BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Beschluss vom 27.03.2023
VI ZR 225/21

Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.

Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

OLG Frankfurt
Beschluss vom 09.02.2023
11 UH 1/23 , 11 SV 1/23

Das OLG Frankfurt hat entschieden, dass keine Bindungswirkung eines Verweisungsbeschlusses nach § 281 ZPO besteht, wenn das Gericht eine offensichtlich anwendbare Zuständigkeitsregel wie § 44 BDSG übersieht

Aus den Entscheidungsgründen:
1. Die Voraussetzungen einer Zuständigkeitsbestimmung gemäß § 36 I Nr. 6 ZPO liegen vor, da sich sowohl das Amtsgericht Gießen, als auch das Amtsgericht Wiesbaden für örtlich unzuständig erklärt haben. Die Zuständigkeitsbestimmung ist gem. § 36 I ZPO durch das Oberlandesgericht Frankfurt am Main vorzunehmen, da dieses das zunächst höhere gemeinschaftliche Gericht der beiden Gerichte ist.

2. Zuständiges Gericht ist das Amtsgericht Gießen.

a) Die örtliche Zuständigkeit steht nicht aufgrund der Verweisungsbeschlüsse des Landgerichts Gießen und des Amtsgerichts Gießen gem. § 281 I ZPO fest.

aa) Allerdings begegnet der Verweisungsbeschluss des Landgerichts, der auch von den Amtsgerichten nicht in Zweifel gezogen worden ist, keinen Bedenken, insbesondere liegt keine die Bindungswirkung des § 281 II 4 ZPO ausschließende Willkür vor. Er begründet jedoch nur die sachliche Zuständigkeit der Amtsgerichte und nicht auch die örtliche Zuständigkeit des Amtsgerichts in Gießen.

Da die Parteien Verweisungsbeschlüsse nach § 281 I ZPO nicht anfechten können, ist deren Bindungswirkung auf die vom verweisenden Gericht geprüften Zuständigkeitsfragen beschränkt. Wurde wie vorliegend im Verweisungsbeschluss des Landgerichts nur die sachliche Zuständigkeit geprüft (und verneint), wird eine Weiterverweisung wegen örtlicher Unzuständigkeit nicht ausgeschlossen (vgl. BeckOK ZPO/Bacher, 47. Ed. 1.12.2022, ZPO § 281 Rn. 27, 30.1).

bb) Die danach im Grundsatz mögliche Weiterverweisung der Sache durch das Amtsgericht Gießen an das Amtsgericht Wiesbaden ist jedoch willkürlich und daher nicht bindend.

Die Unanfechtbarkeit und die Bindungswirkung von Verweisungsbeschlüssen dienen der Prozessökonomie sowie der Vermeidung von Zuständigkeitsstreitigkeiten und dadurch bewirkten Verzögerungen und Verteuerungen in der Gewährung effektiven Rechtsschutzes. Sie entziehen auch einen sachlich zu Unrecht erlassenen Verweisungsbeschluss grundsätzlich jeder Nachprüfung. Einem Verweisungsbeschluss kann daher die gesetzlich vorgesehene bindende Wirkung nur dann abgesprochen werden, wenn er schlechterdings nicht als im Rahmen des § 281 ZPO ergangen anzusehen ist, etwa weil er auf einer Verletzung rechtlichen Gehörs beruht, nicht durch den gesetzlichen Richter erlassen wurde oder jeder gesetzlichen Grundlage entbehrt und deshalb als willkürlich betrachtet werden muss. Hierfür genügt es aber nicht, dass der Verweisungsbeschluss inhaltlich unrichtig oder fehlerhaft ist. Willkür liegt nur vor, wenn dem Verweisungsbeschluss jede rechtliche Grundlage fehlt und er bei verständiger Würdigung der das Grundgesetz beherrschenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (BGH, NJW-RR 2008, 1309).

Dies ist nicht nur anzunehmen, wenn ein Gericht sich trotz ausdrücklichen Hinweises durch die Parteien nicht mit einer seine Zuständigkeit begründenden Norm befasst (dazu BeckOK ZPO/Bacher, 47. Ed. 1.12.2022, ZPO § 281 Rn. 32.4 mwN), sondern schon dann, wenn ein nach geltendem Recht unzweifelhaft zuständiges Gericht den Rechtsstreit verweist, ohne die seine Zuständigkeit begründende Gesetzesnorm beachtet oder zur Kenntnis genommen zu haben, vorausgesetzt, diese Vorschrift ist seit geraumer Zeit in Kraft (BGH, NJW-RR 2002, 1295).

Letzteres ist hier der Fall. Ein insoweit für die Bindungswirkung schädlicher Zeitraum ist erreicht, wenn die Gesetzesänderung seit annähernd zwei Jahren bekannt und seit mehr als neun Monaten in Kraft ist (BGH, NJW 1993, 1273). Die Datenschutzgrundverordnung ist am 27.04.2016 ausgefertigt und im Amtsblatt vom 04.05.2016 veröffentlicht worden. Sie gilt seit dem 25.05.2018. Das aktuelle Bundesdatenschutzgesetz und damit sein § 44 sind am 30.06.2017 ausgefertigt und im Bundesgesetzblatt vom 05.07.2017 verkündet worden. Sie sind seit dem 25.05.2018 in Kraft. Die Verweisung durch das Amtsgericht Gießen ist am 19.09.2022 über vier Jahre nach Inkrafttreten erfolgt.

§ 44 I BDSG ist auch offensichtlich einschlägig. Danach können Klagen der betroffenen Person gegen einen Verantwortlichen wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person am Gericht der Niederlassung des Verantwortlichen (§ 44 I 1 BDSG) oder am Gericht des gewöhnlichen Aufenthaltsorts der betroffenen Person (§ 44 I 2 BDSG) erhoben werden.

Der Kläger hat seinen Wohnsitz und damit seinen gewöhnlichen Aufenthalt in Stadt1 im Bezirk des Amtsgerichts Gießen. Er ist die identifizierbare natürliche Person, auf die sich die gespeicherten Daten beziehen und damit „betroffene Person“ im Sinne der DSGVO (vgl. Art. 4 Nr. 1 DSGVO) und des § 44 I BDSG.

Die beklagte Auskunftei ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, denn sie ist die juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

b) Ist danach der Verweisungsbeschluss des Amtsgerichts Gießen wegen Nichtbeachtung des einschlägigen § 44 I BDSG nicht bindend, ist das nach dieser Norm zuständige Amtsgericht in Gießen als zuständig zu bestimmen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 21.02.2023
VI ZR 330/21

Der BGH hat ein Verfahren, in dem es um Auslegung von Art. 15 DSGVO geht, gemäß § 148 ZPO analog ausgesetzt, bis der EuGH die entscheidungserheblichen Fragen zur DSGVO geklärt hat.

Aus den Entscheidungsgründen:
Das vorliegende Verfahren wird gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 ausgesetzt.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613 - 2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter
den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es, bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017,
C-434/16; ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt ?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich. Die Parteien streiten unter anderem darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Gemeinschaftsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Gemeinschaftsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Gemeinschaftsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. Senatsbeschluss vom 31. Mai 2022 - VI ZR 223/21, juris Rn. 9; BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, wie auch von der Revision angeregt, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 9 mwN).

Den Volltext der Entscheidung finden Sie hier:

Der Bundesbeauftragter für Datenschutz (BfDI) hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt.

Die Pressemitteilung des BfDI:
BfDI untersagt Betrieb der Fanpage der Bundesregierung
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.

Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.

VG Hannover
Urteil vom 09.02.2023
10 A 6199/20

Das VG Hannover hat entschieden, dass die ununterbrochene Erhebung von Leistungsdaten der Beschäftigten durch Amazon im Fulfilment Center Winsen keinen Verstoß gegen datenschutzrechtliche Bestimmungen darstellt.

Die Pressemitteilung des Gerichts:
Datenerhebung bei Amazon in Winsen ist rechtmäßig

10. KAMMER HAT DER KLAGE VON AMAZON STATTGEGEBEN: DAS PERSÖNLICHKEITSRECHT DER BESCHÄFTIGTEN ÜBERWIEGT HIER NICHT DIE UNTERNEHMERISCHEN INTERESSEN VON AMAZON

Die Klägerin darf weiterhin Handscanner einsetzen, mithilfe derer bestimmte Arbeitsschritte innerhalb der jeweiligen Prozesspfade von Warenein- bis Warenausgang erfasst werden:

Die Klägerin betreibt in Winsen (Luhe) ein Logistikzentrum zur Auslieferung von Waren aus dem Onlineversandhandel von Amazon (sogenanntes „Fulfillment Center“). In bestimmten Arbeitsbereichen benutzen die Beschäftigten Handscanner, mittels derer bestimmte Arbeitsschritte erfasst werden. Die Daten werden mit einer Softwareanwendung ausgewertet und dienen in erster Linie der Steuerung logistischer Prozesse. Daneben werden mit den Daten auch Bewertungsgrundlagen für Qualifizierungsmaßnahmen sowie für Feedback und Personalentscheidungen gelegt.

Wegen dieser Vorgehensweise leitete die Beklagte ein datenschutzrechtliches Kontrollverfahren gegen die Klägerin ein mit dem Ergebnis, dass sie der Klägerin mit Bescheid von Oktober 2020 untersagte, aktuelle und minutengenaue Quantitäts- und Qualitätsdaten ihrer Beschäftigten ununterbrochen zu erheben und diese zur Erstellung von Quantitätsleistungs- und Qualitätsleistungsprofilen sowie für Feedbackgespräche und Prozessanalysen zu nutzen. Sie stellt sich auf den Standpunkt, dass die ununterbrochene Erhebung der entsprechenden Leistungsdaten der Beschäftigten rechtswidrig sei und gegen datenschutzrechtliche Bestimmungen verstoße.

Hiergegen wendete sich die Klägerin mit ihrer Klage. Zur Begründung trug sie unter anderem vor, sie verstoße nicht gegen datenschutzrechtliche Bestimmungen. Vielmehr habe sie ein berechtigtes Interesse an der Datenerhebung und Datenverarbeitung. So würden aktuelle und minutengenaue individuelle Leistungswerte bei der Steuerung der Logistikprozesse kurzfristig dazu benötigt, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen reagieren zu können. Anhand der aktuellen Leistungswerte der Mitarbeiterinnen und Mitarbeiter könne sie erkennen, ob Mitarbeitende an einem bestimmten Tag besonders schnell oder besonders langsam arbeiteten und hierauf durch Umverteilung reagieren. Mittelfristig würden zurückliegende individuelle Leistungswerte benötigt, um die konstanten Stärken und Schwächen der Mitarbeitenden zuverlässig erfassen und bei der flexiblen Einsatzplanung berücksichtigen zu können. Zudem ermögliche diese Vorgehensweise die Schaffung objektiver und fairer Bewertungsgrundlagen für Feedback und Personalentscheidungen. Den Mitarbeiterinnen und Mitarbeitern könne objektives und individuell leistungsbezogenes Feedback gegeben werden, das nicht durch subjektive Wahrnehmungen beeinflusst sei.

Das Gericht hat am 9. Februar 2023 in öffentlicher Sitzung im Amazon Logistikzentrum verhandelt und im Rahmen der Verhandlung das Fulfillment-Center besichtigt. Es hat der Klage stattgegeben und den angefochtenen Bescheid der Beklagten aufgehoben.

Das Gericht sieht in der ununterbrochenen Erhebung von Leistungsdaten der Beschäftigten keinen Verstoß gegen datenschutzrechtliche Bestimmungen. In Deutschland gebe es (noch) kein Gesetz zur Regelung des Beschäftigtendatenschutzes, sodass sich der Beschäftigtendatenschutz weiterhin nach § 26 Bundesdatenschutzgesetz richte. Danach dürften personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigtenverhältnisses oder die Beendigung erforderlich sei.

Das Gericht ist der Auffassung, dass die Datenverarbeitung für alle drei Zwecke – Steuerung der Logistikprozesse, Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen – erforderlich ist. Hinsichtlich der Optimierung der Logistikprozesse leuchte der Kammer ohne weiteres ein, dass die Klägerin die verarbeiteten Daten dazu nutzen kann, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen von Beschäftigten ad hoc zu reagieren und so den reibungsfreien Ablauf aller Prozesse innerhalb des Fulfillment Centers, das auf die Auslieferung der Ware zu einem genau definierten Zeitpunkt (Cut-Off-Zeitpunkt) ausgerichtet ist, zu garantieren. Auch könne die Klägerin individualisierte Qualifizierungsbedarfe der Beschäftigten schnell detektieren und auf diese reagieren. Schließlich verschafften die erhobenen Daten eine breite und objektive Grundlage für Feedback und Personal- und Beförderungsentscheidungen.

Nach Auffassung des Gerichts steht der durch die Überwachung der Beschäftigten bedingte Eingriff in das Recht auf informationelle Selbstbestimmung der Beschäftigten nicht außer Verhältnis zu den schützenswerten Interessen der Klägerin, so dass der Eingriff auch angemessen sei:

Unter Berücksichtigung der vorliegenden Erkenntnisse und nach der Befragung der Zeugen – der früheren Betriebsratsvorsitzenden und des jetzigen Betriebsratsvorsitzenden – in der mündlichen Verhandlung geht nach Auffassung des Gerichts eine Abwägung der gegenläufigen Interessen hier zu Gunsten der Klägerin aus. Das Gericht hat dabei unter anderem berücksichtigt, dass keine heimliche Datenerhebung erfolgt, die Beschäftigten die Datenerhebung vielmehr vorhersehen können und wissen, dass die Klägerin die Daten für die logistischen Prozesse benötigt. Zudem finde keine Verhaltenskontrolle statt, die Kommunikation und physische Bewegungen würden nicht erfasst, vielmehr finde „nur“ eine Leistungskontrolle statt. Die Privatsphäre sei nicht betroffen. Außerdem sei der Hauptzweck der Datenerhebung nicht die Überwachung und Kontrolle der Beschäftigten, sondern die Steuerung der Logistikabläufe. Schließlich werde die Möglichkeit objektiven Feedbacks und fairer Personalentscheidungen von vielen Beschäftigten als positive Wirkung der Überwachung gewertet; dies hätten auch die Zeugen bestätigt, die deutlich gemacht hätten, dass die Überwachung kein besonderes Thema im Betrieb sei.

Das Gericht hat die Berufung zugelassen. Die Beklagte hat demnach die Möglichkeit Berufung gegen das Urteil vor dem Niedersächsischen Oberverwaltungsgericht in Lüneburg binnen eines Monats nach Vorliegen der vollständigen Entscheidungsgründe einzulegen.

Urteil vom 9. Februar 2023

Az.: 10 A 6199/20

Das BMJ hat einen Referentenentwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (Verbandsklagenrichtlinienumsetzungsgesetz – VRUG) vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel Durch verbraucherrechtswidrige Geschäftspraktiken von Unternehmen wird regelmäßig eine große Anzahl von Verbraucherinnen und Verbrauchern geschädigt. Zu ihrem Schutz ist es nötig, unerlaubte Praktiken flächendeckend zu beenden und Abhilfe zu schaffen. Der kollektive Rechtsschutz bei Verstößen gegen verbraucherschützende Vorschriften ist in den Mitgliedstaaten der Europäischen Union höchst unterschiedlich geregelt. Ziel der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1) ist es, unionsweit den Schutz der Kollektivinteressen der Verbraucherinnen und Verbraucher zu stärken. Die Richtlinie ist von den Mitgliedstaaten der EU bis zum 25. Dezember 2022 in nationales Recht umzusetzen. Die neuen Regelungen müssen ab dem 25. Juni 2023 angewendet werden. Mit dem Gesetzentwurf soll die Richtlinie umgesetzt werden. Die Richtlinie verpflichtet die Mitgliedstaaten der EU, zwei Arten von Verbandsklagen vorzusehen. Verbände müssen das Recht haben, im eigenen Namen Unterlassungsklagen, durch die Zuwiderhandlungen gegen Verbraucherrecht beendet werden können, und Abhilfeklagen, durch die Verbraucherrechte durchgesetzt werden können, zu erheben. Abhilfeklagen gibt es im deutschen Recht bislang nicht. B. Lösung Die Umsetzung der Richtlinie erfordert die Schaffung von Regelungen für Abhilfeklagen durch Verbände. Diese Regelungen sollen in einem eigenen Stammgesetz – dem Verbraucherrechtedurchsetzungsgesetz – gebündelt werden, in das auch die bestehenden Regelungen der Zivilprozessordnung (ZPO) über die Musterfeststellungsklage integriert werden. Durch Änderungen im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb sowie in einigen weiteren Gesetzen werden die schon bestehenden Regelungen über Unterlassungsklagen durch Verbände an die Vorgaben der Richtlinie angepasst. Zusätzlich werden ergänzende Regelungen zu Unterlassungsklagen und Abhilfeklagen in anderen Gesetzen geschaffen.

Die Pressemitteilung des BMJ:
Gesetz zur Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (Verbandsklagenrichtlinienumsetzungsgesetz – VRUG)

Durch verbraucherrechtswidrige Geschäftspraktiken von Unternehmen wird regelmäßig eine große Anzahl von Verbraucherinnen und Verbrauchern geschädigt. Zu ihrem Schutz ist es nötig, unerlaubte Praktiken flächendeckend zu beenden und Abhilfe zu schaffen. Der kollektive Rechtsschutz bei Verstößen gegen verbraucherschützende Vorschriften ist in den Mitgliedstaaten der Europäischen Union höchst unterschiedlich geregelt.

Ziel der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1) ist es, unionsweit den Schutz der Kollektivinteressen der Verbraucherinnen und Verbraucher zu stärken. Die Richtlinie ist von den Mitgliedstaaten der EU bis zum 25. Dezember 2022 in nationales Recht umzusetzen. Die neuen Regelungen müssen ab dem 25. Juni 2023 angewendet werden.

Mit dem Gesetzentwurf soll die Richtlinie umgesetzt werden. Die Richtlinie verpflichtet die Mitgliedstaaten der EU, zwei Arten von Verbandsklagen vorzusehen. Verbände müssen das Recht haben, im eigenen Namen Unterlassungsklagen, durch die Zuwiderhandlungen gegen Verbraucherrecht beendet werden können, und Abhilfeklagen, durch die Verbraucherrechte durchgesetzt werden können, zu erheben. Abhilfeklagen gibt es im deutschen Recht bislang nicht.

BVerfG
Urteil vom 16.02.2023
1 BvR 1547/19 und 1 BvR 2634/20

Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig sind. Es liegt ein rechtswidriger Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) vor.

Die Pressemitteilung des Bundesverfassungsgerichts:
Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig

Mit heute verkündetem Urteil hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) verfassungswidrig sind. Sie ermächtigen die Polizei, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.

Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle enthalten. Sie ermöglichen eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung in begründeten Einzelfällen, wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.

§ 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens jedoch bis zum 30. September 2023 mit einschränkender Maßgabe fort. § 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig.

Sachverhalt:

Die beiden weitgehend gleichlautenden Regelungen in § 25a Abs. 1 HSOG und in § 49 Abs. 1 HmbPolDVG schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

In Hessen wird von den Befugnissen des § 25a HSOG jährlich tausendfach über die Analyseplattform „hessenDATA“ Gebrauch gemacht. Demgegenüber wird § 49 HmbPolDVG bislang nicht angewendet.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerden sind nur zulässig, soweit sie gegen die Eingriffsschwelle in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Im Übrigen sind sie unzulässig.

B. Soweit sie zulässig sind, sind die Verfassungsbeschwerden auch begründet.

I. Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Ein Grundrechtseingriff liegt hier nicht nur in der weiteren Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenauswertung oder -analyse geschaffen werden kann.

II. Eine automatisierte Datenanalyse oder -auswertung bedarf verfassungsrechtlicher Rechtfertigung. Diese ist grundsätzlich möglich. Sie setzt insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten. Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Es wurde hier dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer Gewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter Zeitdruck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln. Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen auch im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.

III. Spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs ergeben sich hier aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.

1. Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergibt sich zunächst aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung, wie sie bereits im Urteil zum Bundeskriminalamtgesetz näher konturiert wurden.

Danach kann der Gesetzgeber eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben (zweckwahrende Weiternutzung). Diese zweckwahrende Weiternutzung kommt seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht, die bereits für die Datenerhebung maßgeblich waren. Grundsätzlich ist dann die weitere Nutzung als bloßer Spurenansatz erlaubt.

Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (zweckändernde Weiternutzung). Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.

In beiden Konstellationen gelten strengere Anforderungen für eine Weiternutzung von Daten aus Wohnraumüberwachungen und Online-Durchsuchungen.

Nach § 25a HSOG und § 49 HmbPolDVG können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des Grundsatzes der Zweckbindung rechtlich und praktisch sichern.

2. Darüber hinaus hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung einmal erhobener und gespeicherter Daten durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.

a) Die automatisierte Datenanalyse oder -auswertung ist darauf gerichtet, neues Wissen zu erzeugen. Die handelnde Behörde kann aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt. Die automatisierte Analyse oder Auswertung geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem „Profiling“ annähern. Denn es können sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Der Grundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.

b) Insoweit variieren die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.

aa) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die Eingriffsintensität. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des Datenabgleichs haben. Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können.

bb) Mit der vom Gesetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuerbaren Eingriffsintensität korrespondieren die verfassungsrechtlichen Anforderungen an die Eingriffsvoraussetzungen. Die dem Eingriffsgewicht entsprechenden Anforderungen des Gebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die Eingriffsschwelle, also den Anlass der Maßnahme.

Ermöglicht die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie sind nur zum Schutz besonders gewichtiger Rechtsgüter – etwa Leib, Leben oder Freiheit der Person – zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle ist hier die hinreichend konkretisierte Gefahr.

Hingegen können, wenneine konkretisierte Gefahr vorliegt, weniger gewichtige Eingriffe bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht dienen, etwa zur Verhütung von Straftaten von zumindest erheblicher Bedeutung. Umgekehrt kann dann, sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, eine Eingriffsschwelle genügen, die noch hinter einer konkretisierten Gefahr zurückbleibt.

Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar bereits die Einhaltung des Grundsatzes der Zweckbindung ausreichen, um die automatisierte Datenverarbeitung zu rechtfertigen.

cc) Die Schwelle einer wenigstens konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt ist. Grundsätzlich kann der Gesetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden getroffen werden. Zur Regelung von Aspekten, die nicht unmittelbar vom Gesetzgeber selbst zu normieren sind, kommt eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der Gesetzgeber hier die Verwaltung verpflichten, die im Gesetz oder in Rechtsverordnungen geregelten Vorgaben in abstrakt-genereller Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen Grundlage. Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.

c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG potentiell sehr hoch, so dass diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen müssen. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. Sie erlauben der Polizei so, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Daher gilt das Erfordernis einer konkretisierten Gefahr für besonders gewichtige Rechtsgüter.

aa) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder
-auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen. Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen, und anderen Personen. Sie lassen eine breite Einbeziehung von Daten Unbeteiligter zu, die deshalb polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.

bb) Dem Wortlaut nach lassen sie zudem sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der Gesetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind. Die angegriffenen Vorschriften ermöglichen auch ein „Data-Mining“ bis hin zur Verwendung selbstlernender Systeme (KI). Dabei sind insbesondere auch offene Suchvorgänge zulässig. Die Datenauswertung oder -analyse darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus. Nach dem Wortlaut könnte das
Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen – bis hin zu Gefährlichkeitsaussagen über Personen im Sinne eines „predictive policing“.Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde. Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.

In Hamburg hat der Gesetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes „Datenanalyse“ das Wort „Datenauswertung“ verwendet hat. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist damit jedoch nicht gelungen.

cc) Die angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten.

IV. § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende Eingriffsschwelle enthalten.

1. Soweit die angegriffenen Vorschriften zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der Eingriffsanlass angesichts des beschriebenen Eingriffsgewichts unverhältnismäßig weit und damit verfassungswidrig geregelt. Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter Einzelfall vorliegen, enthält hier kaum nähere inhaltliche Festlegungen. In der mündlichen Verhandlung wurde zwar ein engeres Konzept beschrieben, nach dem die Voraussetzung des „Einzelfalls“ in der hessischen Polizeipraxis verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.

Ungeachtet der näheren Ausgestaltung der hessischen Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der hessischen Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten Gefahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a HSOG und § 49 HmbPolDVG erforderlich.

Die angegriffenen Vorschriften regeln auch deshalb keine hinreichende Eingriffsschwelle, weil über den Katalog des § 100a Abs. 2 StPO auch Gefährdungstatbestände erfasst sind. Zwar ist dem Gesetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der Eingriffsvoraussetzungen auch an die Gefahr der Begehung von Vorfeldtatbeständen anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. Daran fehlt es hier.

2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist dem nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.

C. § 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens bis zum 30. September 2023 fort. Angesichts der Bedeutung, die der Gesetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf, und wegen ihrer Bedeutung für die hessische Polizeipraxis ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.

Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen Grundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den Gesetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der hessischen Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 HSOG nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.

§ 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig. Es sind keine Umstände ersichtlich, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten.

EuGH
Urteil vom 09.02.2023
C‑453/21
X-FAB Dresden GmbH & Co. KG gegen FC

Der EuGH hat entschieden, dass die Vorgaben der DSGVO zur Abberufung eines Datenschutzbeauftragten den strengeren Regelungen im BDSG nicht entgegenstehen.

Tenor der Entscheidung:
1. Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.

2. Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.

Den Volltext der Entscheidung finden Sie hier:

OLG Saarbrücken
Beschluss vom 30.12.2022
4 HEs 35/22

Das OLG Saarbrücken hat entschieden, dass ANOM-Chat-Daten als Beweismittel verwendet werden können und keinem Beweisverwertungsverbot unterliegen.

Aus den Entscheidungsgründen:
Die Anordnung der Fortdauer der Untersuchungshaft ist gerechtfertigt. Sowohl die allgemeinen Voraussetzungen für das Fortbestehen der Untersuchungshaft als auch die in § 121 Abs. 1 StPO gesetzlich festgeschriebenen besonderen Voraussetzungen für die Anordnung der Untersuchungshaft über sechs Monate hinaus liegen vor.

1. Der Angeklagte ist der ihm im Haftbefehl des Amtsgerichts Saarbrücken vom 2. Juli 2022 (Bl. 272 ff. d.A.) zur Last gelegten Taten des unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge weiterhin dringend verdächtig. Soweit der Haftbefehl vom 2. Juli 2022 das Tatgeschehen rechtlich neben einer Strafbarkeit gemäß § 29a Abs. 1 Nr. 2 BtMG zugleich als bewaffnetes unerlaubtes Handeltreiben mit Betäubungsmitteln in nicht geringer Menge einordnet (§ 29a Abs. 1 Nr. 2, § 30a Abs. 2 Nr. 2 BtMG), handelt es sich um ein offensichtliches redaktionelles Versehen, das auf Wirksamkeit, Bestand und Fortdauer der Untersuchungshaft keine Auswirkungen hat. Wegen der Einzelheiten der verdachtsbegründenden Umstände wird auf den Haftbefehl sowie die zwischenzeitlich zur Hauptverhandlung zugelassene Anklageschrift vom 21. Oktober 2022 (Bl. 548 ff. d.A.) und das darin niedergelegte wesentliche Ergebnis der Ermittlungen Bezug genommen.

a) Danach ist insbesondere anzunehmen, dass es sich bei dem Angeklagten V. um den Nutzer der Kennung "h." des Krypto-Providers "A." handelt, der hierüber den Handel mit Betäubungsmitteln, hinsichtlich dessen sich ein dringender Verdacht im Übrigen jedenfalls hinsichtlich der Taten zu Ziff. 3. bis 6. des Haftbefehls vom 2. Juli 2022 aus den Ergebnissen der nationalen zunächst verdeckt sowie sodann offen geführten Ermittlungsmaßnahmen (Telekommunikationsüberwachung, Observation, Durchsuchungsmaßnahmen) ergibt, abgewickelt hat. Die überwachte Kommunikation, die den dringenden Tatverdacht für die Nutzung des Kryptodienstes A. durch den Angeklagten unter der Kennung "h." zum Zwecke der Abwicklung des Handels mit Betäubungsmitteln begründet und zur Einleitung des Ermittlungsverfahrens führte, ist nach derzeitigem Stand im Strafverfahren auch verwertbar. Das US-amerikanische Federal Bureau of Investigation (FBI) hat die Kommunikationsinhalte im Zuge gegenseitiger Rechtshilfe von einem nicht näher bezeichneten Mitgliedstaat der Europäischen Union erhalten, in dem sie aufgrund einer gerichtlichen Anordnung über einen Server des Providers A. gesichert worden waren, und stellte sie sodann unter Erteilung einer Genehmigung zur justiziellen Verwertung den Strafverfolgungsbehörden der jeweiligen Länder, hier dem Bundeskriminalamt, zur Verfügung (vgl. Vermerk der Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung der Internetkriminalität - vom 20. Mai 2021, S. 3 = Bl. 5 d.A.). Die Verwertung der auf diese Weise im Ausland außerhalb des vorliegenden Strafverfahrens erhobenen Beweise in dem Strafverfahren gegen den Angeklagten ist vom nationalen Prozessrecht gedeckt. Verfassungsgemäße Rechtsgrundlage für die Verwertung in der Hauptverhandlung erhobener Beweise ist § 261 StPO, unabhängig davon, ob diese zuvor im Inland oder auf sonstige Weise - etwa im Wege der Rechtshilfe - erlangt worden sind (vgl. BVerfG, Beschluss vom 7. Dezember 2011 - 2 BvR 2500/09 und 857/10, BVerfGE 130, 1 ff. Rn. 120, 137 ff. m.w.N.; BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25). Ausdrückliche Verwendungsbeschränkungen für im Wege der Rechtshilfe aus dem Ausland erlangte Daten sieht das deutsche Recht nicht vor (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25). Soweit gleichsam die dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz Rechnung tragenden Wertungen der auch bei grenzüberschreitendem Datenverkehr anwendbaren (vgl. BGH, Beschluss vom 21. November 2012 - 1 StR 310/12, juris) strafprozessualen Verwendungsbeschränkungen sowohl des § 479 Abs. 2 i.V.m. § 161 Abs. 3 StPO als auch des § 100e Abs. 6 StPO Berücksichtigung zu finden haben (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25 und Rn. 68), schließt dies die Verwendung der vom FBI erlangten Daten und Kommunikationsinhalte im konkreten Fall aufgrund des dringenden Tatverdachts der Begehung von Straftaten des unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge gemäß § 29a Abs. 1 Nr. 2 BtMG als Katalogtaten im Sinne von § 161 Abs. 3 und § 100e Abs. 6 StPO nicht aus (vgl. OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203 f.; vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21, juris Rn. 68 zur Heranziehung des Schutzniveaus aus § 100e Abs. 6 StPO im Fall der Verwertung von im Ausland gesicherter EncroChat-Kommunikation), zumal eine Verwertung von Erkenntnissen aus dem Kernbereich privater Lebensführung aufgrund des Inhalts der gesicherten Kommunikation nicht zu besorgen ist (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 68).

b) Der Verwertbarkeit steht auch nicht entgegen, dass die vom Angeklagten genutzte A.-App vom FBI mit dem Ziel entwickelt und dem Markt verdeckt zur Verfügung gestellt worden ist, die über den Server des Providers A. laufende, Ende zu Ende verschlüsselte Kommunikation aufgrund gerichtlicher Anordnung des bislang nicht näher benannten EU-Mitgliedstaates, in dem der Server gelegen ist, zu erheben und mittels eines bei der Entwicklung angehefteten Master-Keys zu entschlüsseln.

aa) Aufgrund des Grundsatzes gegenseitiger Anerkennung (Art. 82 AEUV) lässt ein von den nationalen deutschen Vorschriften abweichendes Verfahren die Verwertbarkeit von im Ausland erhobenen Beweisen grundsätzlich unberührt (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 50 ff., 73 ff. m.w.N.; Schomburg/Lagodny/Hackner, IRG Vor § 68 Rn 11 m.w.N.), und die nationalen deutschen Gerichte sind nicht verpflichtet, die Rechtmäßigkeit von originär im Ausland, mithin nicht aufgrund deutschen Rechtshilfeersuchens durchgeführten Ermittlungsmaßnahmen anhand der Vorschriften des ausländischen Rechts auf ihre Rechtmäßigkeit zu überprüfen (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 26 ff. m.w.N.; OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203, 204). Das Vorliegen eines Beweisverwertungsverbots ist demnach ausschließlich nach nationalem Recht zu bestimmen.

bb) Danach ergibt sich ein Beweisverwertungsverbot vorliegend weder aus rechtshilfespezifischen Gründen noch aus nationalem Verfassungs- oder Prozessrecht oder den Vorgaben der EMRK (vgl. BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 25 ff.). Insbesondere bestehen keine Anhaltspunkte dafür, dass die im Ausland erhobenen Beweise unter Verletzung völkerrechtlich verbindlicher und dem Individualrechtsgüterschutz dienender Garantien, wie etwa Art. 3 oder Art. 6 EMRK, oder unter Verstoß gegen die allgemeinen rechtsstaatlichen Grundsätze i.S.d. ordre public (vgl. § 73 IRG) gewonnen wurden oder die Ermittlungshandlung der Umgehung nationaler Vorschriften diente (vgl. Schomburg/Lagodny/Hackner, IRG Vor § 68 Rn 11 m.w.N). Weder liegt ein Art. 6 Abs. 1 EMRK verletzender und aufgrund dessen ein Verfahrenshindernis begründender Fall polizeilicher Tatprovokation (vgl. dazu etwa EGMR, Urteil vom 23. Oktober 2014 - 54648/09 - juris) vor, weil die Annahme, allein durch Schaffung der Möglichkeit einer abhörsicheren Kommunikation sei der Tatentschluss des Angeklagten zur Begehung der ihm vorgeworfenen Taten hervorgerufen worden, fernliegt, noch begründet der Umstand, dass sich die Datenerhebung gegen sämtliche Nutzer der A.-App ohne Beschränkung auf bestimmte Zielpersonen und ohne Vorliegen eines konkreten Tatverdachts richtete, mithin Verdachtsmomente erst generieren sollte, einen elementaren Verstoß gegen rechtsstaatliche Grundsätze. Das Inverkehrbringen der App diente nicht dazu, die Persönlichkeit der Nutzer durch Eindringen in deren Privat- oder Intimsphäre auszuspähen. Vielmehr war absehbar, dass die durch die Nutzung ermöglichte, vermeintlich abhörsichere Kommunikation, neben der eine normale Nutzung des Mobilfunkgerätes zum Telefonieren und mit Zugang zum Internet nicht mehr möglich war, nahezu ausschließlich im Bereich organisierter Kriminalität eingesetzt werden würde (vgl. OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203, 204; zur Ablehnung eines Verstoßes gegen den Grundsatz des ordre public bei EncroChat-Daten vgl. OLG Brandenburg, Beschluss vom 3. August 2021 - 2 Ws 102/21 (S); 2 Ws 96/21 - juris; Hanseatisches OLG Hamburg, Beschluss vom 29. Januar 2021 - 1 Ws 2/21 -, juris, sowie dem Grunde nach auch BGH, Beschluss vom 2. März 2022 - 5 StR 457/21 -, juris Rn. 57). Ebenso wenig haben die deutschen Ermittlungsbehörden durch ein planmäßiges Vorgehen zur Umgehung nationaler Vorschriften zur Kommunikationsüberwachung an der Datengewinnung mitgewirkt (vgl. OLG Frankfurt a.M., Beschluss vom 22. November 2021 - 1 HEs 427/21 -, StraFo 2022, 203, 204).

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 13.12.2022
VI ZR 54/21

Der BGH hat nochmals entschieden, dass kein Anspruch auf Löschung eines Jameda-Basisprofils aus Art. 17 DSGVO besteht. Es liegen auf Seiten des Portalbetreibers vorrangige berechtigte Gründe im Sinne des Art. 17 Abs. 1 Buchst. c Halbsatz 1 DSGVO vor.

Aus den Entscheidungsgründen:
d) Auch der Löschungsgrund des Art. 17 Abs. 1 Buchst. c DS-GVO ist nicht gegeben. Denn für die von der Klägerin angegriffene Verarbeitung ihrer personenbezogenen Daten liegen jedenfalls vorrangige berechtigte Gründe im Sinne des Art. 17 Abs. 1 Buchst. c Halbsatz 1 DS-GVO vor. Die auch insoweit gebotene Gesamtabwägung führt zu keinem anderen Ergebnis als die oben zu Art. 6 Abs. 1 Satz 1 Buchst. f DS-GVO vorgenommene Abwägung (vgl. Senatsurteile vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 24 mwN; vom 12. Oktober 2021 - VI ZR 488/19, NJW 2022, 1098 Rn. 68 und VI ZR 489/19,
BGHZ 231, 263 Rn. 71, vom 15. Februar 2022 - VI ZR 692/20, NJW-RR 2022,693 Rn. 42).

2. Der ebenfalls aus Art. 17 Abs. 1 DS-GVO abzuleitende Unterlassungsanspruch (vgl. Senatsurteile vom 12. Oktober 2021 - VI ZR 489/19, BGHZ 231, 263 Rn. 10; vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 zur Auslistung; BSGE 127, 181 Rn. 13) ist nicht gegeben. Das Berufungsgericht hat den geltend gemachten Unterlassungsanspruch aus Art. 17 Abs. 1 Buchst. d DS-GVO im Ergebnis zu Recht verneint. Da die Klägerin im Zusammenhang mit dem Unterlassungsbegehren keine weiteren Gestaltungsvarianten oder Verhaltensweisen der Beklagten beanstandet hat, kann zur Begründung der Rechtmäßigkeit der angegriffenen Datenverarbeitung auf die obigen Ausführungen zum Löschungsanspruch verwiesen werden.

Den Volltext der Entscheidung finden Sie hier:

LAG Berlin-Brandenburg
Urteil vom 01.12.2022
21 Sa 390/22

Das LG Berlin Brandenburg hat entschieden, dass ein Handelsvertreter nach § 86 Absatz 1 HGB jeden Wettbewerb mit Geschäftsherrn zu unterlassen hat. Ferner hat das Gericht entschieden, dass die DSGVO der Vorlage von Kundenlisten in Prozess nicht entgegensteht.

Leitsätze des Gerichts:
1. Handelsvertreter*innen haben nach § 86 Absatz 1 HGB jeden Wettbewerb zu unterlassen, der geeignet ist, die Interessen ihrer Geschäftsherr*innen (Unternehmer*innen) zu beeinträchtigen. Verstoßen sie dagegen, machen sie sich schadensersatzpflichtig.

2. Zur Vorbereitung der Geltendmachung eines solchen Schadensersatzanspruches hat der oder die Unternehmer*in nach Treu und Glauben (§ 241 Absatz 2 BGB) einen Anspruch auf Auskunft, wenn der begründete Verdacht einer Vertragspflichtverletzung besteht und ein Schaden wahrscheinlich ist.

3. Um den Verdacht zu belegen, darf der oder die Unternehmer*in die Namen der Kund*innen, die aus seiner oder ihrer Betreuung ausgeschieden sind, sowie die Art der betroffenen Verträge in das gerichtliche Verfahren einführen und das Gericht diese Angaben verwerten. Dem steht weder das Recht der Kund*innen auf informationelle Selbstbestimmung noch das Datenschutzrecht entgegen.

4. Der Anspruch auf Auskunft umfasst alle Angaben, die für eine Bezifferung des Schadens, zumindest aber für dessen Schätzung nach § 287 ZPO notwendig sind. Soweit dies auch Angaben über Kund*innen des oder der Handelsvertreter*in erfordert, die zuvor von dem oder der Unternehmer*in betreut worden sind, steht dem deren Recht auf informationelle Selbstbestimmung oder das Datenschutzrecht ebenfalls nicht entgegen.

5. Darüber hinaus haben Handelsverterter*innen - unabhängig von einer Vertragspflichtverletzung - dem oder der Unternehmer*in im Rahmen ihrer Berichtspflicht nach § 86 Absatz 2 HGB und § 666 BGB Auskunft über alles zu geben, was für die Geschäftstätigkeit erforderlich ist. Das umfasst alle Auskünfte zu den Umständen, die für weitere Abschlüsse von Bedeutung sind, einschließlich der allgemeinen Marktlage. Die Pflicht besteht auch nach Beendigung des Vertragsverhältnisses fort, soweit es um Umstände geht, die während der Vertragslaufzeit entstanden sind. Sie findet ihre Grenze dort, wo die Auskunft für den oder die Unternehmer*in keine Bedeutung hat, oder für den oder die Handelsvertreter*in unzumutbar ist.

6. Handelsvertreter*innen sind aufgrund ihrer Berichtspflicht nicht gehalten, Auskünfte zu erteilen, die der Geltendmachung von Schadensersatzansprüchen gegenüber Dritten dienen. Dies gilt zumindest dann, wenn das Vertragsverhältnis beendet ist und der oder die Handesvertreter*in durch die Auskunft seine oder ihre berufliche Entwicklung gefährden würde. Unter diesen Umständen folgt ein Auskunftsanspruch auch nicht aus Treu und Glauben unter dem Gesichtspunkt einer nachvertraglichen Rücksichtnahmepflicht (§ 242 oder § 241 Absatz 2 BGB).

7. Macht der oder die Unternehmer*in gegenüber einem oder einer Handelsvertreter*in einen Auskunftsanspruch zur Vorbereitung von Schadensersatzansprüchen wegen Verletzung des Konkurrenzverbotes geltend, umfasst der Streitgegenstand auch die aus dem Vertragsverhältnis folgenden Berichtspflichten.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Urteil vom 24.10.2022
2 K 149/21

Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO gegen eine öffentlichen Stelle nach § 33 Abs. 1 Nr. 1 Buchst. b BDSG ein Geheimhaltungsinteresse entgegenstehen kann. Diese Vorschrift ist von der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchst. e DSGVO gedeckt.

II. Mit dem Antrag, dem Kläger Datenkopien der ihn betreffenden personenbezogenen Daten gemäß Art. 15 Abs. 3 DS-GVO zur Verfügung zu stellen, ist die Klage ebenfalls teilweise unzulässig und im Übrigen unbegründet.

Soweit die Beklagte die Einsicht in die ihn betreffenden Passagen des Dokuments Nr. 13 und in die Dokumente Nr. 26 und Nr. 36 (mit Ausnahme der das Abstimmungsverhalten im Verwaltungsrat betreffenden Passagen) zugesichert hat, fehlt dem Kläger das Rechtsschutzbedürfnis.

Im Übrigen steht ihm der Anspruch gemäß Art. 15 Abs. 3 DS-GVO nicht zu. Soweit das Dokument Nr. 13 Informationen über Vorgänge enthält, die den Kläger nicht betreffen, handelt es sich bereits nicht um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Der Übersendung einer Datenkopie der übrigen Dokumente steht § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 Buchst. b des Bundesdatenschutzgesetzes - BDSG - entgegen. Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DS-GVO nicht, wenn die Erteilung der Information die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

Zu dem hiernach geschützten „Wohle des Bundes“ zählen die Beziehungen der Bundesrepublik zur EPO und ihren Mitgliedstaaten. Aus dem oben Gesagten folgt, dass die Bekanntgabe der begehrten Informationen mit hinreichender Wahrscheinlichkeit einen Nachteil für diese Beziehungen haben kann (vgl. BVerwG, Beschluss vom 13. November 2020 – BVerwG 20 F 5/20 – NVwZ 2021, 415 Rn. 17 ff.). Dies gilt auch für die Dokumente Nr. 48 und CA/C 16/17, 17/17 und 19/17. Dokument Nr. 48 ist ein Vermerk des BMJV mit einer Zusammenfassung der 156. Sitzung des Verwaltungsrats. Insoweit gilt das oben Gesagte. Die Dokumente CA/C 16/17, 17/17 und 19/17 sind der Kategorie C zugeordnet, die gemäß Art. 13 Abs. 1, Art. 9 Abs. 3 GOVR der Vertraulichkeit unterliegen und gegen deren Bekanntgabe sich der Präsident des Verwaltungsrats mit Schreiben vom 24. August 2020 gewandt hat.

Das Interesse des Klägers an der Informationserteilung muss hinter dem Geheimhaltungsinteresse zurücktreten. Das Interesse der Beklagten, die positiven Beziehungen zur EPO und ihren Mitgliedstaaten zu schützen und die mit der Offenlegung verbundene Gefahr einer Beeinträchtigung der vertraulichen Zusammenarbeit, haben ein hohes Gewicht. Demgegenüber hat der Kläger nicht dargelegt, worin sein Informationsinteresse besteht. Er hat lediglich auf die Betroffenheit personenbezogener Daten hingewiesen.

§ 33 Abs. 1 Nr. 1 Buchst. b BDSG ist entgegen der Auffassung des Klägers von der Öffnungsklausel des Art. 23 Abs. 1 Buchst. e DS-GVO gedeckt (Eßer, in: Eßer/Kramer/v. Lewinski, DSGVO/BDSG, 6. Auflage 2018, § 32 Rn. 14; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage 2022, § 32 Rn. 26; Golla, in: Kühling/Buchner, DS-GVO/BDSG, 3. Auflage 2020, § 32 Rn. 13; Greve, in: Sydow, BDSG, 2020, § 32 Rn. 23). Der Begriff des „sonstigen wichtigen Ziels“ erfasst jedes wichtige Gemeinwohlziel, das in seinem Gewicht den in Art. 23 Abs. 1 Buchst. a–d DS-GVO oder den Regelbeispielen in Art. 23 Abs. 1 Buchst. e DS-GVO gleichkommt (Stender-Vorwachs/Wolff, in: BeckOK Datenschutzrecht, Stand: 2021, Art. 23 DS-GVO Rn. 37). Hierzu zählt das allgemeine öffentliche Interesse am Schutz internationaler Beziehungen.

Den Volltext der Entscheidung finden Sie hier:

OLG Celle
Urteil vom 14.12.2022
8 U 165/22

Das OLG Celle hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht zweckgebunden ist und nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen geltend gemacht werden muss.

Aus den Entscheidungsgründen:
Die Auskunftsklage ist auch begründet. Entgegen der vom Landgericht und der Beklagten vertretenen Auffassung steht dem Kläger gegen die Beklagte ein Auskunftsanspruch gemäß Art. 15 DS-GVO zu.

Nach Erwägungsgrund 63 Satz 1 der DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung (zum Begriff vgl. Art. 4 Nr. 2 DS-GVO; zu dem vom sachlichen Anwendungsbereich der Verordnung erfassten Bereich der Verarbeitung vgl. Art. 2 Abs. 1, Art. 4 Nr. 6 DS-GVO) bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19).

Entscheidend für das Bestehen eines Auskunftsanspruchs ist daher, ob die von der Beklagten dem Kläger anlässlich der Beitragsanpassungen übersandten Nachträge zum Versicherungsschein Informationen nach diesen Kriterien enthalten (vgl. BGH, a.a.O.).

Gemäß Art. 4 Nr. 1 Halbsatz 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition besitzt einen weiten Anwendungsbereich. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, wenn sie denn nur die in Rede stehende Person betreffen. Letzteres ist der Fall, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 20. Dezember 2017 - C-434/16 zu Art. 2 Buchst. a der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995; BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19).

Schreiben des Versicherers an den Versicherungsnehmer sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich die Beklagte dem Schreiben gemäß geäußert hat (vgl. BGH, a.a.O.).

Auch im vorliegenden Fall sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 Halbsatz 1 DS-GVO Gegenstand des Auskunftsanspruchs. Die anlässlich der Beitragsanpassungen von der Beklagten an den Kläger übersandten Nachträge zum Versicherungsschein hatten den konkreten, zwischen den Parteien geschlossenen Vertrag zum Gegenstand und gestalteten diesen inhaltlich teilweise neu. Auch die anlässlich der Beitragsanpassung übersandten Mitteilungsschreiben unterfallen in ihrer Gesamtheit dem Begriff der personenbezogenen Daten (vgl. BGH, a.a.O.).

Bei dem Auskunftsantrag des Klägers handelt es sich auch nicht um einen offenkundig unbegründeten oder exzessiven Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DS-GVO. In der Verordnung findet sich als Regelbeispiel für die Annahme eines exzessiven Antrags der Fall von häufiger Wiederholung. Davon kann im vorliegenden Fall keine Rede sein, weil der Kläger mit seiner Klage die erstmalige Erteilung einer Kopie der maßgeblichen Unterlagen begehrt. Unmaßgeblich ist auch die Motivationslage des Klägers, weil die Verordnung den Auskunftsanspruch nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig macht und dementsprechend der Antrag auf Auskunftserteilung auch nicht begründet werden muss (vgl. BGH, EuGH-Vorlage vom 29. März 2022 - VI ZR 1352/20; OLG Köln, Urteil vom 13. Mai 2022 - 20 U 198/21; juris Simitis/Hornung/Spiecker, DS-GVO mit BDSG, Art. 15 DS-GVO, Rn. 11; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 85).

Soweit die Beklagte im Berufungsverfahren behauptet, der Kläger sei noch im Besitz der ihm ursprünglich übermittelten und nunmehr streitgegenständlichen Informationen (Bl. 143 d. A.), steht das einem Auskunftsanspruch gemäß Art. 15 DS-GVO nicht entgegen. Für den von ihr erhobenen Einwand hat die Beklagte bereits keinen Beweis angeboten. Unabhängig hiervon besteht der auf Art. 15 DS-GVO gestützte Auskunftsanspruch auch dann, wenn der Betroffene bereits über die geforderten Informationen verfügt (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19; VG Schwerin, Urteil vom 29. April 2021 - 1 A 1343/19 SN; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 52.3).

Einem auf Art. 15 DS-GVO gestützten Auskunftsanspruch steht auch nicht entgegen, dass die entsprechende Verordnung gemäß Art. 99 Abs. 2 DS-GVO erst am 25. Mai 2018 in Kraft getreten ist, während sich der Auskunftsanspruch des Klägers auf solche Informationen bezieht, die zu einem früheren Zeitpunkt erhoben und gespeichert wurden. Insoweit findet sich in der Verordnung bereits keine ausdrückliche zeitliche Begrenzung des Auskunftsanspruchs, was für einen unbeschränkten Auskunftsanspruch auch im Hinblick auf solche Informationen spricht, die vor dem 25. Mai 2018 erhoben und/oder gespeichert wurden. Darüber hinaus dient die Verordnung gemäß Art. 1 Abs. 2 DS-GVO dem Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Ein solcher Schutz würde aber weitgehend leerlaufen, wenn er sich nur auf Informationen erstrecken würde, die nach dem 25. Mai 2018 erhoben wurden. Hierfür spricht auch, dass die Vorgängerverordnung 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben wurde und etwaige Auskunftsansprüche hierauf nicht mehr gestützt werden können. Weiter handelt es sich jedenfalls bei dem Akt der Datenspeicherung um eine fortlaufende Datenverarbeitung, die unter der Voraussetzung einer nicht bereits zuvor erfolgten Löschung - auch über den 25. Mai 2018 hinaus andauert und damit spätestens ab diesem Zeitpunkt dem Anwendungsbereich von Art. 15 DS-GVO unterfällt (vgl. Kühling/Buchner; Datenschutz-Grundverordnung/BDSG, 2. Aufl., Art. 15, Rn. 8).

Der dem Kläger gegen die Beklagte zustehende Auskunftsanspruch ist nicht verjährt. Ob eine Verjährung des nebenvertraglichen Auskunftsanspruchs bzw. des Anspruchs gemäß Art. 15 DS-GVO überhaupt möglich ist und nach welchen Vorschriften sie sich ggf. richtet, bedarf im vorliegenden Fall keiner Entscheidung. Denn selbst wenn der Auskunftsanspruch wie der auf § 242 BGB gestützte Auskunftsanspruch selbstständig und unabhängig nach der allgemeinen Frist des § 195 BGB verjähren sollte (vgl. BGH, Urteil vom 3. September 2020 - III ZR 136/18; BGH, Urteil vom 25. Juli 2017 - VI ZR 222/16), so könnte er aber jedenfalls nicht vor dem Hauptanspruch verjähren, dem er dient (vgl. BGH, Urteil vom 3. September 2020, a.a.O.; BGH, Urteil vom 25. Juli 2017, a.a.O.). Im vorliegenden Fall kann eine Verjährung sämtlicher, auf eine ggf. unwirksame Beitragsanpassung beispielsweise im Jahr 2013 gestützten Leistungsansprüche auch für die Zeit nach dem 1. Januar 2018 aber nicht festgestellt werden.

Inhaltlich ist der Auskunftsanspruch gemäß Art. 15 Abs. 3 Satz 1 DS-GVO auf die Übersendung einer Datenkopie gerichtet. Dabei beschränkt sich der Anspruch nicht auf die Übermittlung von Informationen, die der von der Datenspeicherung betroffenen Person gemäß Art. 15 Abs. 1 DS-GVO zustehen. Der Senat folgt insoweit vielmehr der in der Rechtsprechung und der Literatur vertretenen extensiven Auslegung von Art. 15 DS-GVO (vgl. OLG München, Urteil vom 4. Oktober 2021 - 3 U 2906/20; OVG Munster, Urteil vom 8. Juni 2021 - 16 A 1582/20; LAG Baden-Württemberg, Urteile vom 17. März 2021 - 21 Sa 43/20 - und vom 20. Dezember 2018 - 17 Sa 11/18; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85; Schaffland/Holthaus, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Werkstand: 11. Ergänzungslieferung 2022; Artikel 15, Rn. 44b; a. A. Franzen in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Aufl., EU (VO) 2016/679 Art. 15; Rn. 5; Paal in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., DS-GVO Art. 15, Rn. 33a). Danach hat der Auskunftspflichtige die personenbezogenen Daten grundsätzlich in der Rohfassung zu übermitteln, in der sie bei ihm gespeichert sind. Denn Art. 15 Abs. 3 Satz 1 DS-GVO stellt insoweit eine eigenständige und von Art. 20 DS-GVO unabhängige Anspruchsgrundlage dar (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85).

Hieraus folgt zugleich, dass der Kläger auch eine Kopie von Versicherungsscheinen und Nachträgen zum Versicherungsschein verlangen kann, wenn sie denn als solche (und nicht nur deren reiner Informationsinhalt) bei der Beklagten gespeichert sind.

Sollte der Inhalt etwa eines Versicherungsscheins sowohl in der Form des Versicherungsscheins als auch in Gestalt lediglich der im Versicherungsschein enthaltenen Informationen gespeichert sein, sind von der Beklagten grundsätzlich beide Datensätze in Gestalt einer Datenkopie herauszugeben. Denn anderenfalls kann der Kläger die mit dem Auskunftsanspruch bezweckte Überprüfung einer ordnungsgemäßen Verarbeitung (aller!) von der Beklagten gespeicherten personenbezogenen Daten nicht sinnvoll ausüben.

Demgegenüber kann Art. 15 Abs. 3 Satz 1 DS-GVO kein gegen den Auskunftspflichtigen gerichteter Anspruch entnommen werden, die übermittelten Rohdaten zusätzlich aufzubereiten, damit diese von der betroffenen Person verwendet werden können. Das folgt bereits aus der Zielrichtung des Auskunftsanspruchs, den Berechtigten von einer Verarbeitung der ihn betreffenden Daten zu informieren und ihm die Gelegenheit geben, die Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen (vgl. VG Schwerin, Urteil vom 29. April 2021 - 1 A 1343/19 SN; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 2). Dieses Informationsbedürfnis kann aber nur durch Übersendung der Dateien in der Gestalt erfüllt werden, in der sie beim Auskunftspflichtigen auch gespeichert sind. Anders verhält es sich lediglich dann, wenn der Auskunftsberechtigte nur durch eine entsprechende Aufbereitung den Inhalt der gespeicherten Informationen zur Kenntnis nehmen könnte (vgl. Schaffland/Holthaus, a.a.O.; Schmidt-Wudy, a.a.O., Rn. 85).

Entgegen der Auffassung der Beklagten spricht gegen die extensive Auslegung von Art. 15 DS-GVO auch nicht das Urteil des Europäischen Gerichtshofs vom 17. Juli 2014 - C-141/12 und C-372/12. Zwar hat das Gericht entschieden, dass die betroffene Person keinen Anspruch auf die Kopie eines Dokuments oder einer Originaldatei habe, wenn das mit dem Auskunftsrecht angestrebte Ziel durch eine andere Form der Mitteilung vollständig erreicht werden könne. Allerdings bezieht sich die Entscheidung des Gerichts nicht auf Art. 15 DS-GVO, sondern auf Art. 12 Lit. a) der RL 95/46/EG. Diese sah anders als Art. 15 Abs. 3 DS-GVO aber kein Recht auf eine Datenkopie vor, sondern lediglich einen Anspruch auf unter anderem eine "Mitteilung in verständlicher Form über Daten" (vgl. auch Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85).

[...]

3. Der Senat hat zu D.2. die Revision sowohl wegen grundsätzlicher Bedeutung gemäß § 543 Abs. 2 Satz 1 Nr. 1 als auch zur Sicherung einer einheitlichen Rechtsprechung gemäß § 543 Abs. 2 Satz 1 Nr. 2 ZPO zugelassen. Ob ein Auskunftsanspruch gemäß Art. 15 DS-GVO zweckgebunden ist oder unabhängig von der hiermit verbundenen Zielrichtung erhoben werden kann, wird in der Rechtsprechung nicht einheitlich beurteilt. So wird teilweise die Auffassung vertreten, dass Zielrichtung der vom Versicherungsnehmer begehrten Auskunftserteilung gemäß Art. 15 DS-GVO ausschließlich sein dürfe, sich der Verarbeitung der ihn betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. OLG Dresden, Urteil vom 29. März 2022 - 4 U 1905/21; OLG Nürnberg, Urteil vom 14. März 2022 - 8 U 2907/21; OLG Hamm, Beschluss vom 15. November 2021 - 20 U 269/21).

Darüber hinaus besitzt die Frage einer Zweckgebundenheit des Auskunftsanspruchs gemäß Art. 15 DS-GVO aber auch grundsätzliche Bedeutung, weil sie sich über den Einzelfall hinaus in einer unbestimmten Vielzahl von Fällen stellen kann (bzw. bereits stellt) und deshalb für die Allgemeinheit von besonderer Bedeutung ist (vgl. BVerfG, Beschluss vom 5. Juli 2022 - 1 BvR 832/21, 1 BvR 1258/21). Ebenfalls von grundsätzlicher Bedeutung ist die Frage, welchen Umfang der Auskunftsanspruch gemäß Art. 15 DS-GVO besitzt und ob der Anspruch auf Übermittlung einer Datenkopie die Übermittlung sämtlicher beim Versicherer gespeicherter Daten umfasst.

Den Volltext der Entscheidung finden Sie hier:

LG München
Urteil vom 29.11.2022
33 O 14776/19

Das LG München hat entschieden, dass der Cookie-Banner nach TCF-Standard von FOCUS-Online datenschutzwidrig ist. Insbesondere rügt das Gericht, dass der Cookie-Banner angesichts der Vielzahl technisch nicht notwendiger Cookies unübersichtlich ist und der Aufwand zum Ablehnen aller Cookies zu aufwändig ist, da kein "Alle-Ablehnen"-Button vorgehalten wird.

Den Volltext der Entscheidung finden Sie hier: