf). Die Europäische Kommission sieht im „Pay or consent“-Modell von Meta einen möglichen Verstoß gegen den seit 7. März 2024 durchsetzbaren Digital Markets Act (DMA) und hat Meta hierzu am 1. Juli 2024 ihre vorläufigen Feststellungen mitgeteilt (siehe https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3582).
Den Fallbericht des Bundeskartellamts finden Sie hier: